"Sicherheitsmaßnahmen aus Angst sind Mist"
Das brachte Moderator Martin Bayer zu der Frage, ob sich diese ganzen Anforderungen überhaupt mit einem einzigen, flexiblen System abdecken lassen. Und was, wenn Veränderungen eintreten? Lässt sich etwa flexibel genug auf die Fluktuation in einem Unternehmen reagieren?
"Genau das ist der Mehrwert von Identity- und Access-Management", antwortete Alsbih. "Es gibt keine homogenen Landschaften mehr. Kunden, Partner, Mitarbeiter - alle befinden sich in einem System. Wenn man IAM richtig macht, dann ändern sich die zugewiesenen Rollen bei Bedarf automatisch. Das ist technologisch seit langem möglich."
In erster Linie, so der COO, bestehe beim Identitätsmanagement ein Faulheitsproblem: "Viele sind einfach nicht gewillt, es richtig zu machen, weil es dann eben ein halbes Jahr dauert statt nur zwei Tage. Aber ‚hektisch über den Ecktisch‘ war noch nie eine gute Idee."
An dieser Stelle sah Christian Nern insbesondere auch die Hersteller gegenüber den Kunden in der Pflicht: "Unsere Aufgabe ist es, den Anwenderunternehmen klar zu machen, wie es geht und wie nicht. Wir müssen hier für Transparenz sorgen, zeigen wie es ‚einfach‘ geht und wie die einzelnen - internen und externen - Komponenten zusammenspielen."
Neben dem technologischen Aspekt, sah Fabian Guter eine weitere wesentliche Herausforderung für die Hersteller im IAM-Umfeld: "Jedes System, dass dem Nutzer auferlegt ‚Mach es richtig oder Du bist ein Risiko‘, ist vom Konzept her falsch. Es ist eine der wesentlichen Herausforderungen, dass der Anwender aus der Verantwortung genommen wird. Ein System muss so konzipiert sein, dass es gar nicht mehr falsch bedient werden kann. An dieser Stelle sehe ich im Bereich Access und Authentifizierung großen Handlungsbedarf - auch damit die Hemmungen insbesondere beim Mittelstand fallen."
Mittelstand war genau das richtige Stichwort für Carsten Hufnagel: "Aus meiner Erfahrung kann ich sagen, dass speziell bei mittelständischen Unternehmen der Business-Mehrwert darüber entscheidet, ob ein Projektauftrag zustande kommt oder nicht. Dieser Mehrwert war für viele Unternehmen bei IAM lange nicht auf den ersten Blick erkennbar. Das ändert sich inzwischen jedoch langsam, da der elektronische Austausch der Unternehmen untereinander deutlich zugenommen hat und Identitäten heute auch für ganz neue Business Cases genutzt werden können."
Alsbih kam daraufhin auch auf ein ganz grundsätzliches Problem des IT-Sicherheits-Marktes zu sprechen: "Bisher wurde in Sachen Security einfach zu wenig aus Enablement-Sicht und zu viel mit Angst argumentiert. Aber jede Sicherheitsmaßnahme, die aus Angst heraus implementiert wird, ist Mist. Man muss seinem Kunden die Vorteile argumentativ darlegen und ihm zeigen, welche Vorteile und Chancen der Einsatz bieten kann."
IAM-Projekte brauchen Rückendeckung durch das Management
Christian Nern brachte schließlich auch das Thema Verantwortlichkeiten auf die Tagesordnung: "Um Identity- und Access-Management als Teil einer Gesamtstrategie verankern zu können, muss klar sein, wer für das Thema zuständig ist."
Auf Nachfrage von Martin Bayer, wo diese Aufgabe am sinnvollsten aufgehängt werden könne, sagte Nern: "Im Idealfall gibt es einen CISO mit Durchgriff, der sich mit den Business-Bereichen an einen Tisch setzt und mit ihnen gemeinsam die Umsetzung des Projekts vorantreibt."
Ruedi Hugelshofer liebäugelte beim Thema IAM-Verantwortlichkeit dagegen eher mit dem CDO: "Aus unserer Erfahrung mit vielen Airlock-IAM Projekten ist diese Position prädestiniert dafür, weil der Chief Digital Officer in der Regel die nötige Ausbildung und Erfahrung aus den notwendigen Bereichen mitbringt und auch etwas in Sachen Risikomanagement beitragen kann. Auch ein externer Berater könnte an dieser Stelle hilfreich sein, der die Sicht von außen miteinbringt."
Roland Markowski äußerte jedoch Zweifel, ob ein CDO sowohl Digitalisierung als auch IT Security befriedigend unter einen Hut bringen kann: "Insbesondere für neue CDOs ist es sehr schwierig, in allen Bereichen eines Unternehmens Gehör zu finden. Viele sind gerade einmal ein oder eineinhalb Jahre im Unternehmen und haben einfach keine Hausmacht. Das macht es schwierig, Themen zu lancieren und eine ganzheitliche Denke zu etablieren."
Ein Problem in vielen Unternehmen seien zudem die internen Widerstände bei der Zusammenarbeit, so Markowski. Deswegen würden viele Firmen dazu übergehen, lieber Innovation Labs und Startups auszugründen, als eine Inhouse-Lösung zu finden. "Unsere Erfahrung zeigt: Wer lange im Unternehmen ist, Hausmacht besitzt und die Rückendeckung des Managements genießt, der bekommt so ein Customer-IAM-Projekt hin. Ansonsten wird es schwierig."
Gute und schlechte CISOs
Apropos Management: Ist das Verständnis für das Thema IT Sicherheit auf dem C-Level angekommen? Und: Kann ein Manager, beziehungsweise Entscheider, es sich heute überhaupt noch leisten, kein technisches Verständnis mitzubringen?
Für Amir Alsbih war die Antwort auf diese Fragen klar: "Wenn der CISO seinen Job richtig macht, dann muss kein technisches Verständnis vorhanden sein. Das unterscheidet für mich einen guten von einem schlechten CISO: Ein guter CISO kann Business und Technik. Das Problem ist nur - und das ist mein ganz persönlicher Eindruck - Wir haben in Deutschland wahnsinnig viele CISOs, die dabei Unterstützung benötigen."
Christian Nern widersprach - zumindest was das Thema Security-Awareness auf Vorstandsebene angeht: "Ich glaube sogar, im Mittelstand ist heute weniger Verständnis für Security da. Dort ist es derzeit noch ein reines IT-Thema mit simplem Perimeterschutz und kein Businessthema."
- Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen? - Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern? - Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln? - Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können? - Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit? - Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können? - Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann? - Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen? - Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird? - Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Dass der Mittelstand Nachholbedarf in Sachen IT Security hat, davon zeigte sich auch Fabian Guter überzeugt, der als Beispiel die Zulieferer der deutschen Automobilindustrie anführte: "Ein maßgeblicher Teil der Innovation der Automobilindustrie findet quasi in kleinen und mittleren Unternehmen statt. Das sind oft Firmen mit bis zu 50 Mitarbeitern, die Kernkomponenten designen, aber in Sachen IT Security nur das Nötigste zur Verfügung haben."
Die OEMs, so Guter weiter, hätten inzwischen erkannt, dass die mittelständischen Zulieferer zum Einfallstor Nummer eins für Hacker geworden seien und würden Maßnahmen ergreifen: "Deswegen muss inzwischen jeder Zulieferer bestimmte Richtlinien erfüllen und das auch im Rahmen eines Audits belegen."