WIE AGIL MUSS UND KANN SECURITY SEIN?

„Unsere Kunden, beispielsweise aus der Luftfahrt- oder Raumfahrtindustrie, von Airbus über Boeing bis Bombardier, fordern alle möglichen Sicherheitszertifizierungen, Security Features und Verschlüsselungsmethoden ein, die sich heute fast kein Unternehmen mehr selbst leisten kann. Die großen Cloud-Plattformen können das sehr wohl. Und die haben im Gegensatz zu uns auch das Know-how und die Ressourcen dafür – beides könnten wir in Eigenregie einfach nicht adäquat aufbauen. Das scheitert schon daran, als klassischer Produktionsbetrieb mit einem Standort abseits der großen Hotspots entsprechende MitarbeiterInnen, geschweige denn Security-Gurus, dafür zu finden und vor allem auch zu gewinnen.
Die Cloud macht in unserem Fall also nicht nur das Leben einfacher, sondern das Business auch sicherer … und liefert uns damit einen wichtigen Wettbewerbsfaktor.

Wir gehen dabei noch einen Schritt weiter und haben auch unseren Perimeter, sämtliche Contact Points, Firewalls, Proxies, Remote Accesses, zu unseren Cloud Providern verlagert, weil die Security-Spezialisten dort das um einiges besser betreiben können. Zu uns gelangt nur noch der Traffic, der von ihnen zugelassen wird – die Angriffsflächen, die wir selbst bieten, werden auf diese Weise extrem minimiert.

Bei einem Thema schafft die Cloud allerdings schon einen Spagat zwischen Business und Security: Sie ist leicht verfügbar, beispielsweise für jede Abteilung in einem Unternehmen, die ihre Daten über eine Cloud-Anwendung austauschen möchte. Data Loss Prevention wird damit eine große Herausforderung.“

„Vor allem bei der Usability gibt es einen Spagat zwischen Security und Business. Je jünger die User-Generation, desto weiter wird generell dieser Spagat, weil die eine hohe Usability bei ihrer Kommunikation über Social Media und Apps gewohnt ist – mit dem Nachteil, dass die User oft gar nicht wissen, wo die eigenen Daten überall verstreut sind. Zugleich verstärkt sich die Anforderung, das Business, vor allem durch datengetriebene Services viel agiler zu machen. Das bedeutet, dass die Information Security auf der einen Seite mit einem wachsenden Anspruch an Usability und Flexibilität konfrontiert ist und auf der anderen Seite zugleich mit einem steigenden Bedarf an Datensicherheit. Security zu managen, wird dadurch zu einer extremen Herausforderung.

Jedes Unternehmen muss sich heute fragen: Welchen Wert liefert die Security, welche konkreten Risiken deckt sie ab und welche Investition rechtfertigt sie? Für mittelständische Unternehmen gilt das ganz besonders. Denn einerseits werden durch die digitale Vernetzung die Risiken für alle Player in einer Supply Chain immer massiver. Andererseits steht der Mittelstand naturgemäß nicht ganz oben auf der Target List der Cyber-Crime-Industrie. Zwischen diesen Eckpunkten das eigene Risiko richtig einzuschätzen, wird da zur entscheidenden Herausforderung.

Wir sehen diesen Need immer stärker bei unseren Kundenprojekten und lassen ihn auch in unser Mid-Market-Portfolio einfließen, zum Beispiel in einem standardisierbaren Leistungspaket, das den größten Teil an Risiken abdeckt und damit eine gute Grundlage liefert, auf der man bei Bedarf on top noch spezifische Maßnahmen d´raufsetzt. Es braucht einfach Hebel, um Security auch für den Mittelstand überschaubar, managebar und leistbar zu machen.“

„Dazu braucht es ein ganzheitliches Mindset – in allen Bereichen. Die IT ist weitgehend von einem sehr sicherheitsorientierten Denken geprägt – auch in neuen Bereichen. Im Marketing beispielsweise überwiegt dagegen der Blick für die neuen Möglichkeiten – der Sicherheitsaspekt wird dafür eher wenig beachtet. Tatsächlich ist für die Bewertung neuer Geschäftsthemen aber eine 360-Grad-Betrachtung nötig – auch, was die IT- und Security-Themen betrifft. Da geht es nicht nur um die Frage, wie man etwas technisch implementiert und absichert, sondern auch, wie man zum Beispiel ein neues Geschäftsmodell in der Organisation verankert. Können das die bestehenden Teams sowohl IT-seitig als auch business-seitig überhaupt tragen? Oder brauche ich dafür ganz neue Skills? Und kann ich diese selbst abdecken oder gehe ich dazu in ein Outsourcing-Modell?

Die zunehmende Herausforderung für die IT ist, dass für die Realisierung neuer Geschäftsmodelle eine hohe Geschwindigkeit und Agilität gefordert wird. Dieser Anspruch lässt sich jedoch aus den klassischen Systemen nicht für die ganze Themenbandbreite abdecken – ob das jetzt das ERP-System oder die erweiterte Applikationslandschaft ist. Dazu muss man aus diesen Standards heraustreten und neue Optionen beleuchten. Hier die nötige Geschwindigkeit zu erreichen und zugleich immer die nötige Security miteinzubeziehen, wird häufig zu einem Spagat.

Es ist wichtig, dass die IT bei der Entwicklung neuer Geschäftsmodelle möglichst frühzeitig in die Prozesse eingebunden ist und von Anfang an die Awareness für Aspekte wie Governance und Security einbringen kann. Aber zunächst sollte schon von Business-Seite ein konkretes Konzept für das jeweilige Geschäftsmodell aufgesetzt werden, damit IT mit Security richtig ansetzen kann. Sonst wird es zum Aktionismus.“

„Dieser Trend wird nicht zuletzt durch externe, oft gesetzliche Anforderungen der Finanzmarktausicht, der Versicherungen und vielem mehr massiv verstärkt. Das Thema ist im Top Management auch absolut richtig angesiedelt. Es ist nämlich von zentraler Bedeutung, sich systematisch mit IT- und Security-Risiken zu befassen um dann letztlich auch entsprechende strategische Zielsetzungen zu formulieren und entsprechende Budgets freizugeben.
Das gilt für Unternehmen und Organisationen jeder Größe und für den Mittelstand umso mehr, weil es hier eigentlich unmöglich ist, genügend Ressourcen – Budgets, MitarbeiterInnen und Know-how – aufzubauen und aufrechtzuerhalten, um im Fall des Falles entsprechend reagieren zu können.

Wenn man sich wirklich strategisch mit IT Security und den Risiken befassen will, muss sich aber auch intensiv eine Reihe von Fragen stellen. Sind wir überhaupt in der Lage, wirklich alle Risiken zu überblicken? Wo blockieren oder bremsen IT-Security, IT-Architektur, Governance, Zertifizierungen und so weiter tatsächlich Geschäftsprozesse, Wachstum und Agilität, wie es vom Business häufig moniert wird?
Und diese Fragen gehen uns alle an. Denn durch die digitale Vernetzung werden sie nicht nur für einzelne Unternehmen, sondern für ganze Branchen und letztlich auch für die gesamte Wirtschaft und Gesellschaft eines Landes brennend. Eine Kette ist immer nur so stark wie das schwächste Glied – wenn aus Security-Sicht ein kleiner Player ausfällt, reißt die ganze Supply Chain. Daher besteht durchaus die Gefahr, dass uns die Digitalisierung irgendwann um die Ohren fliegt, wenn wir Information Security nicht ausreichend und schnell genug als integrativen, zentralen Faktor mitberücksichtigen und mitdenken.“

„Man ist auch als mittelständisches Produktionsunternehmen permanent Angriffen ausgesetzt, begonnen bei Social Engineering und Phishing-Mails, die oft auch Kunden und Partner adressieren. Mit der wachsenden digitalen Vernetzung und zunehmenden Digitalisierung von Lieferketten nimmt das laufend weiter zu. Deshalb müssen auch wir in diesem Bereich sehr aktiv laufende Maßnahmen setzen, wie beispielsweise mit der 2-Faktor-Authentifizierung als eines unserer jüngsten Projekte. Die dafür nötige Expertise und die entsprechenden Ressourcen intern selbst dafür aufzubauen und vorzuhalten, ist allerdings unmöglich. Letztlich müssen wir da auf externe Partner und Produkte vertrauen.

Trotzdem oder gerade deshalb ist es eine große Herausforderung, sich auf eine Strategie festzulegen und auch einen Level für ein Security-Budget zu definieren, mit dem man im wahrsten Sinn des Wortes auf der sicheren Seite sein sollte. Was ist notwendig? Was ist richtig? Was wäre überzogen? Am Security-Markt tun sich ständig neue Tools und Angebote auf. Und wenn man einen neuen Security Outsourcing Partner an Bord holt, sagt der garantiert: Eure Maßnahmen und Tools müsste man auf jeden Fall upgraden. Deshalb ist man auch im Mittelstand trotz der beschränkten Ressourcen gezwungen, sich immer tiefer in das Thema hineinzubegeben … eben, weil es so komplex ist. Schon aus diesem Grund wäre ein intensiverer Austausch der IT- und Security-Verantwortlichen untereinander sehr wünschenswert. Weil man sich als einzelnes Unternehmen schwertut, hier die nötigen Investitionen im Voraus wirklich einzuschätzen. Da wäre es sehr hilfreich zu sehen, wo und wie andere hier Limits festlegen.“

„Die Anforderungen an Information Security steigen bei uns in allen Bereichen. Im Transport-Sektor haben wir ein hohes Maß an Eigenentwicklungen und leben schon lange Security-by-Design. In anderen Geschäftsfeldern wie Container-Verkauf und -Vermietung, die stark von Standard-Software geprägt sind, stellt sich aber zunehmend die Frage nach der nötigen Fertigungstiefe in unserer eigenen Security.
Mit einer Frage ist man allerdings in jedem Bereich konfrontiert: Wie viel Mehr an Geschäft machen wir direkt durch eine Investition in die Security? Und in aller Regel lautet die Antwort: Keines.
Dennoch muss IT Security als absolut Business-kritisches Thema gesehen werden und nicht vorrangig unter dem Kostenaspekt. Ob man hier 1,8 oder 2,5 Prozent von irgendetwas investiert, ist nicht entscheidend, sondern: Wie schaut die strategische Roadmap aus? Was wollen wir Security-technisch ermöglichen und steuern? Welches Know-how müssen wir dazu im Haus belassen? Und was können wir uns leisten, nicht zu tun?

Wenn man für Security Awareness schaffen will, dann muss man das nicht nur für Phishing-Attacken oder Malware tun, sondern auch für das entsprechende Mindset. Der Umgang mit neu gestalteten Datenökosystemen ist ein Paradebeispiel dafür. Da stellen sich nicht nur sicherheitstechnische Fragen, sondern zunehmend gesamtstrategische Fragen: Wie weit öffne ich mich auf einer Plattform und für wen? Nehme ich in Kauf, dass vielleicht auch potenzielle Konkurrenten Nutzen daraus ziehen?

Hier ist auch das IT Strategy Board verpflichtet, sich permanent mit Security-Themen zu befassen und das gesamte Management von der Geschäftsführung abwärts zu Beteiligten zu machen. Dort, wo man über neue Geschäftsmodelle spricht, muss man automatisch auch über Security sprechen – und zwar ganz konkret.“

„Damit hatten wir quasi eine doppelte Sicherheitskontrolle. Für uns war schon vor ein paar Jahren klar, nachdem wir einen massiven Angriff zu verzeichnen hatten, dass wir in das Thema Sicherheit investieren müssen. Gerade für den Mittelstand ist es allerdings eine wichtige Erkenntnis, dass man durch die Auslagerung eines SOC zwar auf externe Experten und Ressourcen zugreifen kann, aber, dass es für das Zusammenspiel mit der internen IT eine Schnittstelle braucht. Und zwar nicht nur eine zum externen Partner, sondern auch eine nach innen, zu den eigenen Mitarbeitern. Das droht nämlich häufig unter den Tisch zu fallen.

Die AFRY Group ist vor drei Jahren durch die Übernahme der Pöyry-Gruppe von 9.000 auf 16.000 Mitarbeiter gewachsen. Heute sind es 17.000, davon 300 in Österreich, und das Wachstum geht kontinuierlich weiter. Für die IT bedeutet das eine große Herausforderung, die unterschiedlichen Standardisierungsgrade auf einen einheitlichen Stand zu bringen … natürlich auch und besonders beim Thema Security.

Wieviel man für Security ausgeben soll, ist keine unverrückbare Standardgröße und ändert sich auch laufend mit den Entwicklungen im Umfeld. Man kann die Budgets nicht an den Anforderungen von gestern ausrichten. Das ist wie beim Autofahren: Da hat man sich vor 20 Jahren mit dem Sicherheitsgurt wohlgefühlt. Beim heutigen Verkehrsaufkommen braucht man einen 3-Seiten-Airbag, um sich sicher zu fühlen. Umso wichtiger ist es, sich für Security-Investitionen auch an den Kollegen und den Peer Groups zu orientieren. Was machen die? Wieviel geben sie wofür aus?
Wenn man trotzdem einen Incident hat, muss man Maßnahmen, Schnittstellen, Prozesse und Tools wieder reviewen. Klar ist aber auch: Es gibt viele verschiedene Produkte, aber keines davon ist die berühmte eierlegende Wollmilchsau. Entscheidend sind letztlich die Maßnahmen, die man setzt.“

„Da dürfen keine Business-kritischen Informationen oder Geschäftsgeheimnisse, die zum Teil unseren Kunden gehören, kompromittiert werden. Deshalb können wir nicht alles auf eine Cloud-Plattform legen, auch wenn sich das Business, vor allem die vertriebsorientierten Einheiten, das im Tagesgeschäft oft wünschen würde.
Security-technisch mag bei den großen Cloud Providern alles state-of-the-art sein, aber es ist nicht alles homogen und schon gar nicht transparent. Wenn diese Plattformen vielleicht Daten austauschen, weiß ich nicht, auf welche Weise und wie sicher das passiert. Wenn einzelne Abteilungen dann ihre Anwendungen in einer Schatten-Cloud haben, wird das für ein Unternehmen daher zu einer echten Herausforderung.

Wenn auf Events oder in Medien immer von der Geschwindigkeit und Agilität im Business die Rede ist, muss man einmal feststellen, dass die Fertigungsindustrie in der Realität noch weit davon entfernt ist, nur die neuesten Technologien und Produkte einsetzen zu können. Wenn eine Maschine einen Millionenbetrag kostet, schafft man sich nicht alle zwei Jahre eine neue an. Das bedeutet, auch Anlagen zu betreiben, die 15 Jahre alt oder älter sind – und zwar mit der entsprechenden Software. Das gilt umso mehr, wenn man, so wie wir, viele Projekte gemeinsam mit Kunden macht. Da kann eine Anforderung dann schon heißen, mit veralteter Softw- oder Hardware zu arbeiten, die auf Windows XP oder älter läuft und die man seit langem nur noch gebraucht bekommt. Und gleich daneben sind selbstverständlich auch brandneue Maschinen im Einsatz. In solch einem heterogenen Szenario ist man natürlich intensiv mit der Security-Thematik konfrontiert.“

„Hier ist noch einiges zu tun, damit Security tatsächlich von Anfang an als integrativer Teil eines Geschäftsprozesses verstanden und auch so gelebt wird. Und nicht nur als ein punktueller Aspekt, den man kurz vor Ende noch schnell mit reinholen muss.

Wenn man sich in neue Plattformen wie Vertriebs-, Händler- oder Endkundenportale hineingibt, wird das zu einer doppelten Herausforderung. Das eine ist die Security-technische: Wenn man dabei auf bereits gelebte Sicherheitsstandards aufsetzen kann, macht das einiges leichter. Wenn sich aber zum Beispiel alle Vertriebspartner auf eine neue 2-Faktor-Authentifizierung umstellen müssen, dann wird das nicht nur technisch sensibel, sondern stößt zugleich auch oft auf wenig Verständnis und Bewusstsein, zum Beispiel für den Wert von Daten und für Fragen wie: Welche Folgen kann es haben, wenn diese Daten nach außen gehen?

Um solch ein Bewusstsein erfolgreich zu verankern, muss sich Security allerdings in einem sinnvollen Rahmen abspielen und die Leute nicht zur Verzweiflung treiben, weil sie nur mehr von Authentifizierungen überflutet werden. Und bei allen nötigen Investitionen in die Security muss man immer das Ganze im Auge behalten. Wenn die Investitionen höher werden als der Wert, den es zu schützen gilt, dann stimmt die Balance nicht mehr. Es geht letztlich zunehmend um Abwägen und Bewerten: Welcher Aufwand und welches Risiko sind vertretbar, wenn ich mich zum Beispiel für eine Plattform öffne?
Diese Bewertung kann die IT nicht liefern, die muss vom Business kommen. Was die IT aber beitragen kann und muss, ist selbstverständlich die laufende Security-fachliche Expertise: Welche Bedrohungen gibt es aktuell? Gibt es neue technische Lösungen? Und diese Expertise muss dann auch möglichst verständlich kommuniziert und in die Breite getragen werden. Damit kann die IT erheblich dazu beitragen, dass Security von einem technischen Thema zu dem wird, was sie sein muss: zu einem Thema für das ganze Unternehmen.“