Das richtige Werkzeug ist Waffe und Segen zugleich

Der ambitionierte IT-Security-Verantwortliche befindet sich in einem immensen Spannungsfeld. Einerseits soll er sicherstellen, dass sämtliche Geschäftsprozesse und jede eingesetzte Software die aktuellen Sicherheitsnormen erfüllen. Andererseits wird erwartet, dass die Mitarbeiter sicherheitsbewusstes Handeln erlernen, stets umsichtig sind und keine Fehler machen. Zudem möchten das Management und die Umsatzverantwortlichen, dass neue Ideen in möglichst kurzer Zeit mit "richtigen" Kunden in der Praxis ausprobiert werden können. Sie wollen zusätzliches Geschäft, digitale Nähe und höhere Loyalität bestehender Kunden erreichen.

Darüber hinaus gibt es diverse regulatorische Richtlinien, branchenspezifische Compliance-Anforderungen und neue Bedürfnisse auf dem Markt, die mit teils drakonischen Strafen – beispielsweise bei der EU-DSGVO bis zu vier Prozent des Umsatzes – geahndet werden können. Eine komplexe Vielfalt von Herausforderungen und eine grosse und scheinbar unmögliche Aufgabe für den IT-Security-Verantwortlichen. Die Auswirkungen der fortschreitenden digitalen Transformation sind nicht nur im IT- und im Businessbereich, sondern auch im IT-Security-Bereich zu spüren. Um heute erfolgreich zu sein, sind Management- und Kommunikationsfähigkeiten sowie Kooperationsbereitschaft und unternehmerisches Denken für Sicherheitsverantwortliche genauso essenziell wie Fachwissen im IT-Security-Bereich.

Digitalisierungsprojekt mit Augenmass und ­Kundenorientierung

Man stelle sich ein Unternehmen vor, beispielsweise eine Versicherung, die sich mittels digitaler Innovationen von der Konkurrenz abheben möchte. Mit dem Ziel, neue Kunden anzuwerben, wird eine neue Digitalisierungsinitiative lanciert. Alle Beteiligten sind bestrebt, das gemeinsame Ziel zu erfüllen: "on time" und "on budget". Alle Projektmitarbeiter arbeiten agil und in kurzer Zeit wird ein Minimum Viable Product (MVP) erstellt, das durch den frühen Einsatz von User Experience (UX) Design schnell visuell überzeugt und das Management begeistert.

Technische Fragen bezüglich Modularisierung, Leistungsfähigkeit und zukünftiger Erweiterbarkeit oder auch die mögliche Integration von Diensten von Drittanbietern werden übersehen oder absichtlich nicht berücksichtigt. Während vielerorts schon Vorfreude und Euphorie über die schnelle Innovation ausbricht, tritt die IT-Security auf die Bremse und moniert, dass dieses MVP so keinesfalls live gehen kann.

Warum die Skepsis? Wichtige Industriestandards wurden nicht eingehalten, die Auditierbarkeit ist nicht gegeben, die Verwaltung der Benutzeridentitäten wurde aussen vorgelassen – ganz zu schweigen von einer starken Benutzer-Authentisierung. Zahlreiche ungeahnte Risiken lauern im Hintergrund.

Ziele der Security kollidieren mit übergeordneten Geschäftsinteressen

Die Ziele der IT-Security sehen vor, dass businessrelevante Prozesse ausnahmslos alle relevanten Sicherheitsanforderungen erfüllen – sei es eine Bank, eine Versicherung, eine Behörde oder ein Industriekonzern. Die Business-Seite will nichts über ungenügende Sicherheit, eine Verlangsamung oder gar eine Verteuerung von Projekten wissen. Das Ziel ist, Kunden in möglichst kurzer Zeit zu beeindrucken.

Die Ansprüche steigen stetig. Architekturen und Lösungen, die höchste Sicherheitsanforderungen erfüllen, flexibel und multifunktional betrieben werden können und es den Unternehmen ermöglichen, neue Ideen und Initiativen rasch umzusetzen, sind rar. Viele reine Security-Lösungen stellen lediglich eine Art Schutzsystem dar. Zusätzliche Budgetanfragen für nachträgliche Sicherheitsmassnahmen sind unerwünscht und problematisch. Findet man jedoch eine Lösung, die messbaren Zusatznutzen mit sich bringt, kann die Security von der Bürde zum Beschleuniger digitaler Chancen werden.

Wer ohne Security digitalisiert, riskiert Image, ­Umsatz und die Zukunft des Unternehmens

Unvorsichtiges Verhalten kann ein negatives Nachspiel haben: Hohe Kosten können beispielsweise für die Zahlung von Strafgeldern oder Anwaltsgebühren entstehen, durch regulatorische Sanktionen, die Datenwiederherstellung, die Unterbrechung der Betriebstätigkeit, den Verlust vertraulicher Daten oder gar durch eine Cyber-Erpressung anfallen. Am schwerwiegendsten sind jedoch die Kosten eines Reputationsschadens und die damit verbundenen, finanziellen Konsequenzen. Unternehmen sollten daher zusätzlich zur Innovationsagenda ein vitales Interesse daran haben, die Privatsphäre sowie die Integrität ihrer Kunden, Partner, Lieferanten und der eigenen Mitarbeiter zu schützen. Kurz gesagt: ein signifikanter Sicherheitsvorfall kann ein Unternehmen in den Konkurs treiben.

Mit Elan zu neuen Erfolgen

Um mit dem Zuwachs neuer Webtechnologien Schritt halten zu können und gleichzeitig von Legacy-Systemen nicht gebremst zu werden, behelfen sich IT-Profis mit einer konsolidierten Betrachtung relevanter Fragenstellungen:

• Was kann ich beisteuern, um Business-Initiativen zu ­unterstützen?

• Wie kann ich dem Business als Beraterfunktion zur ­Seite stehen, um frühzeitig Sicherheitsmassnahmen ­angehen zu können?

• Wie reduziere ich das Risiko für das Unternehmen, das interne Anwender bewusst oder unbewusst darstellen können?

• Gibt es eine nachhaltige Architektur, die es uns erlaubt, schnell auf neue Businessanforderungen zu reagieren, ohne unsere eigenen Prozesse oder Sicherheitsvorgaben zu verletzen?

• Wie bleibt meine Applikationslandschaft agil, beziehungsweise muss ich bei jeder neuen Anforderung ein Analyseprojekt starten, ob die Business-Logik betroffen ist und dies in der Folge hohe Komplexität, Aufwand und Risiken mit sich bringt?

• Mit welchen Werkzeugen kann ich mein Team ausrüsten, um adäquat auf solche Fragestellungen und die berechtigten Wünsche des Business reagieren zu können?

• Wie gelingt das Onboarding eines neuen Kunden mittels eines niederschwelligen und einfachen Benutzererlebnisses?

Verteidigung ist nicht alles

Sicherheitsmassnahmen zur Verteidigung allein reichen nicht aus: Es besteht nicht nur die Herausforderung, Angriffe sofort erkennen zu müssen, um adäquat darauf reagieren zu können, sondern es werden heute auch weitere multifunktionale Werkzeuge gefordert.

Das richtige Werkzeug kann Schutz und Hilfsmittel zugleich sein. Einerseits dient es der Verteidigung, andererseits als wertvolles Mittel, um neue Initiativen zu ermöglichen. So stiften moderne Sicherheitsarchitekturen einen nachhaltigen Zusatznutzen für das Business und gleichermassen für die Einhaltung der Sicherheitsrichtlinien.

Die Business-Logik beziehungsweise die Zielanwendungen müssen abgesichert und die zentrale und sichere Benutzerverwaltung und -authentifizierung zuverlässig gewährleistet werden. Und zwar über alle bestehenden und zukünftigen Services hinweg, die für die Erreichung der Geschäftsziele notwendig sind.

Es ist richtig, die IT-Security als relevantes Geschäftsrisiko zu betrachten. Deswegen aber auf Experimente zu verzichten oder mittels punktueller Lösungen auf das Prinzip Hoffnung zu setzen, ist keine nachwirkende Option. Besser ist es, sich mittels langfristiger, resilienter Lösungen einen Wettbewerbsvorteil zu verschaffen: denn der Druck zu noch mehr Digitalisierung und immer schneller und flexibler zu sein, wird auch in Zukunft nicht abreissen. Lösungen müssen dem Spannungsfeld von Business-Agilität, IT-Security und Compliance standhalten. Heute und morgen.