Probleme und Strategie

Cyber Security zwingt CIOs zum Umdenken

13. Mai 2014
Von Mathieu Poujol
Das Prinzip "Harte-Schale-weicher-Kern" taugt nicht mehr angesichts einer Cloud-basierten, datenintensiven, mobilen und ständig vernetzten Welt. Mathieu Poujol von PAC erläutert in seiner Kolumne, wie CIOs ihre Cyber Security neu aufstellen können.
Mathieu Poujol ist Principal Consultant, Cyber Security, Infrastructures and Middleware bei Pierre Audoin Consultants (PAC).
Mathieu Poujol ist Principal Consultant, Cyber Security, Infrastructures and Middleware bei Pierre Audoin Consultants (PAC).
Foto: PAC

Wir leben in einer zunehmend digitalisierten und global vernetzten Welt. Grundlagen dieses IT-intensiven Wirtschaftsmodells sind das Internet sowie miteinander verbundene, auf Collaboration basierende Geschäftsmodelle, die offene Prozesse, Systeme und Daten erfordern. Es entstehen zahlreiche neue Geschäftsmöglichkeiten - ähnlich wie in der Renaissance, als die Flotten der europäischen Staaten neue Märkte erschlossen und so das moderne Zeitalter einläuteten.

Damals stellten Piraten und Seeräuber eine Bedrohung für das neu entstehende Wirtschaftssystem dar. Ebenso ist es heute im Zeitalter der "digitalen Revolution".

Die Vision - Digitales Vertrauen braucht neue Herangehensweise

Erste Priorität beim Thema Cyber Security ist es, "digitales Vertrauen" auf den neuen Kommunikations- und Handelsrouten zu etablieren. Angesichts der immer drastischeren Auswirkungen von Cyber-Attacken auf unsere Wirtschaft, ist Cyber Security ständig in den Schlagzeilen. Dieses Vertrauen ist für unsere Unternehmen und Volkswirtschaften unerlässlich, wenn sie das gesamte Potenzial der digitalen Revolution voll ausschöpfen wollen. Es impliziert jedoch eine neue Herangehensweise an Cyber-Sicherheit.

Bislang war Cyber Security von der Abschirmung mittels einer starken, undurchlässigen Außenhülle dominiert, ähnlich einer mittelalterlichen Festung. In einer Cloud-basierten, datenintensiven, mobilen und ständig vernetzten Welt erleben wir jedoch einen Paradigmenwechsel.

Wie in der Renaissance, als sich die Städte mit ihren mittelalterlichen Befestigungsmauern allmählich nach außen öffneten, muss auch unsere Wirtschaft diese Öffnung vollziehen.

Diesen Tatsachen müssen Sie ins Auge blicken

Die digitalisierte Welt wirkt sich grundlegend auf Ihr Unternehmen und die Art der Angriffe auf dessen Sicherheit aus. Stellen Sie sich also auf folgende Realitäten ein:

  • Sie können nicht alles schützen.

  • Dennoch werden immer größere Teile Ihrer Unternehmenssysteme - und damit immer größere Teile ihres Geschäfts - ins Internet verlagert.

  • Im digitalen Zeitalter lassen sich Informationsflüsse nur schwer aufhalten.

  • Reaktivität bestimmt immer stärker Ihr Geschäft.

  • Die Regulierung von staatlicher Seite nimmt zu; damit steigt auch die Zahl der Vorschriften, die Sie einhalten müssen.

Die Threat Landscape ändert sich

Gleichzeitig ändert sich auch das Bedrohungsumfeld - die sogenannte "Threat Landscape":

  • Das Umfeld ist global, und Cyber-Attacken sind überall auf dem Vormarsch.

  • Interne Sicherheitsangriffe sind genauso zahlreich und gefährlich wie externe.

  • Auch Cyber-Piraten versuchen, die Möglichkeiten zu nutzen, die ihnen die digitalisierte Welt bietet.

  • Dank Cloud Computing stehen ihnen die besten Waffen und enorme Ressourcen zur Verfügung.

  • Sie sind agil.

Diese Gegebenheiten und Bedrohungen implizieren grundlegende Veränderungen für die Cyber-Sicherheit in Ihrem Unternehmen. Während die harte Außenhülle Ihrer IT-Systeme durchlässiger werden muss, gilt es die Abwehr im Kern zu verstärken. Und dies muss in einem ganzheitlichen Ansatz unter Einbeziehung aller Fachbereiche erfolgen.

Die Hindernisse auf dem Weg zu Cyber Security

Holistic Security Management
Holistic Security Management
Foto: PAC

Cyber Security ist zweifelsfrei der wichtigste Katalysator für die digitale Transformation Ihres Unternehmens. Bevor Sie jedoch StrategienStrategien dafür ausarbeiten, müssen die erforderlichen Ressourcen zur Verfügung stehen sowie die Unterstützung der Geschäftsleitung gewonnen werden. Alles zu Strategien auf CIO.de

Viele Unternehmen sehen Cyber-Security-Projekte als eine Versicherung gegen mögliche Angriffe an. Sie tendieren in der Regel dazu, sich dabei an regulatorische Vorschriften zu halten, gehen aber nicht über diese hinaus oder modifizieren sie.

Besser das Geld zum Fenster rauswerfen

PAC kennt Fälle deutscher Unternehmen, die auf Druck der Auditoren in ein IT Security Operation Center (SOC) investierten. Dies ist eigentlich eine großartige Idee, aber um die Investition in Grenzen zu halten, betrieben diese Unternehmen ihr SOC nur zu den gängigen Geschäftszeiten. Bedenkt man, dass ein Großteil der Angriffe aus Ostasien kommt, könnte man das Geld auch aus dem Fenster werfen.

Die Auswirkungen zeigen sich den Anwendern und der Unternehmensleitung häufig erst dann, wenn bereits Schaden angerichtet wurde. Dann ist es zu spät. Um dies zu vermeiden, muss Cyber Security als Teil des globalen Risikomanagements des Unternehmens gesehen werden und muss als solches von höchster Ebene unterstützt werden:

  • Hacker "aus Spaß" gibt es so gut wie keine mehr. Heute sind Hacker auf Geld, geistiges Eigentum und Geschäftsgeheimnisse aus.

  • Cyber-Attacken können dazu führen, dass Unternehmen Kunden verlieren, an Shareholder Value einbüßen und letztlich die Verantwortlichen in der Geschäftsleitung entlassen müssen. Ein anschauliches Beispiel dafür war der Angriff auf Sonys PSN.

  • Die gesetzlichen Vorschriften zum Thema Cyber Security entwickeln sich insbesondere in Deutschland sehr schnell weiter.

  • Cyber Security stellt inzwischen einen Wettbewerbsvorteil dar.

Mittlere Führungsebene und Anwender ins Boot holen

Beim Thema Cyber Security müssen alle Stakeholder eines Unternehmens beteiligt werden, da Sicherheit im umgekehrten Verhältnis zum Benutzerkomfort für die Anwender steht. Die Sicherheitsregeln und -Tools dürfen die Betriebsabläufe, die Flexibilität und die Beweglichkeit eines Unternehmens nicht zu sehr beeinträchtigen, da sie sonst nicht eingehalten oder benutzt werden.

Da eine Sicherheitsverletzung durchaus den ganzen Betrieb lahmlegen kann, ist es sehr wichtig, die mittlere Führungsebene und die Anwender mit ins Boot zu holen.

Mittel gegen Fachkräftemangel: Automatisierung und Outsourcing

Eine der größten Hürden ist der Mangel an Fachkräften. Sicherheitsexperten sind am Markt schwer zu finden, und von IT-Dienstleistern bis zu Regierungsbehörden sind alle auf der Suche nach solchen Fachleuten. Außerdem verfügen nur wenige Unternehmen über internes Fachwissen, vor allem im deutschen Mittelstand. Automatisierung und OutsourcingOutsourcing spielen hier eine wichtige Rolle. Alles zu Outsourcing auf CIO.de

CISO nicht vorhanden oder machtlos

Zu guter Letzt haben nur wenige Unternehmen die offizielle Position eines CISO (Chief Information Security Officer) geschaffen. Der für Cyber Security Verantwortliche ist immer noch häufig abhängig vom IT-Leiter und kann lediglich begründete Stellungnahmen abgeben, verfügt jedoch meist nicht über ein ausreichendes Budget oder Entscheidungsbefugnisse. Ganz zu schweigen davon, dass es immer problematisch ist, die Arbeit seiner Vorgesetzten zu beurteilen.

Ganzheitlicher Ansatz für Cyber Security

Diese Hindernisse können nur durch einen ganzheitlichen Ansatz beim Thema Cyber Security überwunden werden.

Wie es funktioniert

Die Umsetzung eines ganzheitlichen Sicherheitskonzepts muss nach dem Top-Down-Prinzip erfolgen und auf dem Risikomanagement basieren. Zuerst müssen Sie sich den Kern Ihrer IT-Systeme und Ihre Aktivitäten vornehmen:

  • Datenklassifizierung

  • Evaluierung kritischer Prozesse

Hier ist eine enge Zusammenarbeit mit den Fachbereichen erforderlich.

Darüber hinaus müssen Sie eng mit der IT-Abteilung kooperieren, da sämtliche IT-Systeme betroffen sind. So ist Cyber Security beispielsweise fast nutzlos ohne IT-Asset-Management oder ohne genaue Kenntnis der IT-Architektur. Wie kann man etwas schützen, das man nicht kennt?

Bei jedem IT-Projekt die Sicherheit berücksichtigen

Sicherheit muss auch Teil jedes IT-Projekts werden, und zwar über den gesamten Zyklus von der Konzeption bis zur Instandhaltung. Sicherheit muss ein integraler Bestandteil der Architektur von IT-Projekten werden.

Ist diese Grundlage geschaffen, können Sie damit beginnen, Ihre Cyber-Security-Strategie zu steuern und die nötigen ToolsTools und Ressourcen auszuwählen - und nicht in umgekehrter Reihenfolge, wie es häufig von IT-Anbietern suggeriert wird. Alles zu Tools auf CIO.de

Mathieu Poujol ist Principal Consultant, Cyber Security, Infrastructures and Middleware bei Pierre Audoin Consultants (PAC).