Cybersecurity als Treiber fürs Geschäft verstehen

Im Rahmen der digitalen Transformation schaffen Unternehmen immer mehr möglicher Angriffsvektoren für Kriminelle. Dazu zählen etwa die Arbeit im Homeoffice, oft mit eigenen Geräten der Beschäftigten, oder die intensivere Nutzung von IoT-Devices. So verwundert es nicht, dass in Deutschland in den vergangenen Jahren jedes zweite Unternehmen zumindest einmal das Opfer einer Cyberattacke geworden.

Der CIO als Risiko- und Krisenmanager

Die Wirtschaft befindet sich seit mehr als zwei Jahren in einem permanenten Krisenmodus. Die Aufgabe des CIO hat sich nicht zuletzt unter dem Druck der zahlreichen extern hervorgerufenen Krisen, wie derPandemie oder dem Ukraine-Krieg, in Richtung Krisen- und Risikomanager gewandelt.

CIOs arbeiten daran, Logistikabläufe, Lieferketten, Geschäfts- und Dienstleistungsmodelle, Partnerschaften und Standorte aufrechtzuerhalten, zu verändern oder zu stärken. In vielen Organisationen wirken indes noch veraltete Vorstellungen und Rollenverständnisse nach. Dort wird (IT-) SecuritySecurity als reine Unterstützungsfunktion und als Cost-Center gesehen. Alles zu Security auf CIO.de

Heute sind aber andere Rollen und eine andere Wertigkeit des Themas Sicherheit nötig. Denn Security ist ein wichtiger Enabler für die geschäftlichen Ziele eines Unternehmens.

Gatekeeper zum strategischen Business-Partner

Traditionelle Cybersecurity-Strategien und deren Lösungen haben einen eher schlichten Ansatz verfolgt. Es ging in der Regel um rein binäre Entscheidungen über den Zugang zu Daten und Systemen. Entweder gab es eine Erlaubnis oder Zugang und Zugriff wurden blockiert. Damit hatten CIOs und CISOs aus Sicht anderer Abteilungen eine Machtposition inne. Trotz gemeinsamer Ziele herrschen in vielen Unternehmen noch "kämpferische" und "dysfunktionale" Beziehungen zwischen Sicherheitsexpertinnen und -experten und ihren IT-Kollegen.

Security darf heute nicht mehr ausschließlich den Aspekt "Sicherheit" berücksichtigen. Compliance-Vorgaben einzuhalten ist ebenso ein Teil davon. Maßnahmen, die externe Attacken abwehren, tragen in der Regel auch zu mehr DatenschutzDatenschutz und anderen regulatorischen Vorgaben bei. Bezüglich der Resilienz des Unternehmens und des "Business Continuity Management" ist Security eine strategische Aufgabe. Damit ist sie eine wichtige Säule für den Geschäftserfolg. Alles zu Datenschutz auf CIO.de

CIOs sollten innerhalb der Führungsstrukturen des Unternehmens diese Bedeutung unterstreichen und ihre strategische Positionierung stärken. Das beginnt bereits beim RecruitingRecruiting: Sicherheitsfachleute zeichnen sich in der Regel durch ein umfassendes Fachwissen aus. Das allein genügt jedoch nicht mehr. Genauso wichtig ist geschäftsorientiertes Denken und Verständnis für die Business-Zusammenhänge der Organisation. CIOs sollten das bei der Suche nach Personal berücksichtigen oder die Qualifikationen ihrer Mitarbeitenden in diesen Bereichen stärken. Alles zu Recruiting auf CIO.de

Security muss agiler werden

Der "Gatekeeper"-Ansatz vieler Security-Lösungen blieb über viele Jahre unangetastet. Das traditionelle Konzept einer Sicherheitsarchitektur sieht vor, einen sicheren Bereich um die Unternehmensressourcen herum aufzubauen und den Datenverkehr zu überwachen. Im Zeitalter der Cloud, vernetzter Mikroservices und IoT-Devices, die physisch an verschiedenen Orten gehostet werden, muss dieses Konzept jedoch löchrig werden. Angreifer haben sich zudem inzwischen auf die geänderte IT-Architektur eingestellt und nutzen selbst die Cloud, um von dort aus Ziele in der Cloud zu bedrohen.

Um Security in diesem Umfeld zu transformieren, gilt es StrategienStrategien und Architekturen auszuwechseln. Eine cloudbasierte Sicherheitsarchitektur schützt nicht nur das Unternehmensnetzwerk, sondern auch die Arbeitsplätze der Mitarbeitenden - unabhängig von deren Aufenthaltsort. SD-WAN und Zero Trust Network Access (ZTNA) spielen in diesem Zusammenhang eine wichtige Rolle. Alles zu Strategien auf CIO.de

Wird die Sicherheit unabhängiger vom Ort und bezieht sich weniger auf Systeme, sondern stärker auf die Ebene von Dateien und Dokumenten, steigt die Agilität und Flexibilität des Unternehmens insgesamt. Neue Standorte, Geschäftsmodelle oder Partnerschaften lassen sich schneller und unkomplizierter erschließen.

Künstliche IntelligenzKünstliche Intelligenz (KI) bildet die Basis solcher Architekturen: Security aus der Cloud wird sprichwörtlich intelligenter. KI unterstützt dabei, Anomalien zu erkennen und steuert in Abhängigkeit des jeweiligen Kontexts den Zugang und den Zugriff auf Daten oder die Nutzung von Ressourcen. Alles zu Künstliche Intelligenz auf CIO.de

Mit einem kontextbezogenen Verständnis von Datentypen und ihrer Verwendung lassen sich Richtlinien mit einer höheren Granularität entwerfen. Der Fokus auf den Daten und nicht einer Anwendung bedeutet mehr Flexibilität und Agilität, denn Geschäftseinheiten können innovativ arbeiten und Produktivitätssteigerungen erzielen, ohne sich durch zeitaufwendige Sicherheitsgenehmigungen kämpfen zu müssen.

Strategisch sollten CIOs deshalb auch über neue Konzepte wie Secure Access Service Edge (SASE) nachdenken.

Auslagern, was nicht strategisch relevant ist

Fokussiert sich Security auf strategische Aspekte, sollten die gesamte bisherige Struktur und alle Prozesse neu bewertet werden. Interne Ressourcen, die keine strategische Bedeutung haben, bieten sich für das OutsourcingOutsourcing an. Häufig sind mit der Auslagerung von Security-Prozessen und Lösungen auch bessere Service-Level sowie KonsolidierungKonsolidierung von Tools verbunden. Statt ein Notfall-Team 365 Tage rund um die Uhr selbst zu unterhalten, übernehmen Dienstleister diese Aufgabe. Gemeinsam mit ihnen kann auch geprüft werden, welche On-premises-Lösungen verzichtbar sind, weil diese durch die Services abgedeckt sind. Alles zu Konsolidierung auf CIO.de Alles zu Outsourcing auf CIO.de

Somit ergeben sich große Sparpotenziale bei den IT-Kosten. Ein Hebel sind hier etwa geringere Netzwerkkosten, weil Datenverkehr nicht mehr zu Appliances im RechenzentrumRechenzentrum geleitet werden muss. Security trägt so auch ganz unmittelbar zur Erreichung der wirtschaftlichen Ziele bei. Alles zu Rechenzentrum auf CIO.de

Security beginnt mit einer robusten Organisation

Die Rolle von Security als Business Enabler und Motor für mehr Flexibilität der Geschäftsprozesse beginnt mit einer robusten Organisation, in der Sicherheit nicht als bloßes Beiwerk verstanden wird. Bereits in Entwicklungs- und Betriebsprozessen und Projekten müssen CIOs dafür sorgen, dass die Sicht von Expertinnen und Experten von Anfang an einfließt. Nachträgliche Veränderungen an Konzepten und Code sind immer teuer. Das kann nur funktionieren, wenn es ihm gelingt, Organisationsformen zu etablieren, die zu diesem Ziel beitragen. Der Wandel von DevOpsDevOps in Richtung von DevSecOps-Prozessen zählt dazu. Alles zu DevOps auf CIO.de

Im Zusammenspiel mit agileren Security-Tools können Entwicklungen, Services und Prozesse selbst agiler werden. Ein Patentrezept dafür gibt es leider nicht. Hier muss jedes Unternehmen seinen eigenen Weg finden. Um Dysfunktionalität zu überwinden, können etwa Abstimmungsprozesse und Teamsitzungen etwabliert werden, in denen Fachpersonal sein Wissen einbringt.

CIOs und CISOs haben es in der Hand, die Cybersecurity als Motor für den wirtschaftlichen Erfolg ihrer Organisation zu positionieren, wenn sie klug agieren und durch die optimale Toolauswahl die Sicherheit zu transformieren. (jd)