Hamburger IT-Strategietage


IT-Strategietage 2016

IT-Sicherheit - die hässliche Schwester der Digitalisierung

18. Februar 2016
Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Keine IT-Transformation ohne ihre "hässliche Schwester" Cyber Security - Ralf Schneider, Group CIO der Allianz appellierte an die Teilnehmer der Hamburger IT-Strategietage, sich deshalb ein umfassendes Sicherheitskonzept aufzubauen.
Ralf Schneider, Group CIO der Allianz SE, auf den Hamburger IT-Strategietagen 2016.
Ralf Schneider, Group CIO der Allianz SE, auf den Hamburger IT-Strategietagen 2016.
Foto: Foto Vogt

"Ich will versuchen, hier nicht als Spaßbremse aufzutreten", eröffnete Schneider seinen Vortrag - kein leichtes Unterfangen angesichts des ernsten Themas seines Vortrags. Der AllianzAllianz-CIO kam deshalb direkt zum Punkt: "Wenn Sie sich mit dem Thema Cyber SecuritySecurity beschäftigen, schauen Sie in einen Abgrund - und irgendwann schaut der auf Sie zurück, wenn Sie nichts unternehmen. Kümmern Sie sich um Ihre Unternehmenswerte und deren Sicherheit - rechtzeitig und umfassend." Top-500-Firmenprofil für Allianz SE Alles zu Security auf CIO.de

Die Absicherung der analogen Welt sei über die Jahrzehnte komplett durchstrukturiert worden - mit RisikoversicherungenRisikoversicherungen, zertifizierten Lehr- und Studienberufen und funktionierenden Sicherheitskonzepten. Doch sobald sich die analoge Welt nun mit der digitalen vermische, griffen viele dieser etablierten Mechanismen nicht mehr. So schön die Möglichkeiten der DigitalisierungDigitalisierung auch seien, so hässlich und gefährlich wirkten die Fragestellungen rund um die Bedrohungen, machte Schneider deutlich. "Software ist lautlos und unsichtbar - Sie sehen die Gefahr nicht mehr sofort, das macht es so gefährlich." Alles zu Digitalisierung auf CIO.de Top-Firmen der Branche Versicherungen

Menschen, Prozesse, Technik

Der CIO sei grundsätzlich in zentraler Position mit dem Risiko konfrontiert, müsse vorbereitet sein und die richtigen Gegenmittel zur Hand haben. "Sie müssen investieren - in Menschen, Prozesse und Technik", forderte der Allianz-CIO die mehr als 800 IT-Entscheider auf, gleichsam Geld für technische Abwehrsysteme als auch ausgebildete Fachkräfte in die Hand zu nehmen.

Um zu wissen, wo das knappe Budget am besten aufgehoben sei, müsse sich der CIO zunächst bewusst machen, wo das Risiko für sein Unternehmen genau liege, so Schneider. "Welche Unternehmenswerte, also critical assets, will ich schützen? Wo liegen mögliche Schwachstellen in meinen Systemen und Netzen? Gegen welche konkreten Bedrohungen will ich mich schützen?" - diese Fragen seien essenziell, die Antworten darauf ebenso.

"Jeder von Ihnen hat mindestens drei kritische Arten von Daten, um deren Absicherung Sie sich unbedingt kümmern müssen", so Schneider. Dazu gehörten:

  • personenbezogene Daten von Kunden und Partnern

  • intellectual property

  • Zugriffsberechtigungen für IT-Administratoren

Eine Vielzahl von Risikofaktoren

Schneider machte deutlich, dass zwar niemand alles absichern könne - aber zumindest die Stellen, wo zwei oder mehr Risikofaktoren zusammenkommen, sollten genauer unter die Lupe genommen werden. Als Onlinehändler, dessen Geschäftsmodell nahezu ausschließlich auf einem Webshop basiert, müsse beispielsweise der gezielte Schutz vor DDoS-Attacken (Distributed Denial of Service) an oberster Stelle stehen. Wer große Unternehmensnetze zu verwalten habe, solle sich intensiv um Logging- und Montoring-Services kümmern, um den Traffic und die Aktivitäten im Blick behalten zu können.

Und dann gebe es natürlich noch die hochkritischen Sicherheitslücken in Standardsoftware oder anderen IT-Systemen, die nahezu jedes Unternehmen im Einsatz habe und um die sich daher umgehend gekümmert werden solle. Allein in den vergangenen beiden Jahren habe es laut Schneider mehr als 750 solcher Schwachstellen gegeben - darunter so bekannte wie "Heartbleed", die Lücke in der Open-Source-Bibliothek OpenSSL, oder "Shellshock", das Loch in der Unix-Shell Bash.

Von der Prävention zur Partnerschaft

Der Allianz-CIO warb für ein umfassendes Sicherheitskonzept, das mit der Prävention beginnt. Über die Erkennung der Risiken und die (forensische) Behandlung von Sicherheitsvorfällen komme man zur Counter Intelligence, zu geeigneten Gegenmitteln. Als Königsdiziplin und letzten Schritt sollten Unternehmen zu gemeinsamen Lösungen und Security-Partnerschaften kommen - IT-Security sei schließlich kein solitäres Thema für ein einzelnes Unternehmen. Über die Zusammenarbeit fiele im nächsten Schritt schließlich auch die Prävention neuer Sicherheitsvorfälle um einiges leichter, so Schneider.

Was das einzelne Unternehmen angehe, sei schon viel gewonnen, wenn die Vertraulichkeit, die Integrität und die Verfügbarkeit von Daten und IT-Services gewährleistet sei. So appellierte der Allianz-CIO an die Teilnehmer der IT-Strategietage, sich regelmäßig auch um die im Unternehmen vorgehaltenen Datenbestände zu kümmern. "Denken Sie immer daran: Wir sind verletzlich - jedes große wie kleine Unternehmen", schloss Schneider seinen Vortrag. Allein das Bewusstsein um diese Verletzlichkeit sei indes schon der erste Schritt hin zu einem Sicherheitskonzept.

Fazit

Die digitale Transformation bringt neue Sicherheitsrisiken mit sich. Diese ließen sich nicht vermeiden und könnten auch nicht vollständig ausgeschlossen werden, erklärte Allianz-CIO Ralf Schneider. Wer sich aber des Risikos dieser "hässlichen Schwester der Digitalisierung" ebenso bewusst sei wie der eigenen, schützenswerten Unternehmenswerte, könne recht schnell ein Security-Konzept aufsetzen, das im besten Fall in Partnerschaften mit anderen Unternehmen münden sollte. Dazu bedarf es nicht nur funktionierender ITIT, sondern vor allem auch ausgebildeter Security-Experten und damit einhergehender Prozesse. Alles zu Finance IT auf CIO.de