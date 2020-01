Das neueste Allianz Risk Barometer weist Cybervorfälle erstmals als das wichtigste Geschäftsrisiko für Unternehmen aus. Damit verdrängen IT-Gefahren mit 39 Prozent aller Antworten das Risiko von Betriebsunterbrechungen (37Prozent) auf den zweiten Platz. Auch die Industrie-Analysten sehen ein zunehmendes Sicherheitsrisiko durch eine massive Ausweitung der IT-Anwendungsfelder. "Die potenziellen Angriffspunkte für IoT, Cloud-Computing, Microservices und stark vernetzte Systeme werden massiv zunehmen", heißt es in einem Gartner-Bericht über die Top-Trends für 2020.

Das zeigt sich inzwischen auch an den öffentlichen Diskussionen. Kaum ein Tag vergeht, wo nicht von Dateneinbrüchen, Sicherheitsverletzungen oder Lösegelderpressungen zu hören ist. Daran wird sich auch wenig ändern, wenn sich die Welt der Cybersecurity nicht schnellstens verändert. So jedenfalls die Meinung des Anbieters Palo Alto Networks, der auf Cybersecurity spezialisiert ist.

Folglich ist schon dieses Jahr mit Veränderungen zu rechnen. Diese betreffen vor allem die Aufgaben und Tätigkeiten des Chief Security Information Officers (CISO). Doch sie adressieren auch viele neue IT-Bereiche und den Einsatz von Security-Technologien. Auf drei Gebieten erwarten die Security-Spezialisten von Palo Alto signifikante Veränderungen.

CISO: Vom Technokraten zum Business-Enabler

Die Rolle des CISO wird sich grundlegend wandeln. Und zwar vom technisch orientierten Nein-Sager zum proaktiven Business-Enabler, der mit dem CEO und CIO auf Augenhöhe kommunizieren kann. Bisher waren die Sicherheitsverantwortlichen zumeist konservative Behüter des Status quo und taten sich nur selten als aktive, progressive Businessgestalter hervor. "Yes, we can!" gehört bislang kaum zum Wortschatz der CISOs. Folglich meiden die Fachbereiche eine Zusammenarbeit.

"Noch immer werden viele CISOs von der Produktentwicklung ferngehalten, weil man befürchtet, dass sie die Innovationen nur verlangsamen", weiß Sergej Epp, CISO bei Palo Alto Networks, aus den täglichen Kundengesprächen zu berichten. Der CISO muss sich zunehmend als Geschäftsgestalter in seinem Unternehmen etablieren. Dafür spricht auch, dass bis 2023 die Effektivität der CISOs laut Gartner zu 30 Prozent daran gemessen werden wird, wie viel Wert sie für das Unternehmen schaffen. Was sind also die Trends die sich in der Agenda 2020 der CISOs herauskristallisieren?

Schluss mit dem Produktzoo

Die Cybersecurity wandelt sich von einem Flickenteppich aus Insellösungen zu einem holistischen Ansatz, der alle Teilbereiche konsolidiert. Das erfordert zwar einen technischen Neustart, doch der findet ohnehin statt - aufgrund neuer Infrastruktur- und Software-Möglichkeiten, wie Cloud-Computing und DevOps. Das ist eine Riesenchance, um den Zoo an Security-Technologien und Prozessen, die immer nur ein Loch nach dem anderen stopften, völlig neu zu gestalten. Diese Neugestaltung sollte drei Anforderungen erfüllen, um für die Geschäftsanforderungen gerüstet zu sein die sich stets schneller verändern: Agilität, Vereinfachung und Konsistenz.

Bei der Agilität geht es vor allem darum, die Cybersecurity dynamisch an die sich ständig wandelnden Geschäftsmodelle anzupassen. Die Vereinfachung dient hauptsächlich dazu, die nötigen Anpassungen mit Hilfe neuer Technologien schnell und unkompliziert vorzunehmen. Secure Access Service Edge (SASE) ist ein gutes Beispiel dafür. Wenn man heute zum Beispiel seine Mitarbeiter außerhalb des Büros absichern will, braucht man für diese nicht komplizierte Firewall-Infrastrukturen im eigenen Datencenter aufzubauen.

Stattdessen kann man mit einem Mausklick alle benötigte Netzwerk-, und Sicherheitsfeatures als Service direkt aus der Cloud konsumieren. Und die Forderung nach Konsistenz zielt vor allem auf einen neuen Security-Ansatz ab. Denn in der Vergangenheit wurden häufig nur die Symptome behandelt - nicht die Ursachen. So gab es für jedes Problem eigene Sicherheits-Regeln, -Prozesse und -Technologien.

Diesen Wildwuchs gilt es durch Konsolidierung abzubauen. Nur dann lassen sich Automatisierung und Maschinelles Lernen (ML) nutzen, um Risiken zu reduzieren und gleichzeitig Kosten zu senken. Wir erhalten ein "Single Pane of Glass" für die gesamte IT, inklusive dem, was in der Cloud oder im OT-Bereich betrieben wird.

"Wenn ein Unternehmen nur einen Public-Cloud Anbieter benutzt, dann erscheint es logisch nur diese Cloud abzusichern. Ein CISO der von Anfang an auf Multi-Cloud setzt, geht damit vielleicht einen Schritt zu weit, doch er ermöglicht dem Unternehmen einen schnellen Wechsel auf andere Anbieter. So wird dieser CISO vom Nein-Sager zum Business-Enabler", führt Epp weiter aus.

Zero Trust zwischen allen und allem

Die Industrial Control Systeme (ICT) dürften wesentlich stärker in den Blickwinkel der CISOs und CIOs geraten. Sehr oft werden IT, OT und die vielen Kommunikationsgeräte noch als technologische Inseln betrachtet. Doch mit der Vernetzung durch IoT und Edge-Computing sowie der Flut an mobilen Anwendungen steigt die Integration - und damit auch das Cyberrisiko.

"Man kann vielleicht eine 99-prozentige Sicherheit erreichen - aber nur dann, wenn man sich vom Rest der Welt isoliert. Das verhindert dann aber auch alle Innovationen und gefährdet den Geschäftserfolg des Unternehmens. Heute müssen alle Architekturen, Services und Produkte mit dem Internet anbindbar sein", sagt Steffen Hoffmann, CISO beim Chemiekonzern Boehringer Ingelheim.

Eine besonders erfolgreiche Strategie ist Zero Trust. Sie zielt darauf ab, die Kronjuwelen des Unternehmens zu schützen und blindes Vertrauen zwischen einzelnen Geräten, Applikationen und Netzen abzubauen. Die Zero-Trust-Strategie verhindert massive Schäden, wie sie durch Non-Petya, WannaCry oder Emotet aufgetreten sind; innerhalb weniger Minuten brachte ein einziges kompromittiertes Gerät alle Systeme eines ganzen Unternehmens zum Absturz.

Für viele Unternehmen kann so etwas einen Totalschaden bewirken. Thomas Tschersich, CSO bei der Deutsche Telekom fasst es zusammen: "Zero Trust ist nicht nur eine Technologie, es geht vielmehr auch um Prozesse und Denkweisen. Und diese gilt es zu verändern. In allen menschlichen Beziehungen ist Vertrauen unabdingbar, aber in der digitalen Welt wird es zum Risiko Nummer eins. Wer das verinnerlicht hat, wird auch das Prinzip hinter Zero Trust verstehen - und im eigenen Unternehmen erfolgreich umsetzen."

Letztendlich sieht Palo Alto Networks bei der Cybersecurity aber auch einige Konstanten, die sich insbesondere die CEOs immer wieder vor Augen führen sollten. "Wir müssen lernen zu akzeptieren, dass es in der digitalen Welt keine hundertprozentige Sicherheit gibt - genauso wie es keine hundertprozentige Sicherheit in der realen Welt gibt. Cybersicherheit muss sich also stärker an dem zukünftigen Geschäftserfolg und der Wirtschaftlichkeit ausrichten. In manchen Fällen bedeutet das weniger IT-Sicherheit und in manchen eben viel, viel mehr. Wichtig ist, dass die CISOs und CIOs an einem Strang ziehen." So der eindringliche Rat von Epp an die Führungsetagen.