Sicherheitsansätze für Digitalisierungsprojekte: Das richtige Werkzeug ist Waffe und Segen zugleich

bei

 / 1. April. 2019

Das Spannungsfeld zwischen Business-Agilität, IT-Security und Compliance ist groß. Moderne Sicherheitsmaßnahmen mit multifunktionalem Zusatznutzen können digitale Prozesse beschleunigen. Mehr Erfolg für weniger Kosten. Zu schön, um wahr zu sein?

Der ambitionierte IT Security-Verantwortliche befindet sich in einem immensen Spannungsfeld. Einerseits soll er sicherstellen, dass sämtliche Geschäftsprozesse und jede eingesetzte Software die aktuellen Sicherheitsnormen erfüllen. Anderseits wird erwartet, dass die Mitarbeiter sicherheitsbewusstes Handeln erlernen, stets umsichtig sind und keine Fehler machen. Zudem möchten das Management und die Umsatzverantwortlichen, dass neue Ideen in möglichst kurzer Zeit mit ‚richtigen‘ Kunden in der Praxis ausprobiert werden können. Sie wollen zusätzliches Geschäft, digitale Nähe und höhere Loyalität bestehender Kunden schaffen.

Darüber hinaus gibt es diverse regulatorische Richtlinien, branchenspezifische Compliance-Anforderungen und neue Bedürfnisse auf dem Markt, die mit teils drakonischen Strafen – wie bei der DSGVO bis zu vier Prozent des Umsatzes – geahndet werden können. Eine komplexe Vielfalt von Herausforderungen und eine große und scheinbar unmögliche Aufgabe für den IT-Security-Verantwortlichen. Die Auswirkungen der fortschreitenden digitalen Transformation sind nicht nur im IT- und im Business-Bereich, sondern auch im IT-Security-Bereich zu spüren. Um heute erfolgreich zu sein, sind Management- und Kommunikationsfähigkeiten sowie Kooperationsbereitschaft und unternehmerisches Denken für Sicherheitsverantwortliche genauso essentiell, wie Fachwissen im IT-Security-Bereich.

Digitalisierungsprojekt mit Augenmaß und Kundenorientierung

Man stelle sich ein Unternehmen vor, beispielsweise eine Versicherung, die sich mittels digitaler Innovationen von der Konkurrenz abheben möchte. Mit dem Ziel, neue Kunden anzuwerben, wird eine neue Digitalisierungsinitiative lanciert. Alle Beteiligten sind bestrebt, das gemeinsame Ziel zu erfüllen: ‚on time‘ und ‚on budget‘. Alle Projektmitarbeiter arbeiten agil und in kurzer Zeit wird ein Minimum Viable Product (MVP) erstellt, welches durch den frühen Einsatz von User Experience (UX) Design schnell visuell überzeugt und das Management begeistert.

Technische Fragen bezüglich Modularisierung, Leistungsfähigkeit und zukünftiger Erweiterbarkeit oder auch die mögliche Integration von Diensten von Drittanbietern, werden übersehen oder absichtlich nicht berücksichtigt. Während vielerorts schon Vorfreude und Euphorie über die schnelle Innovation ausbricht, tritt die IT-Security auf die Bremse und moniert, dass dieser MVP so keinesfalls live gehen kann.

Warum die Skepsis? Wichtige Industriestandards wurden nicht eingehalten, die Auditierbarkeit ist nicht gegeben, die Verwaltung der Benutzeridentitäten wurde außen vorgelassen – ganz zu schweigen von einer starken Benutzer-Authentifizierung. Zahlreiche ungeahnte Risiken lauern im Hintergrund.

Ziele der Security kollidieren mit übergeordneten Geschäftsinteressen

Die Ziele der IT-Security sehen vor, dass business-relevante Prozesse ausnahmslos alle relevanten Sicherheitsanforderungen erfüllen – sei es eine Bank, eine Versicherung, eine Behörde oder ein Industriekonzern. Die Business-Seite will nichts über ungenügende Sicherheit, eine Verlangsamung oder gar eine Verteuerung von Projekten wissen. Das Ziel ist, Kunden in möglichst kurzer Zeit zu beeindrucken.

Die Ansprüche steigen stetig. Architekturen und Lösungen, die höchste Sicherheitsanforderungen erfüllen, flexibel und multifunktional betrieben werden können und es den Unternehmen ermöglichen, neue Ideen und Initiativen rasch umzusetzen, sind rar. Viele reine Security-Lösungen stellen lediglich eine Art Schutzsystem dar. Zusätzliche Budgetanfragen für nachträgliche Sicherheitsmaßnahmen sind unerwünscht und problematisch. Findet man jedoch eine Lösung, die messbaren Zusatznutzen mit sich bringt, kann die Security von der Bürde zum Beschleuniger digitaler Chancen werden.

Wer ohne Security digitalisiert, riskiert Image, Umsatz und die Zukunft des Unternehmens

Unvorsichtiges Verhalten kann ein negatives Nachspiel haben: Hohe Kosten können beispielsweise für die Zahlung von Strafgeldern oder Anwaltsgebühren entstehen, durch regulatorische Sanktionen, die Datenwiederherstellung, die Unterbrechung der Betriebstätigkeit, den Verlust vertraulicher Daten oder gar durch eine Cyber-Erpressung anfallen. Am schwerwiegendsten sind jedoch die Kosten eines Reputationsschadens und die damit verbundenen, finanziellen Konsequenzen. Unternehmen sollten daher zusätzlich zur Innovationsagenda ein lebhaftes Interesse daran haben, die Privatsphäre sowie die Integrität ihrer Kunden, Partner, Lieferanten und der eigenen Mitarbeiter zu schützen. Kurz gesagt: ein signifikanter Sicherheitsvorfall kann ein Unternehmen in den Konkurs treiben.

Verteidigung ist nicht alles

Sicherheitsmaßnahmen zur Verteidigung allein reichen nicht aus: Nebst der Herausforderung, Angriffe sofort erkennen zu müssen, um adäquat darauf reagieren zu können, werden heute weitere multifunktionale Werkzeuge gefordert.

Das richtige Werkzeug kann Schutz und Hilfsmittel zugleich sein. Einerseits dient es der Verteidigung, anderseits als wertvolles Mittel, um neue Initiativen zu ermöglichen. So stiften moderne Sicherheitsarchitekturen einen anhaltenden Zusatznutzen für das Business und gleichermaßen für die Einhaltung der Sicherheitsrichtlinien.

Mit Elan zu neuen Erfolgen

Um mit dem Zuwachs neuer Web-Technologien Schritt halten zu können und gleichzeitig von Legacy-Systemen nicht gebremst zu werden, behelfen sich IT-Profis mit einer konsolidierten Betrachtung relevanter Fragestellungen:

  • Was kann ich beisteuern, um Business-Initiativen zu unterstützen?
  • Wie kann ich dem Business als Beraterfunktion zur Seite stehen, um frühzeitig Sicherheitsmaßnahmen angehen zu können?
  • Wie reduziere ich das Risiko für das Unternehmen, welches interne Anwender bewusst oder unbewusst darstellen können?
  • Gibt es eine Architektur, die es uns erlaubt, schnell auf neue Business-Anforderungen zu reagieren, ohne unsere eigenen Prozesse oder Sicherheitsvorgaben zu verletzen?
  • Wie bleibt meine Applikationslandschaft agil, bzw. muss ich bei jeder neuen Anforderung ein Analyseprojekt starten, ob die Business-Logik betroffen ist und dies in der Folge hohe Komplexität, Aufwand und Risiken mit sich bringt?
  • Mit welchen Werkzeugen kann ich mein Team ausrüsten, um adäquat auf solche Fragestellungen und die berechtigten Wünsche des Business reagieren zu können?
  • Wie gelingt das onboarding eines neuen Kunden mittels eines niederschwelligen und einfachen Benutzererlebnisses?

Die Business-Logik bzw. die Zielanwendungen müssen abgesichert und die zentrale und sichere Benutzerverwaltung und -authentifizierung zuverlässig gewährleistet werden, über alle bestehenden und zukünftigen Services hinweg, die für die Erreichung der Geschäftsziele notwendig sind.

Es ist richtig, die IT-Security als relevantes Geschäftsrisiko zu betrachten. Deswegen aber auf Experimente zu verzichten oder mittels punktueller Lösungen auf das Prinzip der Hoffnung zu setzen, ist keine nachwirkende Option. Besser ist es, sich mittels langfristiger, resilienter Lösungen einen Wettbewerbsvorteil zu verschaffen: denn der Druck zu noch mehr Digitalisierung und immer schneller und flexibler zu sein, wird auch in Zukunft nicht abreißen. Lösungen müssen dem Spannungsfeld von Business-Agilität, IT-Security und Compliance standhalten. Heute und morgen.

 

Roman Hugelshofer ist Managing Director Application Security bei der Ergon Informatik/Airlock und befasst sich seit mehr als 10 Jahren mit der Sicherheit von kritischen Web Applikationen und Identitäten. Er kennt die Herausforderungen und Ziele der Unternehmen, welche sich mit der Digitalisierung Ihres Geschäfts auseinandersetzen.