griephan Edition by Bundesverband der Deutschen Industrie e.V.

01 | 2016

CYBER: TREIBER DES WANDELS

Eine Kooperation DVV | griephan und dem Bundesverband der Deutschen Industrie (BDI)

www.griephan.de

Edition

EDITORIAL_SCHULTE

CYBER: TREIBER DES WANDELS Wir haben den Titel ohne Fragezeichen gesetzt, denn es ist keine Frage mehr. In gewohnter Zusammenarbeit mit dem Bundesverband der Deutschen Industrie (BDI) wollen wir in dieser Ausgabe der griephan Edition die Herausforderungen des Cyber- und Informationsraums herausarbeiten. Den Anfang macht Dr. Katrin Suder, Staatssekretärin im Bundesverteidigungsministerium, mit einer Bestandsaufnahme, warum das Thema künftig „aus einer Hand“ – im Ministerium und auf der Ebene eines militärischen Kommandos – zu bereedern ist. Das Verteidigungsministerium geht im Cyberund Informationsraum innovative Wege und setzt auf robuste Lösungen. Unternehmen stehen vor der Frage, wie sie ihr Geschäft an die digitale Transformation anpassen. Diese Aussage steht im Mittelpunkt der Überlegungen von Claus Günther, Vorsitzender des BDI-Ausschusses für Sicherheit. Sein Fazit: Geht es um „Industrie 4.0“, muss IT-Sicherheit immer mitberücksichtigt werden – und das entlang der kompletten Wertschöpfungskette eines Produkts. Die Bedeutung des Gütesiegels „Made in Germany“ für den Cyber- und Informationsraum setzt Stefan Auerbach, Mitglied der Geschäftsführung Giesecke & Devrient, an den Anfang seiner Ausführungen: In Zeiten globaler Vernetzung ist es für Institutionen und Unternehmen wichtiger denn je, auf IT-Sicherheit „Made in Germany“ zurückgreifen zu können. Idealerweise wird IT-Sicherheit direkt bei der Entwicklung von Systemen eingepflegt. Und dabei gehört dem schwächsten Glied der Kette die größte Aufmerksamkeit.

ge stellt Martin Schallbruch, Digital Society Institute/ESMT Berlin. Er plädiert dafür, die Beurteilungsfähigkeit zu erhalten: Von welchen Systemen sind wesentliche Geschäftsprozesse abhängig? Ferner muss es einen konsequenten Sicherheitspragmatismus geben. Hochsicherheits-IT bringt nichts, wenn sie nicht in das ganze Unternehmen skalierbar ist. Der eigentliche Paradigmenwechsel findet in den Köpfen der Verantwortlichen und Beteiligten statt. Digitalisierung und Cyber sind Führungsaufgabe! Künftig findet sich auf der Leitungsetage neben dem Chief Operating Officer, dem Chief Financial Officer und dem Chief Compliance Officer eine weitere Position: Chief Information Officer. Heinz Schulte Chefredakteur DVV | griephan

Digitalisierung auf dünnem Eis – Beherrschen die Unternehmen die Digitalisierung ihres Geschäfts? Diese kritische Fra-

griephan Edition ist eine unregelmäßig erscheinende Sonderpublikation von griephan.

Verlag DVV Media Group GmbH | griephan Postfach 101609, D-20010 Hamburg Nordkanalstr. 36, D-20097 Hamburg www.dvvmedia.com | www.griephan.de Martin Weber (Geschäftsführer) Detlev K. Suchanek (Verlagsleiter)

Anzeigen Nadine Fliß (Anzeigenleitung) Dr. Uwe Wehrstedt (Anzeigenverkauf) E-Mail: wehrstedt@griephan.de

Redaktion Heinz Schulte (verantw.) Anna Sturm E-Mail: anna.sturm@dvvmedia.com

Druck TZ-Verlag, Roßdorf

griephan Edition 01/2016

Vertrieb Markus Kukuk (Vertriebsleitung) DVV Media Group

Deutscher Verkehrs-Verlag

EDITION_SUDER

Aus einer Hand Mit ihrem Tagesbefehl vom 26.04.2016 hat die Bundesministerin der Verteidigung die Grundlage für die detaillierte Ausgestaltung des Cyber- und Informationsraumes (CIR) sowohl auf Ebene BMVg mit einer neuen Abteilung für Cyber/IT (CIT) sowie innerhalb der Streitkräfte mit dem neuen militärischen Organisationsbereich CIR gelegt. Dr. Katrin Suder CYBER/IT AUS EINER HAND – DIE NEUE ABTEILUNG CIT IM BMVG In der neuen Ab-

teilung CIT im BMVg sollen ab Oktober 2016 unter der Führung eines „Ressort-Chief Information Officers (CIO)“ die Verantwortung und Ressourcen für das Thema Cyber und IT „in einer Hand“ gebündelt werden. Der CIO ist u. a. verantwortlich für die Digital- und Cyberpolitik, die IT-Strategie und -Architektur, die IT- und Cybersicherheit sowie die inhaltlich-strategische Steuerung der BWI (IT-Dienstleister der Bundeswehr). Dabei zeichnet der zukünftige CIO nicht nur für die in der Bundeswehr eingesetzten IT-Systeme und deren Weiterentwicklung verantwortlich, sondern ist auch Architekt des IT-Systems der Bundeswehr in seiner Gesamtheit, mit entsprechender Budgetverantwortung. Er legt damit die strategische Ausrichtung Cyber/IT der Bundeswehr fest und kann frühzeitig innovative Impulse aufnehmen und vorgeben. CYBER- UND INFORMATIONSRAUM ALS NEUE DIMENSION Mit der Einrichtung ei-

nes eigenen militärischen Organisationsbereichs, mit einem Personalansatz von rund 13.500 Personen, werden wir der Rolle des Cyber- und Informationsraumes als neuer Dimension – auf Augenhöhe mit den bereits etablierten Dimensionen – gerecht und bündeln zielgerichtet unsere Ressourcen, insbesondere aus dem G2- und G6-Bereich. Dies spiegelt sich auch im neuen Kommando CIR wider: KDOCIR – REDUZIERUNG AUF DAS WESENTLICHE! Ist ein großes Kommando per

se besser? Wir sind der Meinung, dass interne Prozesse effektiv sein müssen. Bei der Ausplanung des neuen KdoCIR haben wir bei den, für die truppendienstliche Führung

eines militärischen Organisationsbereiches notwendigen, querschnittlichen Dienstposten bewusst einen sehr schlanken Ansatz gewählt. Die hierfür vorgesehenen 370 Dienstposten liegen teilweise deutlich unter dem Umfang vergleichbarer Kommandos. Gerade bei IT wol- Dr. Katrin Suder len und müssen wir neue Wege Staatssekretärin Bundesministerium der Verteidigung gehen. Die Konzentration von operationellen und fachlichen Aufgaben im KdoCIR Aufgaben, Zuständigkeiten und Verantwortführt dazu, dass auch die nachgeordneten lichkeiten der IT-/Cyber-Sicherheit zusamStäbe des Kommandos Strategische Aufklä- menführen.

» Gerade bei IT wollen und müssen wir neue Wege gehen.« rung und Kommando Informationstechnik der Bundeswehr (derzeit noch FüUstgKdoBw) entsprechend schlanker gestaltet werden. INSPEKTEUR ALS GESTALTER – KONZENTRATION VON FACHLICHKEIT! Die

Position des InspCIR manifestiert sich durch die zukunftsgerichtete Planung und Weiterentwicklung für die Dimension Cyber- und Informationsraum sowie als Taktgeber bei der Entwicklung von Karrierewegen und der Gestaltung von Werdegängen für das Cyber-Personal. Über die erforderlichen Ressourcen, um Planung und Weiterentwicklung ernsthaft vorantreiben zu können, wird er in seinem KdoCIR selbst verfügen. NEUE ZENTREN MIT INNOVATIVEN FÄHIGKEITEN Das Zentrum für Cyber-Sicher-

heit wird die heute verteilten operativen

Zur Stärkung von Aufklärung und Wirkung im Rahmen der Cyber-Verteidigung wird das Zentrum Cyber-Operationen ausgebaut. Bereits in 2017 werden insbesondere Fähigkeiten zur Aufklärung und zum Red-Teaming gestärkt, um u. a. bessere Beiträge zum Schutz eigener Netze und Waffensysteme leisten zu können. Und schließlich gewinnt der OrgBer CIR mit dem Zentrum Softwarekompetenz IT-SysBw erweiterte und neue Fähigkeiten im Bereich Innovationsmanagement, Test, Übung, Erprobung und Prototyping. Das ist wichtig, weil nur dadurch die erforderliche eigene Bewertungs- und Beratungskompetenz im Bereich Cyber/IT erhalten und ausgebaut werden kann. Darüber hinaus können dadurch Nutzerforderungen klarer auf das Machbare fokussiert und langwierige Entwicklungen möglichst vermieden werden.

griephan Edition 01/2016

EDITION_GÜNTHER

Wirtschaftsschutz in Zeiten der Digitalisierung HERAUSFORDERUNG Das Internet der Dinge und Dienste verändert Produktionsprozesse in der Industrie. Claus Günther ALLUMFASSEND Die digitale Transforma-

tion der Industrie erfasst sämtliche Wirtschaftsbereiche. Keine Infrastruktur und kein Fertigungsprozess funktioniert heute noch ohne IT-Systeme. Das Internet der Dinge und Dienste verändert Produktionsprozesse in der Industrie, sie werden schneller und flexibler. Der digitale Wandel bietet also große Wachstumschancen und Wertschöpfungspotenzial. Neben der Infrastruktur und der Frage des Datenrechts liegt die große Herausforderung im Bereich der IT-Sicherheit. Die Nachrichten der letzten Monate zeigen, dass das Internet zum „Schlachtfeld“ von Terroristen und Kriminellen werden kann: der Hackerangriff der Terrormiliz IS auf den französischen Sender TV5 Monde, der versuchte Zugriff auf den Terminkalender von Barack Obama durch russische Hacker, gehackte Kundendaten der Lufthansa. Aktuell nimmt das Gefahrenausmaß, d. h. Qualität und Quantität der IT-Risiken, zu. Angriffsvektoren werden komplexer. Zugleich steigen die Kosten bei der Bekämpfung eines Angriffs. Die aktuelle Ransomware ist dafür ein gutes Beispiel. Laut Schätzungen des FBI hat der Virus zwischen April 2014 und Juni 2015 bereits 18 Mrd $ Schaden angerichtet. Klassische Schutzmechanismen, wie Firewalls oder Antivirenprogramme, reichen bei der Bekämpfung nicht aus. Unternehmen müssen umfassende Cybersicherheitsmechanismen entwickeln, um die Sicherheit und Integrität von Daten garantieren zu können. Cybersicherheit ist eine Investition in die Funktionalität der Digitalisierung, d. h. eine präventive Aufgabe. IDEEN SIND KAPITAL Deutsche Unternehmen werden immer häufiger Opfer von digitaler Spionage und Datendiebstahl. Der IT-Branchenverband Bitkom schätzt die jährlich entstehenden wirtschaftlichen Schäden durch Cyberkriminalität auf rund 51 Mrd € – nur in Deutschland. Das sind Zahlen die uns

griephan Edition 01/2016

alarmieren müssen. Die Angriffsziele in Unternehmen unterliegen derzeit einem starken Wandel. Unternehmensaktiva, wie geistiges Eigentum und Kundendaten, sind zunehmend bedroht. Dies betrifft insbesondere den deutschen Mittelstand. Der Schutz von zentralen Unternehmenswerten (Assets) in Form

FAZIT Der Cyberraum bietet einerseits viele neue Möglichkeiten, jedoch gilt es, auch in dieser Dimension wertvolle Ressourcen entsprechend zu schützen. Ideen, Informationen, Prozesse, Maschinen und nicht zuletzt Mitarbeiter. Auch Hacker werden immer professioneller. Mit ihnen „Schritt zu halten“ ist die

» Sicherheit ist zentrale Voraussetzung, um die Chancen der Digitalisierung zu nutzen.« von Mitarbeitern, Know-how, Vermögen und Eigentum ist daher für jedes Unternehmen unabdingbar. Über hochkritische IT-Systeme sind auch kleine und mittelständische Unternehmen mit Lieferanten vernetzt, worüber z. B. Warenströme gesteuert werden. Angreifer können diese Systeme lahmlegen, was ganze Produktions- und Lieferketten zum Halt bringen kann. Mit vergleichsweise geringem Aufwand kann großer Schaden für Wirtschaft und Staat entstehen.

große Herausforderung der Zukunft. Geht es also um „Industrie 4.0“, muss auch die IT-Sicherheit immer mitberücksichtigt werden – und das entlang der kompletten Wertschöpfungskette eines Produktes. IT-Sicherheit ist zentrale Voraussetzung, um die Chancen der Digitalisierung zu nutzen.

SCHUTZ VON KNOW-HOW & DIGITALE SORGFALT Eine effektive Abwehr gegen

Wirtschaftsspionage und Cyberkriminalität können weder Sicherheitsbehörden noch Unternehmen alleine leisten. Staat und Wirtschaft haben deshalb kürzlich die Initiative Wirtschaftsschutz gegründet und bündeln so die Expertise in einem kooperativen Ansatz. Unternehmen stehen vor der Frage, wie sie ihr Geschäft an die digitale Transformation anpassen müssen. Für den Erfolg dieser Transformation ist die Sicherheit das zentrale Argument, um Akzeptanz und Vertrauen der Nutzer zu gewinnen. Die Vertrauenswürdigkeit digitaler Systeme muss zu einem Wettbewerbsvorteil für Unternehmen aus Deutschland werden. Dazu bedarf es eines starken Wirtschaftsschutzes und der Förderung deutscher IT-Security Kompetenzen.

Claus Günther CEO Diehl Defence Vorsitzender des BDI-Ausschusses für Sicherheit www.wirtschaftsschutz.info

EDITION_AUERBACH

Security by Design DIGITALE TRANSFORMATION In Zeiten globaler Vernetzung ist es für Institutionen und Unternehmen wichtiger denn je, auf IT-Sicherheit „Made in Germany“ zurückgreifen zu können. Stefan Auerbach SZENARIEN Social Phishing, Zero-Day Ex-

ploits, Botnetze, DDOS-Attacken, Advanced Persistent Threats – die digitalen Bedrohungsszenarien sind so vielfältig wie wandelbar. Durch die schnell fortschreitende Digitalisierung steigen die Risiken für Behörden, Industrie und Betreiber Kritischer Infrastrukturen. Obwohl das Thema in der öffentlichen Wahrnehmung bisher eher eine Nebenrolle spielt, gehört die IT-Sicherheit zu den größten Herausforderungen unserer Zeit. BEDROHUNG AUS DEM NETZ Die er-

folgreichen Cyber-Großangriffe häufen sich: Im Februar 2016 machte beispielsweise die Ransomware „Locky“ von sich reden, die Dateien in infizierten Systemen verschlüsselt und damit unnützbar macht, was dann als Basis für Erpressungsversuche dient. Zu den zahlreichen Betroffenen zählt auch ein Fraunhofer-Zentrum. Ähnliche Malware war es, die im Frühjahr für Systemausfälle bei Krankenhäusern sorgte und damit deren Betriebsabläufe beeinträchtigte – bis hin zur Verschiebung von Operationen. Auch Mobilfunknetze werden zum Ziel von Cyberangriffen, so wie Anfang 2016 das der Telekom Austria. Künftig könnten solche Attacken gefährliche Folgen haben, etwa wenn sie das Internet der Dinge oder Notrufsysteme stören. Generell sieht sich die global vernetzte Gemeinschaft mit ihren IT-gestützten Geschäftsprozessen und mobilen Arbeitsplätzen einer immer professioneller organisierten Cyberkriminalität gegenüber. Erfolgreiche Angriffe vermindern die Produktivität, verletzen Betriebsgeheimnisse und gefährden so letztlich die Substanz von Organisationen. Geht es um kritische Infrastrukturen oder Waffensysteme, potenziert sich die Gefahr. WIRKSAME SCHUTZMECHANISMEN

Dennoch: Das Rad zurückdrehen kann – und will – niemand. Daher ist eine wirksame Absicherung und kontinuierliche Überwachung von IT-Systemen gefragt. „Security by Design“ ist bereits bei der Konzeption die Maßgabe

für sichere IT-Systeme. Dabei gebührt dem schwächsten Glied der Kette die größte Aufmerksamkeit – beispielsweise den mobilen Endgeräten, die mehr und mehr zum Einfalls tor für Cyberangriffe werden. Da Sicherheit und Anwendbarkeit nicht immer einhergehen, ist oft ein Balanceakt nötig. Das Ziel heißt skalierbare Sicherheit über den gesamten Lebenszyklus: Der Grad der Absicherung sollte dem jeweiligen Anwendungsfall entsprechen und skalierbar sein. Für die kon-

netzung ist es für Institutionen und Unternehmen wichtiger denn je, auf IT-Sicherheit „Made in Germany“ zurückgreifen zu können. Tatsächlich hat sich dieses Segment – anders als viele andere Bereiche der IT-Industrie – in Deutschland gut entwickelt und bietet zahlreiche hochwertige IT-Sicherheits- und Kryptolösungen an. Das liegt auch daran, dass die Bundesrepublik den Einsatz von Kryptographie nicht einschränkt und den Datenschutz ernster nimmt als viele andere

» Das Ziel heißt skalierbare Sicherheit …« krete Implementierung ist heute eine ganze Länder, was sich in dem 2015 verabschiedeBandbreite von Möglichkeiten verfügbar, die ten IT-Sicherheitsgesetz manifestiert. Es von Lösungen mit Hardware-Komponenten steht zu hoffen, dass auch die so wichtige über sichere Ausführungsumgebungen und Förderung von Start-ups im Bereich Cyber Virtualisierungslösungen bis hin zu reinen Security mehr als nur ein Lippenbekenntnis Software-Lösungen reicht. bleibt. Die öffentliche Förderung von KryptoEine immer größere Bedrohung stellen soge- graphie als Schlüsseltechnologie ist von gronannte Advanced Persistent Threats (APTs) ßer Bedeutung, um IT-Sicherheit aus dar. Dabei dringt Malware meist mittels aus- Deutschland international weiter erfolgreich geklügelter Phishing-Methoden in ein System zu positionieren. ein, nistet sich dort ein, kommuniziert mit den Hackern und schöpft im Erfolgsfall zielgerichtet vertrauliche Informationen ab. Um solche Angriffe zu erkennen, sollte ein kontinuierliches Monitoring von Anomalien stattfinden. Entsprechende Lösungen überprüfen zusätzlich die Einhaltung eines vorgegebenen Niveaus an IT-Sicherheit in den Systemen und geben Aufschluss darüber, ob und wo mehr proaktiver Schutz nötig ist. Stefan Auerbach NATIONALE SICHERLeiter des Geschäftsbereichs „Mobile Security“ HEITSTECHNOLOGIE Mitglied der Geschäftsführung Giesecke & Devrient In Zeiten globaler Verwww.cybersecurity-madeingermany.com

griephan Edition 01/2016

EDITION_SCHALLBRUCH

Digitalisierung auf dünnem Eis

CYBERSICHERHEIT Beherrschen die Unternehmen die Digitalisierung ihres Geschäfts?

Martin Schallbruch SCHICKSALSJAHRE Das Thema des World Economic Forum im chinesischen Tianjin war die Zukunft der globalen Industrien. Eine KPMG-Studie zeichnet ein Bild von Unternehmenslenkern, die Schicksalsjahre auf sich zukommen sehen: 71 Prozent der CEO erwarten, dass die nächsten drei Jahre für ihr Unternehmen entscheidender werden als die letzten 50 Jahre es waren. Technologie spielt auch hier die maßgebliche Rolle. Die grundlegende Veränderung der Geschäftsmodelle durch die Digitalisierung wird als die wesentliche Herausforderung der nächsten Zeit gesehen.

6 griephan Edition 01/2016

Doch beherrschen die Unternehmen die Digitalisierung ihres Geschäfts? Haben sie festen Boden unter den Füßen? Die Studie gibt dazu wenig her, mit einer Ausnahme: 72 Prozent der CEO halten ihr Unternehmen nicht ausreichend gegen Cyber-Angriffe geschützt. Eine ernüchternde Analyse – zeigt sie doch, dass sich selbst große internationale Konzerne bei der Digitalisierung ihrer Prozesse und Geschäftsmodelle auf dünnem Eis bewegen. Cybersicherheit ist dabei, das zentrale Wagnis der digitalen Transformation zu werden. Woran liegt das? Welche Auswege gibt es? HERAUSFORDERUNG IT-Sicherheit ist kein neues Problem. Grundlegende Veröf-

fentlichungen sind 30 Jahre alt. Die Schutzziele sind seitdem unverändert. Selbst die einschlägige Fachbehörde, das BSI in Bonn, feierte jüngst sein 25. Jubiläum. Mehrere Jahrzehnte Forschung und Entwicklung bei Softwarequalität haben, so sollte man meinen, IT-Sicherheitsprobleme deutlich reduziert. Doch davon kann nicht die Rede sein; die Qualität von Software hat sich im Laufe der Jahre nicht verbessert. Eine jüngst veröffentlichte Analyse des Hasso-Plattner-Instituts in Potsdam berichtet vielmehr über eine Zunahme von Software-Schwachstellen mit hohem Schweregrad. Softwareprodukte werden nach wie vor unreif auf den Markt gebracht und erst mit den folgenden Releases

EDITION_SCHALLBRUCH sukzessive verbessert. Unreife Produkte wirken mit anderen Systemen zusammen und potenzieren ihre Schwachstellen zu systemischen Risiken. Eine Produkthaftung für IT-Sicherheitsmängel gibt es bislang nicht. Die Anwender werden von der Softwareindustrie weitgehend allein gelassen. Gleichzeitig wächst mit der digitalen Transformation die Schwierigkeit für Anwenderunternehmen, Risiken aus der Digitalisierung ihrer Prozesse zu erkennen, zu bewerten und vor allem die Auswirkung von digitalen Abhängigkeiten zu beurteilen. Business- und Consumer-IT sind miteinander verschmolzen, wichtige Anwendungen virtualisiert, externe Cloud-Dienste oft an den CIO vorbei genutzt, Schnittstellen zwischen Office-IT und Produktions-IT nicht klar dokumentiert. Ein vollständiges Risiko-Assessment einer Unternehmens-IT ist kaum möglich, geschweige denn eine Abschätzung, welche Auswirkungen neue Produkte haben, die in eine solche vernetzte Struktur eingebracht werden. Gerade wegen der Vielfalt und Spezialisierung von Software und digitalen Services verlassen sich viele CIO auf Installation und Wartung durch den Lösungsanbieter oder IT-Dienstleister. In diesen Fällen liegt hinreichend eigenes Know-How für die Beurteilung von Risiken überhaupt nicht mehr im Unternehmen vor. KOMPLEXITÄT In dieser komplexen Lage

wächst die Nachfrage nach eingekauften IT-Sicherheitslösungen. Der IT-Sicherheitsmarkt nahm nach Erhebungen von Bitkom 2015 um 6,5 Prozent zu, deutlich mehr als der Gesamtmarkt für IT-Leistungen. Doch was genau bringen zugekaufte IT-Sicherheitslösungen für die Verminderung des Digitalisierungsrisikos? Kein CIO kann diese Frage beantworten. Der Zugewinn an IT-Sicherheit durch Einsatz bestimmter Lösungen lässt sich nur schwer messen. Natürlich ist es vermutlich ratsam, eine VPN-Lösung für mobile Geräte einzusetzen, doch: Reichen die einfachen Lösungen in Standard-Betriebssystemen? Braucht es eine Add-On-Lösung? Vielleicht sogar mit hardwarebasierter Authentisierung? Niemand kann diese Fragen belastbar beantworten. Der risikominimierende Wertbeitrag von IT-Sicherheitsmaßnahmen ist meistens ungeklärt. In dieser Gemengelage aus unzureichender Softwarequalität, gestiegenen Abhängigkeiten, schwacher Beurteilungsfähigkeit der Anwender und unklarem Wertbeitrag von IT-Sicherheitsinvestitionen offenbart die hohe Zahl von 72 Prozent der CEO, die ihr Unternehmen nicht ausreichend geschützt sehen, eine erstaunliche Einsicht in die bedrückende Realität der IT-Sicherheit. Die Bereitschaft

zum Handeln ist da, aber was ist die richtige Strategie? Nicht die ausgefeilte IT-Sicherheitsstrategie ist Garant für Erfolg, viel wichtiger ist die konsequente Integration der IT-Sicherheit in die Digitalisierungsstrategie. Erfolgreiche Digitalisierung mit angemesse-

Wer belastbar herausfinden will, ob sich die Digitalisierung seines Unternehmens – um im Bild zu bleiben – auf dünnem Eis bewegt oder doch festen Boden unter den Füßen hat, wird trotz aller Schwierigkeiten auf Messbarkeit setzen müssen. Man kann

» IT-Sicherheit ist kein neues Problem.« ner IT-Sicherheit muss der Ansatz sein, nicht digitale Transformation plus IT-Sicherheitsmaßnahmen. Eine Digitalisierungsstrategie, die IT-Sicherheit mitdenkt, sollte drei Ansätze enthalten. ERSTENS den Erhalt von Beurteilungsfä-

higkeit. Die Kontrollfragen hierfür liegen auf der Hand: Von welchen Systemen sind die wesentlichen Geschäftsprozesse abhängig? Welche Interdependenzen haben diese zu anderen Systemen? Kann das Unternehmen – mit eigenen Kräften – die Abhängigkeiten des Geschäfts von Technologie und der technischen Systeme voneinander beurteilen, Veränderungen des Risikoprofils durch technische Innovation vorab abschätzen? Ein unternehmensweites Risikomanagement muss hierfür außerhalb der IT-Abteilungen aufgesetzt und mit hochqualifizierten Experten besetzt werden. einen konsequenten Sicherheitspragmatismus. Techniker neigen bei Sicherheitsprodukten zu einer Alles-oderNichts-Strategie. Public-Cloud-Dienste sind schlecht, weil die Daten außer Haus sind (selbst wenn die eigenen Server vollständig von Dienstleistern administriert werden). Verschlüsselung kann man weglassen, wenn sie nicht Ende-zu-Ende erfolgt. Hochsicherheits-IT bringt nichts, wenn sie nicht in das ganze Unternehmen skalierbar ist. Diese Diskussionen über Technik verstellen den Blick auf die Sicherheitskultur und die Einbettung von Sicherheitsmaßnahmen in die menschliche Arbeitswelt. Eine konsequente „Verschlüsselungskultur“ mit einfachen Werkzeugen kann die Risiken weit mehr reduzieren als besonders sichere Kryptosysteme, die kaum jemand bedient. Einfache Sicherheitsmaßnahmen, die konsequent eingeführt und regelmäßig evaluiert werden, können die Risiken effektiver senken als manche High-TechLösung.

ZWEITENS

DRITTENS

Messbarkeit

eine von

allmählich wachsende Sicherheitsmaßnahmen.

Metriken entwickeln, die die Effektivität und Risikominimierung von Sicherheitsmaßnahmen modellieren. Solche Modelle sollten umfassend angelegt sein, Risikoprofile ebenso betrachten wie technische Sicherheit und human factors. Solche Metriken können und müssen nicht gleich das ganze Unternehmen oder eine komplexe IT-Landschaft umfassen, sondern können ohne weiteres modular und sukzessive aufgebaut werden. Mit allmählich wachsender Messbarkeit lassen sich Sicherheitsmaßnahmen regelmäßig evaluieren und bedarfsgerecht anpassen. In der eingangs erwähnten Studie werden die kommenden Jahre als Schicksalsjahre für die Unternehmen gewertet, insbesondere wegen der Digitalisierung. Beurteilungsfähigkeit, Sicherheitspragmatismus und allmählich wachsende Messbarkeit der IT-Sicherheit sind wichtige Voraussetzungen, diese Herausforderung zu bewältigen – jedenfalls dann, wenn Vorstände und Aufsichtsräte das „Schicksal“ selbst in die Hand nehmen und diese Fragen nicht den Technikern überlassen. IT-Sicherheitsunternehmen können den Anwenderunternehmen dabei helfen, indem sie ihre Lösungen auf diese Anforderungen einstellen.

Martin Schallbruch Leiter der Forschungsgruppe Cyber Innovation and Cyber Regulation Digital Society Institute, ESMT Berlin

griephan Edition 01/2016

Einfach …

Fachinformationen zum Geschäftsfeld äußere & innere Sicherheit Print · Digital · Online