Sicherheits-Transformation braucht Sicherheits-Kultur

4.000 Ransomware-Attacken am Tag, fast 5 Mal mehr Angriffe auf das Internet der Dinge innerhalb von nur zwölf Monaten und eine Verdoppelung von DDoS-Angriffen im gleichen Zeitraum: Solche Zahlen deuten auf die unersättliche kriminelle Energie der Hackergemeinde und sind per se beängstigend. Im Kontext immer größerer Datenmengen und der wachsenden Abhängigkeit der weltweiten Wirtschaft von einem reibungslosen und sicheren Datenhandling führt das rapide Wachstum der Attacken aber zur schieren Verzweiflung von IT-Abteilungen – und der Chefetagen. Denn jeder gelungene Datendiebstahl, jede Kompromittierung der IT-Infrastruktur kann heute nicht nur die Wettbewerbsfähigkeit, sondern auch das Überleben eines Unternehmens gefährden. Das Image spielt dabei übrigens keine unerhebliche Rolle: 80 Prozent aller Verbraucher, so eine Deloitte-Studie, favorisieren Produkte von Unternehmen, die persönliche Daten vermeintlich besser schützen.

Demnach steht die IT-Sicherheit ganz oben auf der Agenda der CIOs und genießt deren uneingeschränkte Aufmerksamkeit – oder? Die Realität sieht leider anders aus. Der operative Alltagsbetrieb (zu dem auch die alltägliche Abwehr von Cyber-Attacken gehört), ist ein gigantischer Zeitfresser für jede IT-Abteilung und lässt wenig Raum für strategische Aufgaben. Hinzu kommen chronisch unzureichende IT-Budgets und eine manchmal etwas fahrlässige Haltung: Weil Datenklau außer in den Untiefen der endlosen Sicherheitslogs kaum festgestellt werden kann, stecken viele IT-Abteilungen den Kopf in den Sand und modernisieren ihre IT-Sicherheit nicht. Sie sollten wissen: Datendiebstahl ist die gnadenlose Realität in jedem Unternehmen, bemerkt oder eben unbemerkt.

Hinzu kommen noch die berüchtigten Sicherheits-Silos. Es ist weithin bekannt, dass die Sicherheit in Unternehmen meist dezentral organisiert ist, also innerhalb der existierenden Bereichs- oder Applikationswelten. Die CRM-Abteilung kümmert sich um CRM-Sicherheit, die ERP-Abteilung um ERP-Sicherheit und so weiter – jeder kocht sein eigenes Sicherheits-Süppchen, und man stimmt sich kaum ab. Das Problem ist, dass sich über die Zeit gigantische, hausgemachte Sicherheitslücken herausbilden, die systembedingt kaum in den Griff zu bekommen sind.

Angesichts der großen Abhängigkeit der Unternehmen von einem pannenlosen IT-Betrieb sind solche Lücken heute auf keinen Fall mehr akzeptabel. Wie sie zu beheben sind? Natürlich mit einer Modernisierung der Sicherheitsinfrastruktur, aber auch mit einer Anpassung der Organisation: Die Verantwortlichkeit für die IT-Sicherheit legt der CIOs idealerweise in die Hände eines CISO, also eines Chief Informationen Security Officers. Dessen Aufgaben sind vielfältig; eine besteht darin, mit der Chefetage zu kommunizieren, um sie weiter für das Thema IT-Sicherheit und dessen Auswirkungen zu sensibilisieren. Tatsächlich höre ich immer wieder, dass IT-Teams erheblich unter Druck stehen, Sicherheitsmaßnahmen reduzieren zu müssen, um nicht die Produktivität des Unternehmens zu beeinträchtigen. Dieser Wunsch des oberen Managements ist einerseits verständlich, erinnert andererseits aber auch an russisches Roulette. Mit moderner Technologie sollten beide Aspekte unter einen Hut gebracht werden können. Die Kommunikation zwischen CISO und Chefetage muss natürlich auch die Verhandlung über höhere Sicherheitsbudgets umfassen.

Auf der Liste der Aufgaben folgt die Aufstellung eines unternehmensweiten Regelwerks, die Sicherstellung der operativen Maßnahmen, der Systemmodernisierung und die Mitarbeiterschulung. Der CISO muss neue Technologien berücksichtigen, von der Cloud bis zum IoT, und sich zudem mit dem Thema Compliance beschäftigen, Stichwort Europäische Datenschutzverordnung.

Die wohl wichtigste Aufgabe bleibt aber die Beseitigung der Sicherheitslücken, die – unter anderem – durch die gewachsenen Sicherheitssilos entstanden sind. Der CISO muss dafür auch alle Silo- und Abteilungsverantwortlichen an einen Tisch bringen, um sich abzustimmen und Grenzen so gut es geht aufzuheben.

In diesem Zusammenhang ist viel von integrierter Sicherheit gesprochen worden. Das ist ein guter Ansatz, wird der Aufgabe letztlich aber nicht ganz gerecht: Vielmehr sollten wir Sicherheit im Geiste der Digitalen Transformation betrachten und deshalb auch den Begriff der „Sicherheits-Transformation“ in den Vordergrund stellen: Nur sie umfasst eben auch die notwendige Veränderung der Sicherheits-Kultur in Unternehmen, neben Technologie, Infrastruktur, Organisation. Sie betrifft alle Ebenen und Abteilungen: von der Vorstandsetage über – natürlich – die IT-Abteilung bis hin zum einzelnen, normalen Angestellten, der die Tragweite eines unbedachten Klicks in einer E-Mail kennen muss. Eine solche gelebte Sicherheits-Kultur ist die Voraussetzung für eine wirkungsvolle Cyberabwehr.

Was ein CIO und ein CISO im Gespräch mit Fachabteilungen und der Geschäftsleitung noch wissen müssen, können Sie unserem Booklet “Connected CIO” entnehmen. Sie können es hier heruntergeladen.

Doris Albiez
Senior Vice President and General Manager Dell EMC, Commercial Sales Deutschland

About the Author: Doris Albiez

Doris Albiez serves as Senior Vice President and General Manager of Dell Technologies Germany. She is responsible for the strategic alignment of the company and supports customers of all sizes in their digital transformation attempts. Doris joined in May 2013 from IBM, where she served as Vice President, Distribution Sales BPO & Midmarket – Germany. In this role, Doris was responsible for the complete partner organization including distribution, key, top and base partners, ISVs and OEMs. Prior to IBM, Doris was Vice President, Sales EMEA, at Navigon, where she developed and implemented the company’s EMEA sales organization, led the reorganization of Navigon’s sales organization in Germany, Austria and Switzerland (DACH), and successfully repositioned the company from a pure software vendor focused on the OEM business into a highly renown solution provider. Earlier in her career, Doris held a wide range of VP and senior sales & marketing roles at companies including DEC, HP, Macrotron, Polycom, and others. Doris was also a founder and owner of NetConsult, focused on providing executive level consulting around Sales & Marketing and Mergers & Acquisitions.