Security als Business-Treiber
IT-Sicherheit verlässt ihr Nischendasein
Bis vor Kurzem war die IT-Sicherheit ein reines Technologie-Thema. Zusehends zeichnet sich aber ein Paradigmenwechsel ab, den zwei Aspekte kennzeichnen: Fortan treibt auch das Business die IT-Sicherheit an. Und umgekehrt.
Status quo in vielen Unternehmen ist, dass bei der Konzeption neuer Produkte, Lösungen oder Services die Security-Experten erst spät in Entscheidungsprozesse einbezogen werden, auch bei der Planung unternehmenskritischer Anwendungen oder komplexer digitaler Transformationsprojekte. Das heißt, zunächst werden rein funktionale Aspekte in den Vordergrund gestellt, notwendige Security-Maßnahmen aber erst dann ergriffen, wenn die meisten Entscheidungen schon getroffen sind. Mit diesem reaktiven Vorgehen wird die Chance verpasst, eine Lösung von Anfang an so zu gestalten, dass sie neben notwendigen Business-Funktionen auch Sicherheitsfeatures integriert.
Security wird Teil der Wertschöpfungskette
Doch an diesem Punkt setzt ein Umdenken ein und es deutet sich der erste Paradigmenwechsel an. Hat die Security bisher ein Nischendasein in der IT gefristet, wird zunehmend ihre unternehmenskritische Bedeutung erkannt. Security wird von immer mehr Unternehmen als wesentliche Komponente der Wertschöpfungskette angesehen. Das heißt, die Sicherheit wird nicht mehr als reine IT-Angelegenheit betrachtet, sondern als ein unternehmenskritischer Geschäftsprozess. Damit einher geht eine veränderte Aufgabenstellung. War früher ein Security-Konzept vor allem von dem Wunsch geprägt, möglichst neueste Technologie einzusetzen, so lautet aktuell die entscheidende Frage: Wie kann die Wertschöpfungskette als Ganzes abgesichert werden? „Business Driven Security“ heißt folglich die neue Devise. Es geht nicht mehr vorrangig darum, IT-Assets und -Systeme, Hard- und Software zu schützen, sondern das Kerngeschäft des Unternehmens. Dazu muss die Security allerdings vollständig ins Business integriert und von Anfang an integraler Bestandteil sein, wenn etwa neue Geschäftsstrategien und -modelle und/oder neue Services und Produkte entwickelt werden.
Prinzipiell muss Security dabei in allen Branchen integraler Bestandteil der Geschäftsprozesse, der Services und Produkte sein. Das gilt auch für alle kritischen Business-Applikationen wie SAP, aber auch Windows 10 oder Office 365.
Besonders eklatant zeigt sich die Notwendigkeit einer veränderten Sicherheitskultur im dynamisch wachsenden Internet of Things-Markt. Bei IoT muss die Sicherheit von Anfang an in die jeweiligen Geräte und die gesamte Infrastruktur mit „eingebaut“ werden. Eine nachträgliche Integration ist kaum oder nur mit einem extrem hohen Kostenaufwand möglich. Allerdings ist es auch im IoT-Umfeld vielfach noch Stand der Dinge, dass die Sicherheit nicht den höchsten Stellenwert einnimmt und stattdessen die Funktionalität im Vordergrund steht. Dabei ist aber ein sofortiges Umdenken absolut unverzichtbar, wie es auch die vor Kurzem erfolgte DDoS-Attacke auf den Webdienstleister Dyn – und damit auf Netflix, Twitter oder Amazon – beunruhigend gezeigt hat; genutzt wurde ein auf ungeschützten IoT-Geräten basierendes Botnetz.
Neue Sicherheitskonzepte und -lösungen sind unverzichtbar
Wenn IT-Security zu einem wesentlichen Baustein der gesamten Wertschöpfungskette wird, müssen herkömmliche IT-Sicherheitslösungen auf den Prüfstand gestellt werden. Denn sie sind dann nicht mehr ausreichend beziehungsweise zielführend. Mit dem immer noch vorhandenen Fokus auf traditionelle Sicherheitstools können zentrale Punkte der Wertschöpfung – Daten, Business-Anwendungen und digitale Arbeitsumgebungen – nicht adäquat erfasst und dementsprechend auch nicht zuverlässig gesichert werden. Gerade in diesen Bereichen werden jedoch Unternehmenswerte verwaltet und geschaffen.
Ein falscher Ansatz ist dabei ein nachträgliches Patchwork von Lösungen mit mehrstufigen und oftmals auch noch rein Infrastruktur-getriebenen Security-Konzepten. Erforderlich ist vielmehr ein proaktiver Sicherheitsansatz, der Security von Tag 1 einer Entwicklung als Gesamtbestandteil einer Lösung betrachtet. Zentrales Merkmal einer neuen Sicherheitsstrategie ist die Erweiterung herkömmlicher Modelle, die ausschließlich auf dem Perimeter-Schutz basieren. Neben reaktiven Maßnahmen muss eine End-to-End-Sicherheitslösung aktuell vor allem auch einen aktiven Schutz umfassen. Der klassische Netzwerk-Schutzwall wird dabei um proaktive Sicherheitsmechanismen ergänzt, die sich insbesondere auch auf Applikationen und Daten erstrecken.
Mit anderen Worten: Es ist eine neue Sichtweise in der IT-Sicherheit erforderlich, gewissermaßen weg von einem Makro- hin zu einem Mikro-Ansatz. Der Fokus muss sich damit verschieben von Netzwerk-Orten oder -Geräten auf einzelne Datensätze oder Anwendungen, das heißt, es sollten die kleinstmöglichen Einheiten geschützt werden. Zwei Beispiele dafür wären eine dateibasierte Verschlüsselung oder ein applikationsspezifisches VPN.
- IT-Sicherheit verlässt ihr Nischendasein
- Sicherheit wird zum Wettbewerbsfaktor
Lesen Sie mehr zum Thema
