Das Spannungsfeld zwischen Business-Agilität, IT-Security und Compliance ist gross. Moderne Sicherheitsmassnahmen mit multifunktionalem Zusatznutzen können digitale Prozesse beschleunigen. Mehr Erfolg für weniger Kosten. Zu schön, um wahr zu sein?
Der ambitionierte IT Security-Verantwortliche befindet sich in einem immensen Spannungsfeld. Einerseits soll er sicherstellen, dass sämtliche Geschäftsprozesse und jede eingesetzte Software die aktuellen Sicherheitsnormen erfüllen. Anderseits wird erwartet, dass die Mitarbeiter sicherheitsbewusstes Handeln erlernen, stets umsichtig sind und keine Fehler machen. Zudem möchten das Management und die Umsatzverantwortlichen, dass neue Ideen in möglichst kurzer Zeit mit «richtigen» Kunden in der Praxis ausprobiert werden können. Sie wollen zusätzliches Geschäft, digitale Nähe und höhere Loyalität bestehender Kunden erreichen.
Darüber hinaus gibt es diverse regulatorische Richtlinien, branchenspezifische Compliance-Anforderungen und neue Bedürfnisse auf dem Markt, die mit teils drakonischen Strafen – beispielsweise bei der DSGVO bis zu vier Prozent des Umsatzes – geahndet werden können. Eine komplexe Vielfalt von Herausforderungen und eine grosse und scheinbar unmögliche Aufgabe für den IT-Security-Verantwortlichen. Die Auswirkungen der fortschreitenden digitalen Transformation sind nicht nur im IT- und im Business-Bereich, sondern auch im IT-Security-Bereich zu spüren. Um heute erfolgreich zu sein, sind Management- und Kommunikationsfähigkeiten sowie Kooperationsbereitschaft und unternehmerisches Denken für Sicherheitsverantwortliche genauso essentiell wie Fachwissen im IT-Security-Bereich.
Digitalisierungsprojekt mit Augenmass und Kundenorientierung
Man stelle sich ein Unternehmen vor, beispielsweise eine Versicherung, die sich mittels digitaler Innovationen von der Konkurrenz abheben möchte. Mit dem Ziel, neue Kunden anzuwerben, wird eine neue Digitalisierungsinitiative lanciert. Alle Beteiligten sind bestrebt, das gemeinsame Ziel zu erfüllen: «on time» und on «budget». Alle Projektmitarbeiter arbeiten agil und in kurzer Zeit wird ein Minimum Viable Product (MVP) erstellt, welches durch den frühen Einsatz von User Experience (UX) Design schnell visuell überzeugt und das Management begeistert.
Technische Fragen bezüglich Modularisierung, Leistungsfähigkeit und zukünftiger Erweiterbarkeit oder auch die mögliche Integration von Diensten von Drittanbietern, werden übersehen oder absichtlich nicht berücksichtigt. Während vielerorts schon Vorfreude und Euphorie über die schnelle Innovation ausbricht, tritt die IT-Security auf die Bremse und moniert, dass dieser MVP so keinesfalls live gehen kann.
Warum die Skepsis? Wichtige Industriestandards wurden nicht eingehalten, die Auditierbarkeit ist nicht gegeben, die Verwaltung der Benutzeridentitäten wurde aussen vorgelassen – ganz zu schweigen von einer starken Benutzer-Authentisierung. Zahlreiche ungeahnte Risiken lauern im Hintergrund.
Ziele der Security kollidieren mit übergeordneten Geschäftsinteressen
Die Ziele der IT-Security sehen vor, dass business-relevante Prozesse ausnahmslos alle relevanten Sicherheitsanforderungen erfüllen – sei es eine Bank, eine Versicherung, eine Behörde oder ein Industriekonzern. Die Business-Seite will nichts über ungenügende Sicherheit, einer Verlangsamung oder gar einer Verteuerung von Projekten wissen. Das Ziel ist, Kunden in möglichst kurzer Zeit zu beeindrucken.
Die Ansprüche steigen stetig. Architekturen und Lösungen, die höchste Sicherheitsanforderungen erfüllen, flexibel und multifunktional betrieben werden können und es den Unternehmen ermöglichen, neue Ideen und Initiativen rasch umzusetzen, sind rar. Viele reine Security-Lösungen stellen lediglich eine Art Schutzsystem dar. Zusätzliche Budgetanfragen für nachträgliche Sicherheitsmassnahmen sind unerwünscht und problematisch. Findet man jedoch eine Lösung, die messbaren Zusatznutzen mit sich bringt, kann die Security von der Bürde zum Beschleuniger digitaler Chancen werden.
Wer ohne Security digitalisiert, riskiert Image, Umsatz und die Zukunft des Unternehmens
Unvorsichtiges Verhalten kann ein negatives Nachspiel haben: Hohe Kosten können beispielsweise für die Zahlung von Strafgeldern oder Anwaltsgebühren entstehen, durch regulatorische Sanktionen, die Datenwiederherstellung, den Unterbruch der Betriebstätigkeit, den Verlust vertraulicher Daten oder gar durch eine Cyber-Erpressung anfallen. Am schwerwiegendsten sind jedoch die Kosten eines Reputationsschadens und die damit verbundenen, finanziellen Konsequenzen. Unternehmen sollten daher zusätzlich zur Innovationsagenda ein vitales Interesse daran haben, die Privatsphäre sowie die Integrität ihrer Kunden, Partner, Lieferanten und der eigenen Mitarbeiter zu schützen. Kurz gesagt: ein signifikanter Sicherheitsvorfall kann ein Unternehmen in den Konkurs treiben.
Verteidigung ist nicht alles
Sicherheitsmassnahmen zur Verteidigung allein reichen nicht aus: Nebst der Herausforderung, Angriffe sofort erkennen zu müssen, um adäquat darauf reagieren zu können, werden heute weitere multifunktionale Werkzeuge gefordert.
Das richtige Werkzeug kann Schutz und Hilfsmittel zugleich sein. Einerseits dient es der Verteidigung, anderseits als wertvolles Mittel, um neue Initiativen zu ermöglichen. So stiften moderne Sicherheits-Architekturen einen nachhaltigen Zusatznutzen, für das Business und gleichermassen für die Einhaltung der Sicherheitsrichtlinien.
Mit Elan zu neuen Erfolgen
Um mit dem Zuwachs neuer Web-Technologien Schritt halten zu können und gleichzeitig von Legacy-Systemen nicht gebremst zu werden, behelfen sich IT-Profis mit einer konsolidierten Betrachtung relevanter Fragenstellungen.
- Was kann ich beisteuern, um Business-Initiativen zu unterstützen?
- Wie kann ich dem Business als Beraterfunktion zur Seite stehen, um frühzeitig Sicherheitsmassnahmen angehen zu können?
- Wie reduziere ich das Risiko für das Unternehmen, welches interne Anwender bewusst oder unbewusst darstellen können?
- Gibt es eine nachhaltige Architektur, die es uns erlaubt, schnell auf neue Business-Anforderungen zu reagieren, ohne unsere eigenen Prozesse oder Sicherheitsvorgaben zu verletzen?
- Wie bleibt meine Applikationslandschaft agil, bzw. muss ich bei jeder neuen Anforderung ein Analyseprojekt starten, ob die Business-Logik betroffen ist und dies in der Folge hohe Komplexität, Aufwand und Risiken mit sich bringt?
- Mit welchen Werkzeugen kann ich mein Team ausrüsten, um adäquat auf solche Fragestellungen und die berechtigten Wünsche des Business reagieren zu können?
- Wie gelingt das Onboarding eines neuen Kunden mittels eines niederschwelligen und einfachen Benutzererlebnisses?
Die Business-Logik bzw. die Zielanwendungen müssen abgesichert und die zentrale und sichere Benutzerverwaltung und -authentifizierung zuverlässig gewährleistet werden. Und zwar über alle bestehenden und zukünftigen Services hinweg, die für die Erreichung der Geschäftsziele notwendig sind.
Es ist richtig, die IT-Security als relevantes Geschäftsrisiko zu betrachten. Deswegen aber auf Experimente zu verzichten oder mittels punktueller Lösungen auf das Prinzip der Hoffnung zu setzen, ist keine nachwirkende Option. Besser ist es, sich mittels langfristiger, resilienter Lösungen einen Wettbewerbsvorteil zu verschaffen: denn der Druck zu noch mehr Digitalisierung und immer schneller und flexibler zu sein, wird auch in Zukunft nicht abreissen. Lösungen müssen dem Spannungsfeld von Business-Agilität, IT-Security und Compliance standhalten. Heute und morgen.