VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Seucirty ConceptInformationstechnologie wird inzwischen ganz natürlich als Teil der unternehmerischen Wertschöpfung gesehen, eine Denkweise, die sich etabliert hat. So wird geplant und umgesetzt. IT-Sicherheit hingegen wird bei aller Einsicht in die Notwendigkeit vor allem unter dem Kostenaspekt betrachtet.

Ein Investment noch dazu, mit dem man Risiken bestenfalls senken und Schäden minimieren, aber nicht gänzlich vermeiden kann. Alle wesentlichen Informationsströme werden über Computersysteme abgewickelt. Sie sind verantwortlich dafür, dass Staat und Gesellschaft ebenso funktionieren wie kritische Infrastrukturen. Neben der eigentlichen Sicherheit und den wirtschaftlichen Interessen geht es also um die Betriebsfähigkeit von Infrastrukturen überhaupt. Unternehmen kämpfen in aller Regel mit zweierlei: immer komplexer werdenden Netzen und sinkenden oder doch wenigstens stagnierenden Budgets sowie fehlendem Fachpersonal. Kein Wunder, dass die meisten Firmen beim Thema IT-Sicherheit vor allem an die Kosten denken und nicht an Sicherheit als Teil der unternehmerischen Wertschöpfung.

Informationssicherheit und was sie wert ist

Generell nimmt IT-Sicherheit in verschiedenen Branchen einen unterschiedlich hohen Stellenwert ein. Etwa in Firmen, deren Geschäftsmodell ausschließlich auf E-Business ausgerichtet ist oder solche, die in erster Linien mit sensiblen Informationen zu tun haben, wie Banken, Versicherungen und Finanzdienstleister. Zugespitzt gilt das für Unternehmen und Geschäftsmodelle, die beides vereinen. Hier sind Vermögenswerte genauso unmittelbar betroffen wie Kundendaten. Der Schutz beider ist existenziell damit das Unternehmen überhaupt bestehen kann. Ähnlich verhält es sich bei den sogenannten kritischen Infrastrukturen. Aber auch die digitale Transformation, das Internet der Dinge und das industrielle Internet der Dinge stellen neue Fragen an die IT-Sicherheit. Wie will man Daten und Vermögenswerte schützen und gleichzeitig eine hohe Verfügbarkeit gewährleisten? Beispielsweise in Firmen der Logistikbranche eine der drängendsten Herausforderungen.

Die Sensibilität für Fragen der Informationssicherheit ist deutlich höher als vielleicht noch vor ein, zwei Jahren. Die im Frühjahr 2018 in Kraft tretende EU-Datenschutz-Grundverordnung tut ein Übriges. Das Dauerfeuer von schlagzeilenträchtigen Hackerangriffen, Datenschutzvorfällen, Ransomware- oder DDoS-Attacken hat aber auch eine ungeahnte Schattenseite hervorgebracht: eine Art von „IT-Security-Fatigue“. Gerade weil das Thema so komplex ist, weil es Geld und andere Ressourcen bindet und weil es, unabhängig davon wie viel man investiert, trotzdem niemals abgeschlossen ist. Zudem gibt es Firmen und ganze Branchen, in denen das Sicherheitsbedürfnis ohnehin nicht ganz so ausgeprägt ist wie in anderen. Und dann stellt sie sich gerne eine, eine gefährliche Müdigkeit, wenn es um Themen der IT-Sicherheit geht. Argumentativ legitimiert mit dem Blick auf die Kosten.

Dazu kommt: IT-Sicherheit bewegt sich trotz aller technologischen Fortschritte in einem Spannungsfeld mit potenziell wiederkehrenden Zielkonflikten, etwa dem zwischen zentraler Kompetenz und dezentraler Umsetzung. Selbst an der real existierenden Diskrepanz zwischen gefühlter und tatsächlicher Sicherheit hat sich in den letzten 10 Jahren nicht viel verändert. (Management-Handbuch IT-Sicherheit, Gründer/Schrey 2007)

Das belegte zuletzt die aktuelle, in Zusammenarbeit mit KPMG entstandene Lünendonk-Trendstudie „IT-Security und Risk Management 2016: Digitale Bedrohungsszenarien im Fokus von Business und IT“. Nur 37 % der Befragten berücksichtigen Sicherheit frühzeitig und umfassend in ihren Projekten, und 92 % gehen das ganze Thema immer noch überwiegend aus der technischen Perspektive an.

Zusammen genommen eher wenig geeignete Voraussetzungen um IT-Sicherheit als Teil der unternehmerischen Wertschöpfung zu betrachten. Die Wertschöpfungskette als solche wird durch eine Vielzahl eingebundener Partner und externer Dienstleister immer komplexer. Und damit die Anforderungen an die IT-Sicherheit. Dabei meint Wertschöpfung hier durchaus mehr als sichere Voraussetzungen zum Abwickeln bestimmter Geschäftsmodelle zu schaffen.

Werden wie in modernen Geschäftsumgebungen verschiedene IT-Infrastrukturen und Systeme nebeneinander genutzt um vielfältige Aktivitäten und Transaktionen abzubilden und miteinander zu verknüpfen, spielt das Identitätsmanagement eine zentrale Rolle (wer darf oder muss wann und wie auf welche Daten und Informationen zugreifen und wer nicht). (Royer, Denis, Ganzheitliche Bewertung von Enterprise Identity Management Systemen – Der Ansatz der Balanced Scorecard als taktisches Entscheidungsunterstützungsinstrument)

Enterprise Identity Management, kurz EIdM), versteht sich eben nicht als Ansammlung von Software-Produkten, sondern als Technologierahmenwerk. Eine Studie hat drei wesentliche Gründe identifiziert warum Unternehmen und Organisationen sich für ein solches Managementsystem entscheiden. Neben IT-Risikomanagement und Compliance ist die Wertschöpfung einer der drei genannten entscheidenden Treiber.

Wertschöpfung und Schutzziele – gehören zusammen

Unternehmen müssen sich zunächst die Frage stellen, welche Werte sie überhaupt schützen wollen. Die Analyse, aus deren Ergebnissen anschließend die Schutzziele abgeleitet werden, betreffen dabei sowohl die physische Sicherheit (wie etwa den Perimeterschutz, Zutrittskontrollen, Überwachungssysteme und so weiter) als auch die Cybersicherheit. Beide getrennt zu betrachten führt heutzutage ohnehin in das bekannte Abgrenzungsdilemma.

Auch zum Thema „Werte“ liefert die Lünendonk-Studie einen interessanten Beleg. Über die Hälfte der befragten Unternehmen haben keine Informationen dazu, wie viel ihre Daten und Prozesse im Falle eine Datenschutzverletzung wert sind. Folglich wissen sie nicht so ganz genau, was sie mit welchem Umfang eigentlich schützen sollen. Dazu kommt die schon erwähnte Trennung zwischen der zentralen Kompetenz und der dezentralen Umsetzung: Nur 27 % der Unternehmen beziehen die Fachbereiche mit ein, wenn es darum geht sich die notwendigen Informationen zum Wert von Daten zu beschaffen und das Risiko im Falle eines Datenschutzvorfalls einschätzen zu können.

Laut jüngsten Erhebungen des Branchenverbandes bitkom ist mehr als die Hälfte der Unternehmen in Deutschland in den letzten zwei Jahren Opfer von Datenklau und Wirtschaftsspionage geworden. Das entspricht einem Schaden von 55 Milliarden Euro pro Jahr. Dazu kommt der potenzielle Imageschaden. Wirtschaftsschutz hängt ebenfalls eng mit der unternehmerischen Wertschöpfung zusammen. Darauf hat Dr. Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV) bei der Vorstellung der Studie noch ein Mal explizit hingewiesen: „(...) Im Sinne eines ganzheitlichen und nachhaltigen Wirtschaftsschutzes gehören dazu nicht allein IT-bezogene Maßnahmen, sondern risikominimierende Pläne in den Bereichen Organisation, Personal und Sensibilisierung. (...)“.

Die Marktbedingungen sind entsprechend: Die weitaus meisten Unternehmen und Branchen, nicht zuletzt die ITK-Branche selbst, sehen sich durch die digitale Transformation einem verstärkten Verdrängungswettbewerb ausgesetzt. Wie kann man in diesem veränderten Wettbewerbsumfeld neue Kunden gewinnen und an sich binden oder neuartige Dienstleistungen entwickeln? Das ist mancherorts schon zu einer unternehmerischen Überlebensfrage geworden. Aber damit nicht genug. Denkt man neben der Lead-Generierung an Marketingaktivitäten, so sind diese im Internet ohne Analyse- und Auswertungstools oder sogenanntes Behavioural Tracking nicht mehr denkbar. Neben dem Telemediengesetz bringt die DSGVO Änderungen oder doch zumindest neue Interpretationsmöglichkeiten mit sich. Und dann sind da noch die Kryptowährungen. Die haben zwar vor einigen Monaten eher durch einen eklatanten Kursverfall auf sich aufmerksam gemacht, sie und die zugrundeliegende Blockchain-Technologie, sind aber sicherlich gekommen um zu bleiben. Fintech-Unternehmen und traditionelle Finanzdienstleistungsunternehmen sehen darin gleichermaßen viel Raum für Innovationen. Wobei die Euphorie nicht selten dazu führt, dass mit der neuartigen Technologie verbundene Risiken gerne übersehen werden. Kryptowährungen bringen beispielsweise ihre „eigene“ Malware mit, und für den Einzelnen tragen sie das Potenzial zum unumkehrbaren Daten-GAU in sich.

Wertschöpfung mit Sicherheit

Das sind nur einige der Beispiele, die illustrieren wie eng IT-Sicherheit nicht nur den enger gefassten Datenschutz betrifft, sondern praktisch alle Prozesse einer modernen Wertschöpfungskette.

Insbesondere wenn Unternehmen auf der Basis neuer Technologien entsprechende Geschäftsmodelle entwickeln und umsetzen wollen. In den Daten liegt das intellektuelle Kapital des Unternehmens, und industrielle Systeme gehören zu den Schlüsselkomponenten der digitalen Wirtschaft. Sicherheit wird zu einem geschäftskritischen Faktor, weil bestimmte Prozesse und Services ein anderes als das traditionelle Verständnis von IT-Sicherheit zugrunde legen. Der Perimeter an der Netzwerkgrenze hat sich in das Innere von Unternehmen und Organisationen selbst verlagert. Egal, ob sich eine Firma so gut wie ausschließlich auf webbasierte Lösungen verlässt oder die Produktionskosten mit neuartigen Technologien senken möchte. Unabhängig davon, ob es sich um eine Cloud- oder On-Premises-Architektur (oder die hybride Mischung aus beiden) handelt, ob mobile Endgeräte im Rahmen eines BYOD-Konzepts gestattet sind - so oder so sind die traditionellen Grenzen inzwischen weitgehend aufgeweicht. In diesem Sinne sind Unternehmen gezwungen, Sicherheit sowohl unter den Aspekten Effizienz und Produktivität zu betrachten als auch unter dem Blickwinkel kritische Infrastrukturen, Wissenskapital und eigene Produkte zu schützen.

Manuel BohéManuel Bohé, Geschäftsführer Concepture

 

GRID LIST
Tb W190 H80 Crop Int 90aba36b95264e827b27d67702c64390

Kleinunternehmungen benötigen auch IT Sicherheit

Die Meldungen von Schaden verursachenden Angriffen auf Firmen nehmen dramatisch zu.Keine…
Tb W190 H80 Crop Int Cfddc19ae10bb9811a94df9018bb81cc

Detect-to-Protect-Ansatz scheitert bei Mining-Malware

Immer neue Spielarten treten in der Cyber-Kriminalität zutage. Neuestes Beispiel liefert…
Tb W190 H80 Crop Int B4e05b341632adb937d391e0c9f32e7f

Physische Sicherheit: Für kleine Unternehmen oft ein Problem

Beim Thema IT-Sicherheit denken die meisten als erstes an Trojaner, Hackerangriffe oder…
Tb W190 H80 Crop Int 2a9bb0e951b163b628cae908b73607c3

8 Tipps für eine optimale Web Application Firewall

Die Entscheidung für die optimale Web Application Firewall (WAF) basiert heute nicht mehr…
Tb W190 H80 Crop Int 7b240a672f346adba7106f43f59804b0

Thycotic veröffentlicht kostenloses Least Privilege Discovery Tool

Thycotic, ein Anbieter von Privileged Account Management-Lösungen, hat mit Least…
Risiko Businessman

Das Sicherheitsrisiko von Vorständen ermitteln

NTT Security (Germany) erweitert seine umfangreiche Angebotsreihe um den „Management…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security