7-3-2017 Gedruckt am 29-05-2017 aus www.monitor.co.at/index.cfm/storyid/17158

Gastkommentar - Kai Grunwitz, NTT Security

Sicherheit muss im Zentrum des digitalen Umbaus stehen

Sicherheit bleibt bei vielen Projekten rund um die Digitale Transformation auf der Strecke, weil sie nicht schon bei der Konzeption berücksichtigt wurde. Ein Nachjustieren ist entweder überhaupt nicht oder nur mit großem Aufwand möglich. Nur die frühzeitige Integration nach dem "Security by Design"-Prinzip ist erfolgreich.

Kai Grunwitz Senior Vice President Central Europe bei NTT Security: "Künftig wird Security zunehmend ein entscheidendes Differenzierungsmerkmal im Wettbewerb darstellen." (Bild: NTT Security)

 Bei der Konzeption neuer Produkte, Lösungen oder Services wird das Thema Sicherheit vielfach noch stiefmütterlich behandelt, Security-Experten werden erst spät in Entscheidungsprozesse einbezogen. Leider zeichnet sich diese Entwicklung ebenfalls bei komplexen Projekten im Rahmen der Digitalen Transformation ab. Auch hier werden primär rein funktionale Aspekte in den Vordergrund gestellt. Notwendige Security-Maßnahmen werden oft erst dann ergriffen, wenn die meisten Entscheidungen schon gefallen und Korrekturen kaum oder nur sehr aufwendig möglich sind.
 
Am Beispiel des boomenden Internets der Dinge (Internet of Things – IoT) zeigen sich die mit der Nichtberücksichtigung von Sicherheitsbelangen verbundenen Gefahren. Für IoT-Geräte sollte die Einbindung in eine umfassende Sicherheitsstrategie eigentlich eine Selbstverständlichkeit sein. Stand der Dinge ist aber ein anderer, wie mehrere Sicherheitsvorfälle gezeigt haben: etwa die Distributed-Denial-of-Service (DDoS)-Attacke auf den Webdienstleister Dyn, bei der ein auf ungeschützten IoT-Geräten basierendes Botnetz genutzt wurde – mit der Konsequenz, dass Netflix, Twitter oder Amazon phasenweise lahmgelegt wurden.
 

Eine neue Sicherheitskultur

Nicht ausreichend gesicherte IoT-Geräte und -Umgebungen sind generell immer noch an der Tagesordnung, und durch das damit einhergehende Bedrohungspotenzial liegt der Handlungsbedarf auf der Hand. Das IoT und weiter gefasst die Digitale Transformation als Ganzes benötigen dringend eine neue Sicherheitskultur. Die erste Anforderung lautet, dass bei allen Entwicklungen – seien es Geräte, Anwendungen oder Infrastrukturen – die Sicherheit von Anfang an ein zentrales Kriterium ist. Das Schlagwort lautet "Security by Design", also frühzeitige Integration von Security-Funktionen. Es ist klar, dass eine verspätete Identifizierung von Schwachstellen und Sicherheitslücken mit anschließenden Softwarekorrekturen und Fehlerbehebungen mit einem unverhältnismäßig hohen Zeit- und Kostenaufwand verbunden ist. Das heißt, eine zuverlässige Absicherung der Digitalen Transformation ist nur gewährleistet, wenn die Sicherheitsaspekte von Anfang an in einem Projekt berücksichtigt werden und Unternehmen hierfür ein entsprechendes Budget einkalkulieren.
 
Außerdem setzt sich ein Unternehmen mit zeitlich verzögerten Sicherheitsmaßnahmen immensen und unnötigen Risiken aus. Schließlich ist die IT-Sicherheit mittlerweile ein unternehmenskritischer Aspekt und von erheblicher strategischer Bedeutung. Das heißt auch, dass die Security nicht mehr als Nischenthema der IT und als reine IT-Angelegenheit betrachtet werden darf. Vielmehr muss sie als zentrale Komponente der eigenen Wertschöpfungskette eingestuft werden – als wichtiger unternehmenskritischer Geschäftsprozess.
 

Aufgaben der IT ändern sich

Eine Folge davon ist, dass sich auch die Aufgaben der IT ändern und erweitern. Herkömmliche, in der Regel rein Infrastruktur-getriebene IT-Sicherheitslösungen adressieren bisher hauptsächlich den Schutz von IT-Assets und -Systemen sowie Hard- und Software. Zentrale Punkte der Wertschöpfung wie Daten, Business-Anwendungen oder digitale Arbeitsumgebungen können damit aber nicht adäquat erfasst und dementsprechend auch nicht zuverlässig gesichert werden. Gerade in diesen Bereichen werden jedoch Unternehmenswerte verwaltet und Innovationen vorangetrieben. Mit anderen Worten: Es ist eine neue Sichtweise in der IT-Security erforderlich. Der Fokus muss sich verschieben weg von Netzwerkorten oder Geräten hin zu einzelnen Datensätzen und Anwendungen, das heißt, es müssen die kleinstmöglichen kritischen Einheiten geschützt werden. Es gilt, die dynamische Transformation der Geschäftsmodelle sowie die Arbeitsweisen digitaler Anwender mit agilen Security-Strategien zu unterstützen – Security als Enabler und nicht als "Verhinderer" von Digitaler Transformation und Innovation im Unternehmen.
 
Und eines sollte ein Unternehmen dabei ohnehin nicht außer Acht lassen: Künftig wird Security zunehmend ein entscheidendes Differenzierungsmerkmal im Wettbewerb darstellen – gerade vor dem Hintergrund der Digitalen Transformation, indem Sicherheit als Teil der Produkt-, Lösungs- oder Servicequalität vermarktet wird. Security wird somit immer mehr zu einem zentralen Business-Faktor, und zwar nicht nur als wichtige Komponente der Wertschöpfungskette, sondern auch als komplementärer Business-Treiber. Heute können innovative Lösungen ohne integrierte Sicherheit erst gar nicht mehr am Markt etabliert werden. Unternehmen, die Sicherheit nicht als erfolgskritischen Differenzierungsfaktor erkennen, werden im Wettbewerb schon bald ins Hintertreffen geraten.
 
Der Autor Kai Grunwitz ist Senior Vice President Central Europe bei NTT Security.