IT-Landschaften von Unternehmen und Behörden sind groß, sehr groß. Alle Systeme und Daten gleichermaßen auf höchstem Niveau zu schützen, ist ein Ziel, welches kaum eine Organisation in der Praxis nachhaltig erreicht. Die Frage ist, ob dieser Ansatz überhaupt der Richtige ist. Christian Polster, Chefstratege und verantwortlich für die Technologieentwicklung beim IT Security Spezialisten RadarServices spricht über das Bewusstsein und das Schutzniveau von Unternehmensdiamanten in der europäischen Wirtschaft und seinen Grundgedanken für den Schutz der besonders kritischen „Assets“ einer Organisation.
Herr Polster, um die Entwicklung Ihrer IT-Risikoerkennungstechnologie an den Bedürfnissen Ihrer Kunden auszurichten, stehen Sie im ständigen Austausch mit IT-Sicherheitsverantwortlichen in Unternehmen aus vielen verschiedenen Branchen und dem öffentlichen Sektor. Wie fassen Sie das aktuelle Schutzniveau in der europäischen Wirtschaft generell zusammen?
Cybersecurity ist in vielen Organisationen weit oben auf der Agenda. Es wird viel investiert und getan. Industrieunternehmen sind Vorreiter. Banken und Versicherungen sind aufgrund der umfassenden Compliancevorschriften seit Jahren aktiv. Trotzdem ist das Schutzniveau von Unternehmen zu Unternehmen sehr unterschiedlich. „Es wird uns schon nicht erwischen“, höre ich immer noch des Öfteren, wenn ich Unternehmen zum ersten Mal besuche und unsere Leistungen vorstelle. „IT-Sicherheit ist wichtig, aber es darf nur sehr wenig kosten“, auch von Zeit zu Zeit. Deshalb kann ich kein durchgehend positives Bild einer sicheren europäischen Wirtschaft zeichnen. Es gibt leider viel Angriffsfläche und sie wird auch im Rahmen von immer zahlreicher und komplexer werdenden Attacken ausgenutzt.
Worauf sollten sich Unternehmen in punkto IT-Sicherheit konzentrieren?
Jedes Unternehmen hat seine “Diamanten”, also die besonders kritischen Daten, Systeme, Geschäftsgeheimnisse oder Prozesse – kurz „Assets“. Konstruktionspläne, Patente, Kundendaten, Patientendaten, Baupläne oder Finanzdaten gehören zum Beispiel dazu. Diese Assets gilt es auch IT-seitig ganz besonders abzusichern. Je weiter sich die Digitalisierung fortsetzt, desto mehr müssen IT-Sicherheitsverantwortliche selektieren, welche Systeme, Daten und Applikationen welchem Sicherheitsniveau unterliegen müssen. Es wird nicht mehr möglich sein, alles gleichermaßen abzusichern. Gleichzeitig müssen die kritischen Assets hervorragend gesichert sein.
Hier beginnt das Problem: Organisationen wissen heute meist nicht, was genau zu ihren „Diamanten“ gehört und welche Systeme, Daten oder Applikationen besonders gut gesichert sein müssen, damit potentiell existenzgefährdende Risiken wie der Verlust von Kundenvertrauen in eine Marke oder ein Produkt vermieden werden. IT-Sicherheit wird heute als technisches Problem mit einer technischen Lösung gesehen. Der Zusammenhang der IT mit den eigentlichen Geschäftsabläufen in einer Organisation und den Unternehmenswerten fehlt sehr oft. Diese Lücke muss aber geschlossen werden, um sicherheitsseitig für die weitere Digitalisierung gerüstet zu sein. Nur so schafft man es, die kritischen Assets adäquat zu schützen.
Bei den Investitionen, die Organisationen im Bereich Cybersecurity eingehen, ist also weniger manchmal mehr?
So ist es! Unternehmenslenkern wird mehr und mehr bewusst, wie vielfältig Angriffsarten und Einfallstore und wie herausfordernd die Zukunft der Digitalisierung – Stichwort IoT oder künstliche Intelligenz – ist. Sie investieren daher auch stetig mehr in IT-Sicherheit. Dadurch werden ihre kritischen Assets aber nicht zwingend besser geschützt. Auch Investitionsentscheidungen sollten nicht nur aus der „technologischen Brille“ gesehen werden, sondern immer auch vor dem Hintergrund ihres Nutzens für den Schutz der eigenen Unternehmensdiamanten.
Wie trifft man vor diesem Hintergrund die richtigen Entscheidungen?
Es bedarf einiger Vorarbeit, um die kritischen Assets in einer Organisation zu identifizieren. Sie werden von den Geschäftsprozessen und Unternehmenswerten hergeleitet, die ihrerseits oftmals vielschichtig sind und verschiedene Unternehmenseinheiten, Personen und Länder involvieren oder unterschiedliche Rahmenbedingungen haben. Assets sind also je nach Branche und je nach Organisation unterschiedlich. Die in der Realität existierende Komplexität sollte auch nicht reduziert werden, da dadurch wichtige Faktoren für die IT-Sicherheit der kritischen Assets beeinträchtigt werden könnten. Für diese Vorarbeit ist eine Involvierung verschiedener interner Stakeholder und externer Fachexperten empfehlenswert.
Die selektierten Assets sollten dann einem umfassenden Risikocheck unterzogen werden: Welchem Risiko sind sie ausgesetzt, welche Angreifer könnten ein Interesse verfolgen, die Assets zu attackieren und wie gut geschützt sind die Assets durch die aktuellen Sicherheitsmaßnahmen? So kommt man sukzessive zu einer klaren Roadmap, wo gänzlich „blinde Flecken“ bei den aktuellen Sicherheitsmaßnahmen sind, wonach zu justieren ist oder wo gegebenenfalls auch Potential zur Reduktion von Security-Investitionen ist ohne dass das Schutzniveau für kritische Assets bedenklich sinkt.
Wesentlich für diesen Ansatz der IT-Risikoevaluation ist also die Herangehensweise ausgehend von der Bestimmung der „Unternehmensdiamanten“ statt der Technologie. Im nächsten Schritt betrachtet man die Diamanten aus verschiedenen Perspektiven: Der Wichtigkeit für interne und externe Stakeholder und auch der Attraktivität für Angreifer. Und schlussendlich entsteht eine Prioritätenliste an Aufgaben, benötigten Technologien und auch eine Feedbackschleife zu den aktuell vorhandenen IT-Sicherheitsmaßnahmen.
