Blog

Digitalisierung und Cyber-Sicherheit: Wie geht das zusammen?

/ Kategorie: CISO

Wer im Unternehmen ist eigentlich für die Informationssicherheit verantwortlich? Die IT-Abteilung allein? Oder macht ein „Shared Responsibility Ansatz“ mehr Sinn?

Digitalisierung und Cyber-Sicherheit: Wie geht das zusammen?

Ein Smartphone ist ein Computer, mit dem man auch telefonieren kann. Unsere Fahrzeuge sind Computer, mit denen man auch fahren kann. Der Fernseher kann, neben vielen anderen Funktionen, auch Fernsehprogramme empfangen. Manche erachten das als sehr sinnvoll, andere weniger. Fakt ist: Unternehmen nutzen die Digitalisierung, um Abläufe zu optimieren, ihre Kundenkommunikation zu verbessern und damit effizienter und wettbewerbsfähiger zu werden. Allen derzeitigen Irrungen und Wirrungen zum Trotz: Digitalisierung macht unser Leben einfacher. Sie hat aber auch eine Kehrseite: Sie macht die Gesellschaft zunehmend abhängig vom einwandfreien Funktionieren von Systemen und damit verwundbarer. Dadurch ist die Informationssicherheit zu einem zentralen Erfolgsfaktor für Unternehmen und Gesellschaft geworden. 

Innovativ, aber sicher

Digitalisierung bedeutet in erster Linie, dass Fachabteilungen, wie Vertrieb, Logistik, Kundenservice oder Human Resources

  • in grösserem Umfang digitale Strategien umsetzen,
  • dabei neue Anwendungen einführen,
  • mobile Applikationen entwickeln (oder entwickeln lassen),
  • neue Informationen verarbeiten und/oder neue Cloud-Dienste nutzen. 

Das kann traditionell agierende Sicherheitsorganisationen in Unternehmen rasch überfordern. Traditionell heisst, dass ein entsprechendes Vorhaben durch eine zentrale Stelle der Informationssicherheit zunächst überprüft und dann bewilligt wird. Das ist ressourcenintensiv und zumeist nicht besonders schnell. Die Folge: Die Informationssicherheit wird im besten Fall zu einem Bremsklotz für das geplante Projekt. Im schlechteren, aber in der Realität häufigen Fall, wird sie einfach über- oder umgangen. Beides ist wenig geeignet, um bei Kunden und Partnern langfristig Vertrauen aufzubauen oder regulatorischen Anforderungen zu genügen. Die Frage lautet daher, wie ein Unternehmen seine Leistungen innovativ und trotzdem sicher erbringen kann. Wie muss die Informationssicherheit organisiert sein, damit digitalisierte Unternehmen optimal laufen?

Nicht mehr Tools, sondern neue Konzepte

Informationssicherheit wird in vielen Organisationen primär als technisches Problem wahrgenommen. Tatsächlich ist sie in erster Linie eine konzeptionelle und organisatorische Angelegenheit. Die Technik dient dazu, die Konzepte und Prozesse umzusetzen, bzw. die Menschen dabei zu unterstützen. Diese Sichtweise ist notwendig. Sie versetzt die Verantwortlichen in die Lage, die neuen Herausforderungen, die eine Digitalisierungsstrategie mit sich bringt, zu erfassen.

Von der Autorisierung zur Orchestrierung

Technologie allein wird das Problem der Informationssicherheit nicht lösen können. Der Schlüssel liegt in einem konzeptionellen Ansatz, der auf Orchestrierung und einer gewissen Dezentralisierung beruht: Shared Responsibility, bekannt aus dem Cloud Hosting. Das bedeutet: Wenn es um die Einhaltung und Umsetzung von Sicherheitsrichtlinien geht, erhalten Fachbereiche 

  • mehr Autonomie
  • und gleichzeitig mehr Verantwortung. 

Die Informationssicherheit bleibt dennoch weiterhin die oberste Sicherheitsinstanz. Sie nimmt aber primär eine beratende und partnerschaftliche Rolle ein. 

Security Manager in den Bereichen

Wie lässt sich ein solches Shared Responsibility-Konzept in der Realität umsetzen? Eine Möglichkeit ist der Einsatz von projekt- oder bereichsspezifischen Information Security Officers (ISO) oder von Security Managern. Sie begleiten und beraten die Fach- und/oder IT-Abteilungen bei der Konzeption, Umsetzung und im Betrieb von digitalen Lösungen. Dabei sorgen sie dafür, dass betriebliche und regulatorische Sicherheitsvorgaben eingehalten werden. Sie unterstehen jedoch weiterhin der Sicherheitsorganisation, um möglichen Interessenkonflikten entgegenzuwirken.

Stärken der Organisation nutzen

Alternative Möglichkeiten der Umsetzung sind:

  • Schulung und Hilfe zur Selbsthilfe
  • Dadurch wird nicht nur das Bewusstsein der Mitarbeiter für Sicherheitsaspekte geschärft, sondern auch wertvolles, praxistaugliches Wissen transferiert. 

Ausgewählte Rollen in den Fachbereichen mit speziellem Wissen ausstatten

In der Folge bringen die entsprechenden Mitarbeiter dieses Know-how in ihre jeweiligen Bereiche ein. So kann ein HR-Mitarbeiter, der mit den Aspekten der Datensicherheit vertraut ist, als interne Anlaufstelle dienen und damit den Data Privacy Officer entlasten. Ein Softwareentwickler, der über Fachwissen im Bereich Security-Testing und -Coding verfügt, kann seinen Kollegen entsprechende Hilfestellung geben.  Dieses Prinzip ist nicht neu, sondern in vielen Organisationen unter dem Begriff Superuser- oder in jüngster Zeit unter User Champion aus der Anwendungsbetreuung bekannt. Die Möglichkeiten für die Security sind hier vielfältig, aber das Potential in der Praxis bislang wenig ausgeschöpft.

Anpacken und gewinnen

Zögerlichkeit rechnet sich im Bereich Informationssicherheit definitiv nicht. Die Digitalisierung muss sicher sein, soll sie den gewünschten Erfolg bringen. Die nötigen Konzepte und Technologien sind vorhanden. Es gilt, sie an die individuellen Anforderungen und Wünsche anzupassen und zügig zu realisieren. Das senkt die Risiken und erhöht die Erfolgsaussichten. 

Sie möchten mehr zu diesem Thema erfahren oder sich beraten lassen? 
Kontaktieren Sie uns für ein persönliches Gespräch via info@ispin.ch oder +41 44 838 3111.