Roman Haltinner ist Cybersecurity Competence Leader für Industriekunden bei EY Switzerland. Die klassische Sichtweise vom Trade Off von Usability und Innovationsfähigkeit auf der einen Seite und Sicherheit auf der anderen Seite muss neu gedacht werden. Cybersecurity kann einen entscheidenden Beitrag zum Unternehmenserfolg leisten, Kosten minimieren, Effizienz erhöhen und Gewinn vermehren. Eine Frage der Transparenz und Antizipierung der Cyberbedrohungslage des Unternehmens.
Persönlich treffen Sie die Cybersecurity Experten von EY Switzerland rund um Roman Haltinner und Jan Leitermann beim Confare #CIOSUMMIT in Zürich, mit dem Swiss #CIOAward der wichtigste Treffpunkt für IT-Manager in der Schweiz.
Welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?
Cybersecurity kann mehr sein als nur ein Kostenfaktor. Sie kann die Voraussetzung dafür sein, dass ein Unternehmen wächst und sich weiterentwickelt. Damit dies der Fall ist – und damit die Argumente für Investitionen in die Cybersicherheit auf Führungsebenen stichhaltig sind, muss Folgendes zutreffen: Durch Investitionen in die Sicherheit wird das Unternehmen in die Lage versetzt, mehr Wert aus seinem Geschäftsmodell zu ziehen.
Bis vor kurzem waren solche Versuche, Cybersecurity als Enabler zu bezeichnen, eher unbeholfen und konzentrierten sich darauf, Sicherheit zu rationalisieren oder sie in einem frühen Stadium des Lebenszyklus in die IT einzubinden, um Kosten und Komplexität zu reduzieren. Das Problem besteht darin, dass sie nicht die notwendige Fähigkeit bietet, dem sich entwickelnden Bedrohungsökosystem und den darin operierenden Bedrohungsakteuren zu widerstehen.
Starke Sicherheit ermöglicht es, Kunden zu gewinnen und an sich zu binden. In verschiedenen Sektoren, vom Finanzwesen bis zur Pharmaindustrie, von der Personalbeschaffung bis zum Einzelhandel, ist eine vertrauenswürdige und nachweisbare Sicherheitslage eine wesentliche Voraussetzung dafür neue Kunden zu gewinnen und die Kundenbindung zu verbessern. Einfach ausgedrückt: Bessere Sicherheit führt zu höheren Umsätzen und einer stärkeren Kundenbindung.
Erkennungs- und Reaktionsfähigkeit lockert restriktive Präventivkontrollen, erhöht die Produktivität und reduziert die Schatten-Informatik. Dies ist ein immerwährendes Problem für die Sicherheitsverantwortlichen. Dazu hat vor allem die Digitalisierung bzw. Automatisierung der Inhalte bzw. Vermarktungsprozesse beigetragen, die diese zugänglich für Millionen von Kunden, Unternehmen und Dritten machten. Dieses exponentielle und blitzschnelle Wachstum in Komplexität und Volumen der Prozesse sowie unterstützender Technologien ist heutzutage zu einer Normalität geworden. Unternehmen beschäftigen intelligente Mitarbeiter, die zu schnellen Innovationen fähig sind, aber oft durch restriktive Kontrollen seitens der Sicherheitsverantwortlichen gebremst werden. Da der größte Teil der Sicherheitsbudgets in der Vergangenheit für präventive Kontrollen aufgewendet wurde, ist es nachvollziehbar, dass dies zu einer Schatten-Informatik-Kultur geführt hat, in der innovative Mitarbeiter die Unternehmenssysteme einfach umgehen und die Dinge selbst in die Hand nehmen, was das Sicherheitsrisiko natürlich noch erhöht. 
Starke Sicherheit gibt dem Unternehmen Vertrauen, wenn es in neue Gebiete oder Märkte expandiert. Bei der Einführung von neuen Produkten oder neuen Marktgebieten kann eine schnelle und sichere Entscheidungsfindung durch das Führungsteam über Erfolg oder Misserfolg entscheiden. Eine Sicherheitsstrategie, die das Unternehmen in die Lage versetzt, neuen – und möglicherweise leistungsfähigeren – Bedrohungsakteuren zu widerstehen, verschiebt das Thema “Sicherheit” mittels geeigneter Konzepte (Security by Design) von “Schwäche und Bedrohung” zu “Stärke und Chance” und ermöglicht es dem Unternehmen, einige seiner fortschrittlicheren Entscheidungen weniger riskant zu gestalten.
Moderne Sicherheit ist auf große Datenmengen angewiesen, die das gesamte Unternehmen optimieren können. Früher ging es bei der Sicherheit um die Anwendung von Richtlinien, Signaturen und Kontrollen, doch heute ist wirksame Sicherheit – insbesondere bei der Erkennung von Angriffen – auf die vollständige Transparenz aller Vorgänge in der Informatik angewiesen, um gezielte Angriffe und böswillige Aktivitäten unter Nutzung legitimer Informatik-Funktionen zu erkennen. Dies führt dazu, dass die Sicherheit manchmal einen besseren Einblick in die Informatik haben als Informatik verantwortliche. Dieser Einblick kann für Optimierung genutzt werden, indem die Leistung der vorhandenen Informatik optimiert wird, aber auch, indem die Nutzung von Schatten-Informatik auf eine Weise erkannt wird, die die zentrale Informatikabteilung nicht erkennen kann. Die Sicherheitsabteilung kann dem Unternehmen eine Vorausschau auf die mittel- bis langfristigen Informatik-Anforderungen geben, die sich aus der Nutzung der Schatten-Informatik ergeben, die in der Regel auf innovative Mitarbeiter zurückzuführen ist, die innovative Dinge tun.
Ein gut gehandhabter Sicherheitsverstoß kann den Markenwert tatsächlich steigern. Es wird immer davon ausgegangen, dass eine Sicherheitsverletzung zu negativer Publicity und einem Vertrauensverlust bei den Kunden führt, gefolgt von Abwanderung oder Schwierigkeiten bei der Gewinnung neuer Kunden. Werden Sicherheitsverletzung jedoch mit voller Transparenz gehandhabt und den Kunden und der Öffentlichkeit mitgeteilt – zusammen mit veröffentlichten Plänen zur Schadensbegrenzung und schnellen Maßnahmen -, können Werte wie Transparenz, Anpassungs- und Widerstandsfähigkeit zum Markenwert hinzugefügt werden, anstatt langfristigen Schaden zu erleiden.
Sicherheit wird nie zu 100 % wirksam sein und die Gesellschaft beginnt, diese Tatsache zu akzeptieren und positiv auf eine Sicherheitsverletzung zu reagieren, wenn sie auf die richtige Weise gehandhabt wird.
Was sind die wichtigsten Elemente einer Cybersecurity Architektur? Worauf muss man als CIO achten?
In den vergangenen Jahren wurde das typische Unternehmen auf den Kopf gestellt. COVID-19 hat die Modernisierung der Informationstechnologie beschleunigt. Ein Großteil der Belegschaft die früher in einem Büro arbeiteten, arbeiten jetzt massenhaft von zu Hause aus. Da mehr Geräte von ihren Heimarbeitsplätzen aus auf sensible Unternehmensdaten in der Cloud zugreifen, wächst die Bedrohungslage. Die Unternehmen beschleunigen ihre digitale Transformation in hohem Maße, um der neuen Realität gerecht zu werden.
Es braucht intelligente Architekturen und Prozesse, bei denen es ebenso darum geht, Cyberrisiken in der gesamten Organisation neu zu positionieren und zu managen, wie auch die Technologien anzupassen. Ziel ist es, eine dynamischere, effizientere und kundenorientiertere Technologieplattform aufzubauen. Es gibt dazu verschiedene Annäherungen und Modellbetrachtung, um die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Architektur Betrachtung und die damit einhergehende Komplexität fassbar zu machen.
Infolgedessen wurden architektonische Ansätze (z. B. Zero Trust, Cybersecurity Mesh) entwickelt, und die Identität ist nun de facto die organisatorische Grenze. Damit verbunden haben folgende Elemente eine zentrale Sicherheitsfunktionen:
- Identität und Zugangsschutz
- Endgerätesicherheit
- Netzwerk – und Mobilsicherheit
- Daten- und Applikationssicherheit
- Cloud- und Managed Services
- Threat Intelligence und Security Analytics
- Incident Handling und Recovery
- Menschliche Faktor
Wobei dem letzteren Punkt besondere Bedeutung zukommt. Der Menschliche Faktor fokussiert gezielt auf den Menschen aber nicht nur den Menschen in der Organisation selbst, sondern auch die Wechselwirkungen mit unternehmensunabhängigen Personen: Kunden, Lieferanten und sonstigen Partnern, wie etwa Dienstleistern im Bereich Steuern oder Recht.
Die wichtigsten Elemente einer Cybersecurity Architektur zu berücksichtigen Elemente sind aufgezählt, entscheidend aber ist es – vor dem Hintergrund der aktuellen Bedrohungslage – eine widerstandsfähige Organisation zu schaffen, die im Falle eines Angriffs zeitnah und vollständig wiederherstellen kann. Dazu gehört ein Notfallplan, natürlich ein funktionierendes Backup – ideal sind Lösungen, die sowohl offline Daten halten als auch in eine vertrauenswürdige Cloud replizieren.
Welche Argumente zählen bei der Geschäftsführung wirklich, wenn es um Cybersecurity Investitionen geht?
Mit der Verschärfung regulatorischer Vorgaben bezüglich Cyberrisiken legen Unternehmen zunehmend den Schwerpunkt auf vorschriftgemässe und reife Prozesse des Informations-Risikomanagements. Dies hat zu einem neuen Trend geführt. Unternehmen ernennen Cybersecurity Experten in Führungsgremien, was dazu folgt, dass die Arbeit der Sicherheitsverantwortlichen genauer unter die Lupe genommen wird.
Sicherheitsverantwortliche bekunden aufgrund begrenzter Interaktionen und Beziehungen Mühe, Schwierigkeiten der Geschäftsführung zu kommunizieren und mit ihr zusammenzuarbeiten. Dieser Sachverhalt wird durch die Wahrnehmung auf Führungsebene noch verschärft. Sicherheitsverantwortliche müssen daher viel Zeit investieren, um Transparenz zu schaffen und die Akzeptanz und Unterstützung von Sicherheitsinitiativen zu gewinnen.
Die notwendige „Management Attention“ und in Folge benötigter Investitionen ist über das Thema Risikomanagement und die dazu bedarfsgemässen Abwehrfähigkeiten zu erreichen. Sicherheitsverantwortliche müssen über Cyberrisiken in einem geschäftlichen Kontext sprechen und sie für die relevanten Interessengruppen verständlich machen, um Entscheidungen auf der Grundlage von geschäftsrelevanten Prioritäten und Investitionen voranzutreiben.
Cyberrisiken sind in der Einschätzung von Führungskräften weit etwa vor pandemiebedingten Risiken oder den Problemen mit Lieferketten positioniert. Gefolgt von Betriebsunterbrechungen, welche nicht selten auch Grundbedrohungen der Informationssicherheit sind. Ein zentrales Element bei Führungsgremien stellt die Frage nach dem persönlichen Haftungsrisiko dar. Das Obligationenrecht besagt, dass Vorsorge für existenzbedrohende Risiken zu treffen ist. Es steht außer Frage, das Cyberrisiken zu den für Unternehmen existenzbedrohenden Risiken gehören.
Allgemein ist zu beobachten, dass speziell in den letzten 3 Jahren sich das Bewusstsein für Cyberrisiken weiterentwickelt hat, auch und gerade was die Führungsgremien angeht. Und das ist zum Schluss eine gute Nachricht.
Hier ein kleiner Rückblick auf die besten CIOs und IT-Manager Österreichs: Die Gewinner des Confare #CIOAWARDs 2021
Mehr spannende Videos finden Sie auf unserem YouTube-Kanal.