Heiko Henkes (Experton) über Security-Lösungen, die im Idealfall 'ubiquitous' und aus der Cloud zu beziehen sind.
Analyze IT

„Was Unternehmen am meisten verunsichert? – Die Frage nach dem richtigen Security-Provider.“

Interview mit Heiko Henkes, Director Advisor der Experton Group AG
Autor: Thomas van Zütphen
Fotos: PR (2)

Herr Henkes, wie ändert sich mit zunehmender Digitalisierung die Rolle von Security?

Je mehr Digitalisierung im Alltag der Unternehmen ankommt, desto mehr wird Security für sie zum zentralen ICT-Thema. Allein durch die zunehmende Vernetzung und das Internet der Dinge bekommt Sicherheit eine unendliche Bedeutung und spielt jetzt auf einem Bankett, auf dem viele ihrer Provider bislang nicht so richtig vertreten waren.

Ausserhalb der Nerds gilt Security vielen Anwendern bis hin zu CIOs als kompliziert, langsam und lästig – vor allem auf dem Weg zu schnellen Innovationen. Muss das so sein?

Nein, muss es nicht – wenn Security-Provider die einfache Anwendung und Verfügbarkeit ihrer Lösungen zum Standard machen. Und Standardisierung ist ja auch im Security-Umfeld nicht mehr aufzuhalten. Allerdings muss man in dem Punkt auch aufpassen: Standards sind gut. Aber wenn eine breite Masse auf eine Lösung setzt, wird das Ganze für Hacker natürlich attraktiver, die sofort einen großen Anreiz sehen, hier mit wenigen Angriffen eine kritische Masse zu erreichen. Das heißt: Standards ja, aber hochsicher und vor allem stets aktuell hinsichtlich Updates und Patches. Doch die größte Unsicherheit der Unternehmen resultiert heute noch aus der Frage: „Wer ist der richtige Security-Provider?“ Oder muss – Stichwort: Patriot Act –, wer eine Public Cloud von Microsoft nutzen möchte, lieber gleich ins „Betriebshotel“ von T-Systems gehen, damit er auf der sicheren Seite ist? Denn dort, wo Security-technisch alles abgesteckt ist, hab ich als Unternehmen zumindest schon mal Rahmenbedingungen, unter denen ich mich frei bewegen kann.

Was bedeutet das für Security-Provider und ihre Bereitstellung der Services?

Sie müssen die Basistechnologien der Digitalisierung beherrschen, schon allein um daraus ihre Kunden zuverlässig in Sachen Security beraten zu können. Dann müssen sie bereit sein, sich Security-Partner ins Boot zu holen. Für Unternehmen kommt dann natürlich die Frage auf: Wer orchestriert das Gesamtpaket? Kann das einer der Provider als eine Art „Primus inter Pares“ selbst sein, oder muss ich mich als Kunde um das Vendor-Management im Bereich Security letztendlich wieder selber kümmern? Und diese Frage drängt ja umso mehr, je größer ein Unternehmen wird – und je komplexer seine Sicherheitsanforderungen damit sind. In dem Zusammenhang ist sehr wichtig, dass sich Unternehmen zunächst mal selbst darüber klar werden: Wo stehe ich, und was brauche ich? Um dann den Security-Anbieter zu fragen: Kannst du das überhaupt leisten?

Es muss also allen deutlich werden, wie sehr IT heute Produktionsfaktor ist?

Absolut. Das müsste auch mal verstärkt in den Wirtschaftsuniversitäten gepredigt und in die BWL-Bücher eingearbeitet werden. Das heißt aber auch: Um extern am Markt sicher agieren zu können, muss ich mich zunächst intern transformieren und mich mit Blick auf die Security-Anforderungen auch schon mal mit Cloud, Big Data, Social Business, IoT, Mobile Enterprise und Digital Workspace beschäftigt haben. Solange IT vielerorts als Produktionsfaktor nicht verstanden wurde, brauchen wir über Security als Produktionsfaktor gar nicht zu sprechen.

Worauf müssen sich Unternehmenslenker vorbereiten, was ist beziehungsweise wird das grösste Einfallstor für Cyber-Attacken?

Eindeutig der Mensch. Ich kann meine Systeme mittels IT grandios absichern, aber muss dann auch die richtigen Mitarbeiter am richtigen Platz einsetzen. Da werden Unternehmen bei der Besetzung solch hochsensibler Funktionen zukünftig verstärkt auch über Assessments nachdenken, psychologische Test wie bei Piloten und darüber, dass ein Mitarbeiter, der die wirklich kernkritischen Systeme administriert, im Grunde permanent unter Beobachtung stehen muss. Zu seinem eigenen Schutz, dem seines Arbeitsplatzes und dem des Unternehmens.

Zwischen Identity Analytics, Mobile Security und Threat Intelligence – was sind die Toptrends in Sachen Cyber-Security?

Predictive Security wird auf Verteidigungsseite ein Riesenthema, also Mobile oder sogar Ubiquitous Security aus der Cloud. Und dafür brauchen Unternehmen Sensorik, Verhaltensanalysen im Netzwerk, Automatisierung und künstliche Intelligenz – und jemanden, der das alles managen kann, vom Rechenzentrum über die Netze und Applikationen bis zu den Endgeräten. Da geht es auch darum, viele Datenpools über Knotenpunkte zusammenzuschließen, damit intelligente Systeme den Verkehr und das Verhalten von Daten überwachen, daraus ihre Schlüsse ziehen und vorausschauend – eventgetrieben – agieren. Denn wenn Angreifer nur einen winzigen Baustein ihres Schemas verändern und das Abwehrsystem nicht intelligent ist, dann rauscht die Attacke unerkannt durch. Was konkrete Lösungen angeht, bekommt das Thema Identity Management/Identity Access Management enorme Brisanz, da immer mehr On-premise-Systeme mit der Cloud verheiratet werden. Das heißt, diese Lösungen müssen cloud-konform werden, und da stehen viele Service-Provider noch ganz am Anfang. Die Herausforderung liegt hier in dem Drahtseilakt, Sicherheit und Usability ausgewogen, das heißt Enterprise-Compliance-konform und nutzerfreundlich, zu gestalten.

Was erwarten Sie auf der Angreiferseite?

Ich fürchte, da wird Social Engineering den Kriminellen noch viele Erfolgserlebnisse bescheren, und in der Folge werden Advanced Persistent Threats mächtig Konjunktur bekommen. Darüber hinaus ist davon auszugehen, dass sich der Terror unserer Zeit immer häufiger in die digitale Welt verlagern wird.

Was wird mittelfristig die grösste Herausforderung?

Das Risiko der kommenden Mitarbeitergeneration „Z“: In zehn Jahren wird ein erfolgreicher Cyber-Angriff auf kritische Infrastruktur ein GAU. Weil erfahrene Krisenmanager oben wegbrechen und die neuen Jungen schon nicht mehr wissen, wo oben und unten ist, wenn ihr Navi ausfällt. Dass nicht nur einzelne Unternehmen, sondern unsere ganze Wirtschaft dringend neue, interdisziplinär denkende Security-Spezialisten braucht, wird völlig unterschätzt.

Weitere Artikel