Heutzutage ist in Unternehmen die „Digitale Transformation“ ein wichtiges Thema, welches ganze Geschäftsbereiche betrifft und die Möglichkeit zur Erschliessung neuer Geschäftsmodelle bieten kann. Auch aufgrund der immer schneller voranschreitenden Entwicklung wird in vielen Branchen die passgenaue Ausgestaltung im Kontext der eigenen Wertschöpfung als grosse Herausforderung betrachtet. Es stellt sich deshalb die Frage, wie Unternehmen von der Transformation profitieren und sich gleichzeitig vor Cyber-Angriffen schützen können?
Eine Digitale Transformation ohne eine ganzheitliche Sicherheitsstrategie ist schlichtweg unmöglich. Im Rahmen der IDG IT-Strategietage in Hamburg sahen 78% der Teilnehmer IT-Security als Hauptherausforderung für eine erfolgreiche Transformation*. Dies impliziert auch die Kernaufgabe für das Überleben eines Unternehmens in der agilen digitalen Wirtschaft.
Leider sehen wir heute immer noch viele Projekte, bei denen die Sicherheit erst kurz vor dem Start mit einbezogen wird. Unserer Penetration-Tester finden hier in der Regel eine Vielzahl von Schwachstellen, die dann mit großem Aufwand und unter Zeitdruck geschlossen werden sollen. Aus diesem Grund sehen wir die frühzeitige Einbindung von Sicherheitsthemen in die Entwicklung neuer Lösungen als kritischen Erfolgsfaktor für die «Digitale Transformation». «Security by Design» in diesem Kontext heisst, sich bereits während der Planung Gedanken über mögliche Risiken zu machen, diese zu bewerten und durch geeignete Gegenmaßnahmen abzustellen. Mittelfristig wird kein Unternehmen innovative Lösungen ohne integrierte Sicherheit am Markt etablieren können. Kunden erwarten sichere Lösungen – es geht ihnen nicht nur um die Funktionalität, auch wenn dieses noch immer das Hauptkriterium ist. Die Sicherheit von Produkten bezieht sich heutzutage nicht mehr nur auf den Schutz vor unmittelbaren physischen Gefahrenquellen, sondern gerade auch auf den Schutz vor Hackern, Manipulationen und den Zugriff auf persönliche Daten. Sicherheit ist somit auch aus wirtschaftlichen Aspekten alternativlos!
Dies erfordert auch ein Umdenken vieler Sicherheitsverantwortlicher. In vielen Unternehmen werden diese als «Projektverhinderer» wahrgenommen, die überall nur Risiken sehen und jegliche Innovationen verlangsamen oder in der Tat unterbinden. Tatsächlich sind jedoch viele heutige Services erst durch IT-Sicherheit möglich. Ohne Transport- und Datenverschlüsselung wären moderne und agile Cloud-Projekte undenkbar. Eine sichere Authentisierung wird heute durch SaaS-Angebote ermöglicht.
Um bei dem Beispiel Cloud zu bleiben: In den Anfangstagen haben viele Unternehmen aus vorgeschobenen Sicherheitsgründen auf die Nutzung von Cloud-Diensten verzichtet. Bei der «Digitalen Transformation» müssen die Sicherheitsverantwortlichen mit in Projekte einbezogen werden und diese aktiv unterstützen, um so Wettbewerbsnachteile zu verhindern.
Dass Sicherheit künftig ein ausschlaggebendes Differenzierungsmerkmal sein wird, verdeutlicht ein weiteres Beispiel: das Auto der Zukunft! Schon heute verbauen die Hersteller im Auto eine Vielzahl von Schnittstellen zur Aussenwelt, die unterschiedliche Informationen austauschen und die über das Netz kommunizieren. Das «Connected Eco System» mit dem Austausch von Fahrer-, Fahrzeug- und Umgebungsdaten, das Versenden und der Empfang großer Informationspakete, Autonomes Fahren, Remote Software Updates sind nur einige Teilaspekte unseres zukünftigen mobilen Fahrerlebnisses.
Wie kann eine Sicherheitsstrategie erfolgreich in die «Digitale Transformation» eingebaut werden und auch mögliche zukünftige Risiken abdecken?
Der wichtigste Punkt innerhalb der Sicherheitsstrategie im Rahmen der «Digitalen Transformation» ist, dass man seine spezifischen Risiken kennt und diese entsprechend des eigenen Risikoprofils bewertet. Hierfür bietet NTT Security Methoden zur Risikoanalyse für seine Kunden an. Nur wer seine Risiken kennt, kann gezielt Maßnahmen zur Prävention in Sicherheitsarchitekturen einbauen. Für das IT-Management bietet dies den Vorteil, dass jegliche Sicherheitsmaßnahmen nicht willkürlich, sondern strukturiert und bewertet umgesetzt werden. Durch strukturierte Analysen müssen auch Aspekte und Szenarien betrachtet werden, die im Rahmen der Standard-IT bisher nur wenig Relevanz hatten. Im Rahmen der «Digitalen Transformation» hat z.B. die starke Vernetzung von Produktionssystemen extrem an Wichtigkeit gewonnen, da hier ganz neue Angriffsvektoren für Cyber-Angriffe entstanden sind.
Allgemein ist festzustellen, dass die Menge der von Unternehmen gespeicherten Daten und deren Wert immer weiter zunimmt. Sie müssen zum einen immer verfügbar sein, zum anderen vor Missbrauch geschützt werden. In welchem Masse ist dieses Bewusstsein in den Vorstandsetagen vorhanden und welche konkreten Handlungen leiten die Verantwortlichen daraus ab?
Grundsätzlich ist ein gestiegenes Bewusstsein zu beobachten, welches jedoch von Branche zu Branche etwas differenziert. In Branchen, die seit Jahren mit hohen regulatorischen Anforderungen umgehen müssen, besteht auch bei Vorständen eine signifikant höhere Awareness für Security-Anforderungen und ein Verständnis für deren Relevanz für das eigene Geschäftsmodell. Überraschenderweise finden sich auch immer noch Unternehmen, die gemäß dem Motto «Uns wird es schon bei einem Cyber-Angriff nicht treffen» handeln.
Oftmals klaffen auch noch immer Anspruch und tatsächliche Umsetzung von Sicherheitsmaßnahmen auseinander: IT-Sicherheit ist solange wichtig, bis entsprechende Budgets beantragt werden. Je nach Branche sollten mindestens zwischen 5% und 8% des IT-Budgets für IT-Sicherheit vorgesehen werden.
Mit dem richtigen Budget ist aber nur die Anfangshürde genommen. Wie setze ich dieses sinnvoll ein? Wie finde ich den richtigen Mix zwischen Prävention und Detektion? Sind meine Sicherheitsmaßnahmen noch angemessen? Make-or-Buy-Entscheidung in Bezug auf den Aufbau eigener Kapazitäten oder die Nutzung von Managed-Security-Providern?
Mit der «Digitalen Transformation» ändern sich viele Parameter. Ladenöffnungszeiten verschwinden – Onlineshops sind rund um die Uhr geöffnet, entsprechend muss die Cyber-Abwehr auch rund um die Uhr einsatzbereit sein. Klassische Perimeter sind nicht mehr vorhanden. Aufzüge, Produktionsmaschinen und IT-Geräte kommunizieren in der ganzen Welt mit den internen Systemen – traditionelle Firewalls sind hier machtlos.
Dieses Bewusstsein für neue Chancen, aber auch damit verbundene Risiken wächst und ist dringend notwendig, um das Überleben und die Wettbewerbsfähigkeit eines Unternehmens in der digitalen Neuzeit zu gewährleisten. Das Zusammenwachsen von Digitalisierung und IT- Sicherheit – auch organisatorisch oder zumindest in Projekten – ist daher unabdingbar.
Neben der freiwilligen Implementierung von Massnahmen zur Erhöhung der Cybersicherheit für Unternehmen tritt im Mai 2018 die Datenschutz-Grundverordnung in Kraft, welche den Schutz personenbezogener Daten der Bürger im Europäischen Wirtschaftsraum vereinheitlichen soll. Welche Konsequenzen hat dies für Unternehmen bzw. mit welchen Chancen und Risiken müssen sie sich auseinandersetzen?
Die DSGVO hat die Sicherheit und Bedeutung von IT Security nochmals erhöht. Umso überraschender war für mich das Ergebnis der von NTT Security in Auftrag gegeben Risk-Value-Studie, nach der gerade mal die Hälfte der Unternehmen die Relevanz der DSGVO für ihr Geschäft sehen.
Durch die Vorgaben der DSGVO werden die personenbezogenen Daten von EU-Bürgern weltweit geschützt. Die Datenhoheit liegt dann nicht mehr bei dem Unternehmen, welches die Daten erfasst hat, sondern bei dem EU-Bürger selbst. Meiner Meinung nach bietet die DSGVO für EU-Unternehmen viele Wettbewerbsvorteile auf dem globalen Markt. Nicht nur, dass die DSGVO als Vorlage für viele andere Länder genutzt werden soll, sie zeigt den Kunden auch, dass innerhalb der EU sehr sorgsam mit personenbezogenen Daten umgegangen wird. Besonders im Wettbewerb mit amerikanischen Unternehmen, können EU-Firmen im Umgang mit personenbezogenen Daten auf größeres Vertrauen der Kunden bauen. Nichtdestotrotz ist für die Unternehmen viel zu tun, um alle Vorgaben der DSGVO zeitgerecht umzusetzen.
Welche Folgen kann der Nachweis einer Nichteinhaltung der Vorschriften haben und wie können Sie Unternehmen unterstützen, um den Grad der Betroffenheit von der neuen Verordnung zu analysieren?
Im Falle einer vorsätzlichen Nichteinhaltung der DSGVO-Vorgaben besteht für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, die Strafandrohung von 20 Mio. Euro bzw. 4 % des Konzernjahresumsatzes. Die NTT Gruppe unterstützt Kunden – angefangen von der strukturierten Analyse der Vorgaben und dem Mapping auf das jeweilige Unternehmen bei der Etablierung von Prozessen bis hin zur technischen Umsetzung geeigneter Maßnahmen. Die größte Herausforderung für viele Kunden ist die strukturierte Analyse, an der Stelle, an der personenbezogene Daten im Unternehmen verarbeitet werden.
Hierbei sind die Standard IT-Systeme relativ schnell analysiert. Oft liegen aber auch personenbezogene Daten in lokalen Access Datenbanken, auf externen Servern für z. B. Marketingaktionen oder Cloud-Anwendungen, die außerhalb der Corporate IT betrieben werden. Diese Systeme können nur durch eine Kombination von strukturierten Analysen mit Assessments und technischen Lösungen identifiziert werden.
Mit welchen Schritten kann ein Unternehmen fit für die neuen EU-Vorgaben gemacht werden?
Ganz am Anfang steht die Schaffung einer Awareness für die DSGVO. Bei der Analyse vorhandener Datenschutzdokumentationen und Prozesse und der Erkennung der Gaps zur DSGVO kann strukturiert vorgegangen werden. In der Identifikation der Systeme mit personenbezogenen Daten liegt die größte Herausforderung vieler Unternehmen. Danach können Prozesse für Auskunft, Löschen und Übertragung personenbezogener Daten aufgestellt werden. Die Umsetzung in allen IT-Systemen insbesondere für das Löschen von Daten wird oft unterschätzt, da viele Systeme für diese Anforderung nur bedingt ausgelegt sind bzw. die Auswirkung des Löschens von Daten auf Folgesysteme nur mit hohem Aufwand abgeschätzt und implementiert werden kann.Auch die Einbindung der Rechtsabteilung zur Beurteilung von Vorgaben der DSGVO auf Verträge mit Kunden und Zulieferern muss parallel erfolgen. Nicht zu vergessen ist natürlich die Vorgabe «Datenschutz by Design» für alle neuen Anwendungen und Systeme. Viele unserer Kunden denken bei der DSGVO oft nur an ihre Kundendaten. Wichtig ist, dass die Vorgaben für alle personenbezogenen Daten von EU-Bürgern gelten, also z.B. auch für Mitarbeiterdaten.
Ein nicht zu unterschätzender Aspekt für die DSGVO ist zudem die Meldepflicht innerhalb von 72 Stunden, die neben einem durchgängigen Incident-Response-Prozess auch die entsprechenden technischen Lösungen für die Früherkennung erfordert, so dass ein Unternehmen einen potenziellen Datenverlust nicht erst aus der Presse erfährt. Hier sind Unternehmen im Vorteil, die schon durchgängige Information-Security-Management-Systeme (ISMS) implementiert haben, jedoch gilt es diese zu validieren und entsprechend zu erweitern.
*IDG, Studien zu den Hamburger Strategietagen 2017, „4Digital – Die vier Disziplinen der Digitalisierung“