Roger Albrecht vom Beratungsunternehmen ISG

ISG-Experte Roger Albrecht über Schatten-IT und Security: „Im Grunde genommen beschäftigt man sich nur noch als Brandbekämpfer und übersieht, dass die Mehrzahl der Feuer gar nicht hätte ausbrechen müssen." (Bild: ISG)

Herr Albrecht, um auf das enorme Tempo des digitalen Wandels reagieren zu können, lautet in letzter Zeit auch im Bereich Cybersecurity das Zauberwort „Automatisierung“. Was können KI und smarte Algorithmen heute bereits leisten?

Grundlegend geht es darum, Waffengleichheit gegenüber Angreifern zu schaffen, die ihrerseits KI nutzen. Entsprechend spezialisierte IT-Dienst­leister halten hierzu bereits sehr ausgereifte Angebote bereit. Ungeachtet dessen besteht beim Einsatz von KI die Gefahr, dass die eigentlichen Probleme recht bald aus dem Blick geraten. Um das zu verhindern, sollte sich jedes Unternehmen erst einmal klarmachen, wo seine Security derzeit überhaupt steht. Vielerorts zeigt sich dann ein eher zwiespältiges Bild. Denn während zum Schutz der Backoffice-IT im letzten Jahrzehnt wirklich Großartiges geleistet wurde, bleibt die Absicherung der überbetrieblichen Wertschöpfung oft deutlich dahinter zurück – sei es in den Lieferketten, im Kundenbeziehungsmanagement oder in den Fahrzeugflotten. Bei zu vielen dieser Themen verfügen die SOCs noch nicht über die nötige Durchgriffs­tiefe und Schlagkraft.

Warum?

Allzu oft wird die Security als eine Art Verhinderer gesehen, der mit zu starren Compliance-Vorgaben das Business aufhält. Gerade Engineering-Teams verlassen sich dann lieber auf ihre eigenen Kompetenzen. Die Heterogenität der zu schützenden Systeme nimmt damit wesentlich stärker zu, als dies in einer integriert arbeitenden Security-Organisation der Fall wäre. In einer solchen Gemengelage kann KI zwar einiges heilen, etwa über die Echtzeitbekämpfung von Unregelmäßigkeiten – aber im Grunde genommen beschäftigt man sich nur noch als Brandbekämpfer und über­sieht, dass die Mehrzahl der Feuer gar nicht hätte ausbrechen müssen. Weitaus wichtiger ist es daher, zunächst einmal das eigene Haus zu durchkämmen und das Sicherheitsmanagement zu vereinheitlichen. Tatsächlich lässt sich gerade auch hier, also beim Aufräumen des eigenen Hauses, mit KI eine Menge erreichen.

Eine besondere Herausforderung liegt im Weg in die Cloud. Sollten Unternehmen ihre Zusammenarbeit mit Hyperscalern unter dem Gesichtspunkt der Cyber-Security noch einmal überdenken? Wie sieht hier eine sinnvolle Strategie aus?

Ähnlich wie die KI hält auch die Cloud den Anwenderunternehmen den Spiegel vor. Wie meine ich das? Nun, längst haben die Hyperscaler ihre Infrastrukturen nach dem Stand der Technik abgesichert. Zudem verfügen sie über die Mittel, um neue Security-Features in kürzester Zeit in ihre Systeme einzubinden. Damit liegt der Ball im Feld der Nutzer: Sichere Cloud-Nutzung entscheidet sich in den Anwenderunternehmen beziehungsweise entlang ihrer Wertschöpfungsketten. Was man als Applikationen und Daten in die Private Cloud hineinlegt, steht einzig in der Verantwortung des Cloud-Kunden. Gleiches gilt für die Ausgestaltung der Cloud-Sicherheit – etwa was sinnvolle Vorgaben zur Verschlüsselung anbetrifft oder die Definition der Zugriffsrechte. Diesen Verantwortungs­übergang gilt es sehr präzise herauszuarbeiten.

Die Cybersicherheit macht auch an anderer Stelle nicht an den Unternehmensgrenzen Halt: wenn Zulieferer ins Spiel kommen. Durchgängige Security-Konzepte werden daher mehr und mehr eine notwendige Bedingung bei Ausschreibungen. Ist der Aufwand, das zu kontrollieren und zu managen, für Automobilkonzerne überhaupt noch zu meistern?

Mit der TISAX-Zertifizierung hat der Fahrzeugbau einen wichtigen Punkt gesetzt, um bei seinen Wertschöpfungspartnern ein hinreichendes Informationssicherheitsniveau zu gewährleisten. Wie so oft liegt aber auch hier die Tücke im Detail. Mit schöner Regelmäßigkeit stellen die Beteiligten fest, dass die Bandbreite der Interpretationen, mit der sich die TISAX-Vorgaben in der Praxis ausdeuten lassen, weit auseinandergeht. Die Auftraggeber sollten sich darüber im Klaren sein, dass jeder dieser Ermessensspielräume den Lieferanten Möglichkeiten bietet, um Einsparungen in der Zusammenarbeit durch transferierte Risiken zu erzielen. In einer solchen Ausgangssituation ist es eher unwahrscheinlich, dass die Lieferanten ihr Sicherheitsmanagement in der Weise stärken werden, wie dies aus Sicht der Security-Verantwortlichen des Auftrag­gebers wünschenswert wäre. Die Auftraggeber sollten sich daher der gemeinsamen Verantwortung stellen und sichere Strukturen schaffen, in die sich die Zulieferer mit ihren Produkten und Dienstleistungen einbringen können.

Wie kann das gelingen?

Das Minimum ist eine praxistaugliche Definition konkreter Sicherheitsanforderungen, die die Interpretationsräume minimieren und die Risiken effektiv beschränken. Wünschenswert wäre darüber hinaus auch der Aufbau eines gemeinsamen Security-Operations-Netzwerks, das über ausreichende Kapazitäten an Personal und Technologieausstattung verfügt und dabei allen Mitgliedern der Wertschöpfungskette offensteht. Allerdings sind solche Angebote derzeit allenfalls in Ansätzen erkennbar. Security bleibt daher gerade auch im Sourcing bis auf Weiteres eines der ganz großen Themen.

Zur Person:

Roger Albrecht ist Spezialist für strategische Sicherheitsberatung. Beim Marktforschungs- und Beratungsunternehmen Information Services Group (ISG) verantwortet er diesen Beratungsbereich zusammen mit seinem amerikanischen Partner Doug Saylors.

Sie möchten gerne weiterlesen?