Die digitale Transformation beschäftigt Unternehmen rund um den Globus. Der Digitalisierungsprozess kann dabei von vielen Faktoren ausgebremst werden – unter anderem der IT-Sicherheit. Wir verraten Ihnen, wie Sie das verhindern.

„Digitale Transformation“, oder kurz „Digitalisierung“, sind Begriffe, mit denen Politiker, Wissenschaftler und viele andere gesellschaftliche Gruppierungen schon seit ein paar Jahren lebhaft jonglieren. In der Businesswelt versteht man darunter mehr Informationen über die Kunden, mehr Kundennähe und vor allem viele neue Business-Modelle.

Doch entgegen dem allgemeinen Eindruck schreitet die digitale Transformation nur schleppend voran. In einer Gartner-Untersuchung gaben nur sechs Prozent der befragten Firmenstrategen an, dass bei ihnen die Digitalisierung bereits zu mehr als 75 Prozent abgeschlossen sei. Drei Viertel gehen davon aus, noch nicht einmal die Hälfte geschafft zu haben.

 

„Was fehlt sind strategische Ansätze“

Einer der Gründe für die schleppende Transformation könnte im Bereich IT-Sicherheit zu finden sein. „Die meisten Sicherheitsverantwortlichen können die digitale Transformation noch nicht ausreichend begleiten, weil sie zu sehr mit sich selbst beschäftigt sind; dazu gehören die Fragen: Was sind genau meine Aufgaben, wo bin ich organisatorisch am besten angesiedelt oder wo verlaufen die Abgrenzungen zu anderen Bereichen, wie IT und Datenschutz?“, sagt Marcus Beyer, Advisory Lead Resilient Worforce bei DXC.

Laura Koetzle, Vice President und Principal Analystin bei Forrester, sieht das ähnlich: „Die Leistungen der Sicherheits-Anbieter und -Verantwortlichen müssen deutlich verbessert werden. Es gibt immer noch viel zu viele Security-Vorfälle“, schreibt sie in ihrem Blog. Darüber hinaus sieht sie ebenfalls strategische Defizite bei den Sicherheits-Verantwortlichen: „Es gibt keinen Mangel an technischen Hilfsmitteln. Was fehlt, sind strategische Ansätze der Sicherheits-Experten“.

 

Führungsetagen-Support Mangelware

DXC-Experte Beyer geht da noch einen Schritt weiter: „Trotz – oder gerade wegen – den vielen Security-Incidents ist das Verständnis für die Sicherheit bei den CEOs noch nicht angekommen. Dort herrscht weitestgehend die Ansicht es gäbe keine hundertprozentige Sicherheit und das eigene Unternehmen hat es ja bisher nicht getroffen. Alles gut also! Warum also investieren?“, verbalisiert er seine Erfahrungen mit der obersten Führungsebene.

Die CISOs bekommen diese Haltung dann in Form von knappen Budgets zu spüren. Nach Ansicht von Beyer gibt es ohnehin viel zu wenige CISOs, die sowohl betriebswirtschaftlich als auch kommunikativ stark aufgestellt sind. „CISOs die schwach argumentieren, können auch nicht erklären, warum man bestimmte Projekte in der Informationssicherheit umsetzen will und was es dem Unternehmen und dem eigenen Business bringen soll“, so Beyers Resümee. Dabei gibt er jedoch zu bedenken, dass „alles, was nicht regulatorisch gefordert wird, kaum durchsetzbar ist“.

 

„Ein CISO braucht kein technisches Verständnis“

Beyer sieht deshalb den Schwerpunkt der CISO-Fähigkeiten nicht in technischen Disziplinen: „Ich gehe soweit, zu behaupten, dass man als CISO gar kein tiefes und detailliertes technisches Verständnis braucht. Ein CISO muss zur IT gehen und sagen können: ‚Das hier sind die Regeln, die wir beachten müssen, wie können wir das technisch umsetzen?‘ – Um das zu klären, benötigt man aber selbst kein technisches Verständnis“.

Auch Forrester-Analyst Paul McKay sieht bei den CISOs einen zu starken Fokus auf die technologischen Aspekte und eine gleichzeitige Vernachlässigung der Management Skills: „CISOs müssen eine Kultur der Kollaboration aufbauen, sie müssen sehr gut kommunizieren können und offen für alle aufkommenden Aufgaben sein“, heißt es in seinen Security-Empfehlungen für 2019.

Das aber dürfte für viele nicht ganz einfach zu bewerkstelligen sein, denn oft werden CISOs als introvertierte Pedanten gebrandmarkt oder stehen im Ruf eines permanenten Schwarzsehers. Gerade gegen dieses Stigma müssen sie aus einem ureigenen Interesse heraus vehement ankämpfen. „Wenn der Chef-Stratege des Unternehmens sagt: ‚Da geht’s lang‘, dann müssen IT und Security auf dem Fuße folgen – ich weiß genau, wessen Kopf sofort rollt, wenn einer sagt: ‚Nein, sicherheitsmäßig kann es so nicht funktionieren‘“, lautet Beyers Warnung an die Sicherheitsverantwortlichen.

 

IT-Sicherheit als Impulsgeber der Digitalisierung

Für ihn ist deshalb IT-Sicherheit erst dann vernünftig, wenn sie pragmatisch durchgeführt wird. „Security darf nicht bremsen und nicht einschränken – im Gegenteil: Sie muss Neues anregen, Routinen aufbrechen, althergebrachtes über Bord werfen und Entwicklungen begleiten“, fordert er von den Experten.

Das kann er dann auch präzisieren: „Beispielsweise einfach mal einem Cloud-Anbieter vertrauen, dass er alles das tatsächlich tut, was er sagt, denn irgendjemandem muss man immer vertrauen – egal ob in der physischen oder virtuellen Welt.“

Sein Fazit: „Es bringt uns überhaupt nicht weiter, wenn wir alles immer nur unter dem Blickwinkel der Sicherheitsrisiken betrachten. – Doch es bringt uns auch nicht weiter, wenn wir die Sicherheitsrisiken außenvorlassen. Augenmaß ist erforderlich!“