Nachhaltigkeit trifft IT-Security – eine erfolgsversprechende Verbindung
Autor/Redakteur: Daniel Graßer, Senior Director of Security Services bei PlusServer GmbH/gg
Werden bestimmte Begrifflichkeiten häufig genutzt, erweitert sich ihre Definition oft immer weiter. Ein Paradebeispiel hierfür ist “Nachhaltigkeit”. Angesichts eines wachsenden Umweltbewusstseins ist es inzwischen Standard, sich als “nachhaltig” zu positionieren – erst recht für Firmen. Die genaue Interpretation dieses Ausdrucks kann allerdings variieren. Grundsätzlich geht es bei Nachhaltigkeit darum, sorgsam mit Ressourcen umzugehen – die nicht notwendigerweise aus der Natur stammen müssen. Dies ist speziell im Bereich der IT und insbesondere bei der IT-Sicherheit absolut empfehlenswert. Aus einem einfachen Grund: Gemäß dem Allianz Risk Barometer stellen Cyber-Ereignisse auch 2023 das größte Risiko für Unternehmen dar. Gefahren wie IT-Störungen, Ransomware-Attacken oder Datenschutzverstöße verursachen der globalen Wirtschaft Kosten von über einer Billion US-Dollar jährlich. Das entspricht etwa einem Prozent des weltweiten Bruttoinlandsprodukts.
Die Situation in Deutschland spiegelt eine ähnliche Anspannung wider, wie die Untersuchung “Cybersicherheit in Zahlen” von G Data CyberDefense, Statista und dem Wirtschaftsjournal brand eins verdeutlicht: Daten von 53 Prozent der deutschen KMUs finden sich im Darknet. Täglich werden in Deutschland 394.000 neue Varianten von schädlicher Software bekannt. Der durch Ransomware verursachte Schaden beläuft sich mittlerweile auf 24,3 Milliarden Euro pro Jahr für deutsche Unternehmen.
Ressourcen schonen – erst recht in der IT
Unternehmen können einer solchen Risikosituation nur mit einer spezifischen Strategie entgegenwirken. Da sich für Cyberkriminelle immer mehr Angriffspunkte ergeben, müssen Unternehmen Security umfassend und vor allem verbindlich planen: IT-Sicherheit schützt die Unternehmensprozesse.
Daher ist es von zentraler Bedeutung, IT-Sicherheit nachhaltig zu denken und entsprechend in den Betrieb zu implementieren. Leider wird der Sicherheitsaspekt von Unternehmen oft als reine Kostenstelle und somit als notwendiges Übel betrachtet. Eine nachhaltige und risikoorientierte Sicherheitsstrategie kann maßgeblich zum Geschäftserfolg beitragen. Ein paar Beispiele: Verminderung der finanziellen Risiken, die durch Cyberkriminalität verursacht werden, Vorantreiben der Digitalisierung im Unternehmen oder Wettbewerbsvorteil durch eine belegbare Sicherheitsstrategie.
Zielgerichteter Schutz für die die wichtigsten Prozesse
In der Praxis bedeutet dies: IT-Sicherheit und Unternehmensstrategie sollten eng miteinander verwoben sein – mit einer klaren Vorstellung, welche Ziele kurz-, mittel- und langfristig erreicht werden sollen und welche Risiken damit verbunden sind. Denn nur wer genau weiß, was wirklich schutzwürdig ist, kann eine geeignete Risikomanagement-Struktur aufstellen. Natürlich ist absolute Sicherheit niemals garantiert. Doch gerade deswegen ist es ratsam, schrittweise vorzugehen und verschiedene “Sicherheitsebenen” einzurichten. Besonders schutzbedürftige Daten und Prozesse, wie beispielsweise die geschäftskritischen, werden in einem “Inner Circle” gesondert abgesichert.
Zusätzlich bedeutet es aber auch, dass es sich bei diesen risikobasierten Schutzmaßnahmen nicht um ein unflexibles Gebilde handelt. Vielmehr werden Sicherheitsmaßnahmen und -prozesse stetig sowohl auf Basis der aktuellen Bedrohungssituation als auch an den Unternehmenszielen ausgerichtet. Wenn sich der Digitalisierungsstatus ändert, eine Cloud-Transformation stattfindet oder neue Arbeitsplatzmodelle eingeführt werden, werden auch die Sicherheitsmaßnahmen entsprechend angepasst.
Mit weniger mehr Sicherheit erreichen
Nachhaltigkeit bedeutet vorrangig ressourcenschonend zu agieren und gerade deswegen ist die Tendenz zur zunehmenden Komplexität in der IT kontraproduktiv – und das nicht nur in Bezug auf IT-Sicherheit. Altlastsysteme, Multi-Cloud-Strategien, Container-Lösungen, Schatten-IT sowie Homeoffice und völlig neue Formen der Kooperation erschweren die IT-Steuerung und das Gewährleisten der erforderlichen Sicherheit. Darüber hinaus gehören IT- und insbesondere Sicherheitsspezialist:innen zu den Berufsgruppen, die beim großen Thema “Fachkräftemangel” einen großen Anteil haben.
Gleichzeitig steigt die Geschwindigkeit, mit der sich Unternehmen an Veränderungen anpassen müssen – und damit müssen immer neue regulatorische Anforderungen erfüllt werden. Das Hauptziel sollte daher sein: Die Komplexität verringern und Lösungen wo immer möglich vereinheitlichen. Unternehmen können an Geschwindigkeit gewinnen, indem sie die Kompetenzen in ihrem eigenen Betrieb gezielt einsetzen. Andere Bereiche, in denen die Fachkenntnisse fehlen, können hingegen effizient als Service ausgelagert und dadurch deutlich schneller implementiert werden. Der passende Sicherheitsanbieter ist entscheidend, was angesichts des breiten und komplexen Marktplatzes nicht immer einfach ist. Kriterien für einen vertrauenswürdigen Partner können beispielsweise Zertifikate sein, vor allem bei der Nutzung von Cloud-Diensten sind auch Datenhoheit, -schutz und -sicherheit relevant.
Personal als zentraler Kern der Sicherheit
Es ist jedoch fast noch bedeutsamer, IT-Sicherheit als „Business Enabler“ und Innovationsmotor zu sehen, ohne den neue digitale Geschäftsbereiche nicht entwickelt werden könnten. Deshalb spielt ein Informationssicherheitsmanagementsystem (ISMS) eine erhebliche Rolle, da auf diese Weise die IT-Security aus einer ganzheitlichen Perspektive betrachtet wird. Ein weiterer kritischer Erfolgsfaktor ist das Personal. Nur durch aktive Einbeziehung der Belegschaft kann eine nachhaltige IT-Sicherheit gewährleistet werden. Mithilfe einer Awareness-Kampagne agieren die Mitarbeiter:innen faktisch als „Human Firewall“. Wenn das Bewusstsein fehlt, bricht im Unternehmen ein wichtiges Kernelement der IT-Sicherheit weg und das Personal wird zum attraktivsten Ziel für Cyberkriminelle.
Darüber hinaus sollte neben einem ISMS über den Einsatz eines Security Operations Center (SOC) nachgedacht werden, um Erkennungsrate und Reaktionsfähigkeit über die gesamte Unternehmens-IT hinweg zu stärken. Um ein SOC zuverlässig betreiben zu können, lagern viele Unternehmen dieses an externe Dienstleister aus. Das mach die gesamte IT-Security agiler, um auf die schnellen Veränderungen in der Strategie von Cyberkriminellen zu reagieren und entsprechend zu agieren.
Zudem ist es notwendig, Strategien für den Fall eines Schadenseintritts zu entwickeln. Mit einem maßgeschneiderten Vorfallsreaktionsverfahren beziehungsweise einem soliden Notfallkonzept, weiß das Personal sofort, welche Schritte zu unternehmen sind, wohin Meldungen gerichtet werden müssen und welche Maßnahmen zu treffen sind. Ein solcher Plan sollte also unbedingt immer mit bedacht und entwickelt werden und nicht erst, wenn es zu spät ist. Dies fördert gleichzeitig die Einhaltung von Compliance-Richtlinien und anderen Vorschriften.
IT-Security ist der Kern der Unternehmensstrategie
Aufgrund der realen Bedrohung in der zunehmend komplexen IT-Landschaft dient nachhaltige IT-Sicherheit nicht nur als essentieller Schutzschild, sondern auch als wertvolle Ressource und fördert das Wachstum der Firma. Die Vorstellung einer “Entdigitalisierung” unserer Welt ist kaum vorstellbar, was impliziert, dass Sicherheitsrisiken tendenziell wachsen werden. Eine robuste IT-Sicherheitskultur stellt somit einen zentralen Aspekt für eine gute Unternehmensstrategie aller Größen, Branchen und Umsatzklassen dar. Insgesamt ist eine nachhaltige IT-Sicherheit ein strategischer Treiber, der Fortschritt, Risikominderung und langfristigen Unternehmenserfolg verbindet und langfristig sichert.