Digitalisierung, Datenschutz, Sicherheit & Mitarbeiter

Security by Design - Schutz von der ersten Sekunde an

23.11.2017 von Maximilian Hille
Security by Design ist eine Möglichkeit, wie Unternehmen zügig und mit klaren Vorgaben die IT-Sicherheit in die bestehenden und neuen IT-Assets bringen können. Dabei geht es vor allem um einen kulturellen Wandel.
  • Mit den immer intensiveren Digitalisierungsbestrebungen der Unternehmen werden täglich neue digitale Produkte und Services entwickelt. Sie sollen den Unternehmen das Wachstum der nächsten Jahre und die Wettbewerbsfähigkeit sichern.
  • IT-Sicherheit und Datenschutz sind insbesondere in Deutschland hochsensible Themen, die im Rahmen des Innovationsdrucks und immer kürzerer Going-Live-Zeiten bisweilen in den Hintergrund gerückt werden.
  • Für die Einhaltung regulatorischer Anforderungen, aber vor allem auch der Langfristigkeit der neuen Produkte und Innovationen, muss IT-Sicherheit noch stärker ein Teil der neuen digitalen Produkte und Services werden.

Die Diskussion um die Chancen und Notwendigkeiten der Digitalisierung ist müßig geworden. Denn Unternehmen haben mittlerweile flächendeckend erkannt, dass sich nahezu niemand der Verantwortung entziehen kann, ohne dabei die sintflutartige Überschwemmung des digitalen Lebens- und Arbeitsstils nicht mit in die Strategie mit einzubeziehen. Aus diesem Grund wandelt sich die Diskussion nun mehr und mehr in die Ausgestaltung der Aktivitäten. Die Unternehmen versuchen mit viel Handlungseifer die teilweise versäumten Initiativen noch nachzuholen und teilweise im Intensivprogramm neue Technologien, Anwendungen und Apps für Mitarbeiter, Partner und Kunden ins Leben zu rufen.

Für die Autoindustrie gehört Security by Design schon länger zum Standard in der Produktentwicklung. Aber sehen das Hersteller in anderen Branchen genauso?
Foto: ronstik - shutterstock.com

Zweifelsohne können alle notwendigen Initiativen sowie echte, anspruchsvolle Prozesstransformationen und neue Geschäftsmodelle nicht über Nacht entwickelt, umgesetzt und erfolgreich etabliert werden. Aber dennoch haben sich viele Unternehmen mittlerweile etwas von der erdrückenden Last des wachsenden Digitalisierungsdrucks freigeschaufelt. Doch leider wartet die nächste Hürde bereits einen Schritt weiter. Wie gelingt es den Unternehmen, auch die IT-Sicherheitskomponente mit der notwendigen Sorgfalt in die schnelllebige und innovationsgetriebene Zeit zu integrieren?

Produktinnovationen auf Kosten der IT-Sicherheit?

Gerade in Deutschland sind die Themen IT-Sicherheit, Compliance und Datenschutz von höchster Bedeutung. Viele der Studien und Eindrücke aus der Entscheider-Community haben bereits gezeigt, dass in allen Technologiefeldern den Themen IT-Sicherheit und Datenschutz stets die höchste Bedeutung im Rahmen der Ausarbeitung beigemessen wird. Ganz besonders in der Diskussion um Cloud Computing, insbesondere Public Clouds, wurde von vielen Entscheidern lange Zeit und teilweise zu Recht die Datenschutz- und Security-Karte gespielt, wenn es darum ging, sich dem Unausweichlichen noch einmal entgegenzustellen.

In den Unternehmen ist IT-Sicherheit aber auch dann immer so eine Sache, wenn Produkt- und Geschäftsverantwortliche in kurzer Zeit ein neues digitales Asset präsentieren müssen. Bewusst oder unbewusst werden wesentliche Komponenten, sorgfältige Penetrationstests oder die Einbindung der IT-Sicherheit schlichtweg vergessen oder zur Seite geschoben.

Crisp Research AG
Foto: Crisp Research AG, 2017

Auch im Rahmen einer kürzlich durchgeführten empirischen Untersuchung, die Crisp Research in Kooperation mit der TÜViT veröffentlicht hat, wurde diese Hypothese überwiegend bestätigt. Denn gerade jetzt, wo die Gestaltungsmerkmale Produktperformance und User Experience ganz oben auf der Anforderungsliste stehen, hat die IT-Sicherheit oftmals das Nachsehen. So werden die Maßnahmen zur IT-Sicherheit und des Datenschutzes in den Hintergrund gerückt, wenn sie potenziell zu einem Konflikt führen und innerhalb der Prozesslogik oder User Experience zu Einbußen führen würden.

Über zwei Drittel der Entscheider gaben in der Untersuchung an, dass dies häufig oder gar immer der Fall ist, wenn ein solcher Konflikt droht. Dass es dabei meistens gar nicht zwingend an der IT-Sicherheit liegen muss, ist den meisten Entscheidern vielleicht auch gar nicht bewusst. Zumindest ist es fraglich, ob entsprechende IT-Sicherheitsmaßnahmen nachgeholt oder wieder aktiviert werden, wenn die Performance und User Experience erst einmal steht.

Kein digitales Produkt oder Service ohne IT-Sicherheit

Wollen die Unternehmen einen echten “Business Accelerator”, sprich ein langfristig erfolgreiches und leistungsstarkes digitales Produkt in den Markt bringen, ist die IT-Sicherheitskomponente jedoch unerlässlich. Die inkrementellen Innovationen und Produkte funktionieren meist in einem etablierten, sicheren Rahmen und sichern den Unternehmen schon heute wichtige Umsätze.

Zum Video: Security by Design - Schutz von der ersten Sekunde an

Für die innovativen Wachstumstreiber stellt sich aber immer häufiger die Frage, ob sie ein Strohfeuer werden sollen, oder wirklich das Geschäftsmodell nachhaltig beeinflussen und verbessern werden. Ohne IT-Security gehen die Unternehmen ein großes Risiko ein und haben auch eigentlich gar kein performantes Produkt geschaffen. Denn dazu gehört in jedem Fall die IT-Sicherheits- und Datenschutzkomponente.

Nicht nur um regulatorischen Anforderungen gerecht zu werden, sondern auch den Adressaten einen langfristigen Mehrwert zu bieten, müssen die Produkte und Services sowohl ausfallsicher als auch vor Angriffen und Datenverlusten geschützt sein. Jeder potenzielle Eingriff in die Produkte und Assets von außen stellt dies massiv in Frage.

Crisp Research AG
Foto: Crisp Research AG, 2017

Um dies zu etablieren, sind erst einmal vielfältige Maßnahmen notwendig, welche die Unternehmen auch in weiten Teilen angenommen haben. So muss vor allem die gesamte Mitarbeiterlandschaft sensibilisiert und ausgebildet sein, die neuesten IT-Sicherheitsstandards zu kennen und auch umsetzen zu können. Das gilt entsprechend für das IT-Personal als ausführendes Organ (50 Prozent der Unternehmen sind hier aktiv), aber zunehmend auch für alle Mitarbeiter (35 Prozent), die immer mehr Berührungspunkte mit und Einflussmöglichkeiten auf die neuen digitalen Services besitzen. Darüber hinaus müssen natürlich auch die am besten geeignetsten und neuesten IT-Sicherheits-Tools eingesetzt werden (42 Prozent).

Machen Sie Ihr Security Awareness Training besser
Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites.
Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden.
Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt.
Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern.
Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen.
Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen.
Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil.
Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden.
Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.

Damit kommen schon mal zwei wesentliche und vielleicht sogar die wesentlichsten Komponenten für eine erfolgreiche IT-Sicherheitskultur im Unternehmen zusammen. Die IT- und Security-Ausstattung ist immer das eine. Jedoch gilt der Faktor Mensch zu Recht als die maßgeblich beeinflussende Instanz, die über Erfolg oder Misserfolg der IT-Sicherheit entscheidet. Fehler gehören zum Alltag dazu. Diese jedoch organisatorisch, technologisch und durch eine gesteigerte Sensitivität zu den Themen IT-Sicherheit und Datenschutz zu minimieren, sollte das Ziel aller Unternehmen sein, nicht nur vor dem Hintergrund der drohenden Strafen, sondern auch im Sinne einer verantwortungsbewussten Geschäfts- und Innovationsstrategie.

Crisp Research AG
Foto: Crisp Research AG, 2017

Security by Design - Referenzmodell für digitale Wertschöpfung

Ein Modell, welches dabei helfen kann, gezielt und zügig einen organisatorischen Wandel einzuleiten und IT-Sicherheit nicht mehr in den Hintergrund der Produktentwicklung rückt, ist Security by Design.

Security by Design besagt im Wesentlichen, dass IT-Sicherheitsmaßnahmen und -technologien schon unmittelbar bei der Produktentwicklung mit einbezogen werden. Somit werden die Produkte nicht schon hinsichtlich der Prozesslogik entwickelt und erste Prototypen oder MVPs erstellt, die erst im Nachgang einen IT-Sicherheitscheck erhalten und mit Maßnahmen angefüttert werden. Mit diesem Prozessverfahren werden von Beginn an und in jedem Projektschritt gleichwertig die IT-Sicherheitskomponenten mit einbezogen und so frühzeitig ein Teil des fertigen Produktes. So gibt es keine Kompromisse, sondern eine Co-Existenz zwischen Performance, User Experience und Security.

Dazu müssen noch mehr Instanzen beziehungsweise Verantwortungsbereiche gleichzeitig zur Produktentwicklung herangezogen werden. Dies sorgt aber auch im Optimalfall dafür, dass die IT-Sicherheitskultur im Unternehmen weiter reift und die Präsenz des Themas wieder stärker in den Vordergrund rückt.

In jeder Projektphase kommen so die jeweiligen Produktverantwortlichen und wenn nötig auch strategischen Entscheider hinzu, die gemeinsam mit den CISOs und deren Mitarbeitern an einer gemeinsamen Lösung arbeiten. Dies setzt sich dann auch in der Implementierungs-, Produktiv- und Optimierungsphase durch, wo nicht nur am Produkt, sondern folgerichtig auch an der IT-Sicherheit gearbeitet wird.

Security by Design (ebenso analog verwendet auch Privacy by Design) kann somit als maßgebende Leitlinie dafür sorgen, dass die Unternehmen schneller und ohne die Notwendigkeit der Kompromisse wertvolle und vor allem langfristig tragbare Innovationen erbringen können.

Aber auch für die Kernprobleme des derzeitigen Sicherheits- und Datenschutz-Diskurs können sie einen Ausweg bieten. Denn viele Unternehmen haben sich beispielsweise auch noch nicht mit den umfangreichen Maßnahmen zur EU-Datenschutzgrundverordnung befasst. Die Mehrheit sieht ein klares Problem in der Umsetzbarkeit, insbesondere aufgrund des sehr überschaubaren Zeithorizonts.