Facebook iconTwitter icon
B2B-Network:
“Cyberattacken bieten auch eine Chance.”
“Cyberattacken bieten auch eine Chance.”
Time icon 1 July 2019, 11:07 am

Deutsche Unternehmen und Entscheider zögern noch immer, wenn es um die digitale Transformation ihrer Betriebe geht. Insbesondere im internationalen Vergleich hinkt Deutschland hinterher. Neuerungen werden erst umgesetzt, wenn ein (internationaler) Proof of Concept erbracht wurde. Woher kommt dieses Zögern? 

 

Neff: Diese Meinung teile ich aus der Praxis nicht ganz. Oft wird nach außen nicht offensichtlich, in welchen Stufen sich die digitale Transformation bewegt. Der große Wurf ist zwar das noch unerreichte Ziel, aber viele Teilbereiche – selbst die der öffentlichen Hand – bewegen sich in diese Richtung. Ja, wir sind in Deutschland vielleicht etwas konservativer aufgrund Regularien, Governance und weiterer gesetzlicher Vorgaben. Aber: In allen Bereichen – und hier an vorderster Front Security – fängt Digitalisierung bereits viel früher an. Der Ansatz ist hier, Innovation voranzutreiben, Bestehendes zu erhalten und das mit geringem Risiko. 

 

Sind deutsche Unternehmen überdurchschnittlich aufmerksam gegenüber Security-Gefahren? Laut Deloitte Cyber Security Report 2018 waren bereits 93 % aller Unternehmen davon beeinträchtigt. Das widerspricht dieser Annahme erst einmal.

 

Neff: Cyberattacken bieten auch eine Chance, das System zu härten und müssen nicht immer nur für Schaden sorgen. So etwa bei Honey Pot-Strategien. Prävention ist ein wichtiger Aspekt für Sicherheit, Risikomanagement und Governance. Ich glaube, dass die deutschen Unternehmen im internationalen Vergleich hier mithalten können. Dennoch finden tagtäglich Attacken statt, denn inzwischen kann jeder entsprechende Tools aus dem Internet laden und einsetzen. Diese 93 % bedeuten lediglich, dass Gefährdungen 24/7 latent vorhanden sind und beachtet werden müssen. Welchen Schaden sie anrichten, das steht auf einem anderen Blatt.

Alexander Neff, Micro Focus

Alexander Neff, Micro Focus

 

Haas: Ich glaube, dass Cyberattacken immer stattfinden werden – und das immer häufiger. Es geht vielmehr darum, wie man damit umgeht: Vor allem wie schnell man Attacken entdeckt und welche Maßnahmen man hat, um gegen sie vorzugehen. Und da sind die Deutschen schon recht gut aufgestellt: Sie informieren sich und rüsten sich aus, weil sie wissen, dass man Cyberattacken nicht vermeiden kann. Hier gibt es Lösungen, die immer schneller, besser und sogar proaktiv gegen Cyberattacken vorgehen. Dabei kann Micro Focus unterstützen.

 

Was wären in Ihren Augen die Top 3 Maßnahmen, um sicherzustellen, dass Vorfälle möglichst schnell bemerkt und aufgehalten werden können?

 

Neff: Das ist zum einen der Bereich Analytics, um zu erkennen, wenn Attacken stattfinden. Dabei werden zweitens systemische Präventionen in Bezug auf die Nutzer angelegt. Diese müssen drittens mit einer Security Policy gepaart werden, die Compliance Regelungen entsprechen. Solche Präventionsmaßnahmen haben nahezu alle großen Unternehmen bereits umgesetzt.

 

Hendrik Haas, Micro Focus

Hendrik Haas, Micro Focus

 

Haas: Genau. Und unter anderem gibt es den Bereich „User Behaviour Analytics“. Hier können über Machine Learning kritische Vorfälle und kritische Konstellationen – u.a. eben auch Cyberangriffe – identifiziert werden. Solche Lösungen erkennen zum Beispiel, wenn ein Mitarbeiter statt seiner üblichen zwei Dokumente pro Stunde plötzlich über 500 herunterlädt – dies ein sehr einfaches Beispiel – es verdeutlicht auf einfache Art, dass Attacken oft erst in einer komplexen Kombination von Vorfällen bemerkbar sind. User Behaviour Analytics ist eine wichtige Initiative, um in der Lage zu sein, auf sehr fortgeschrittene Arten von Cyberattacken zu reagieren. Und das in drei Bereichen: Wie kann ich sicher meine Identitäten verwalten? Wie kann ich sicher meine Applikationen verwalten? Und wie kann ich sicher meine Daten verwalten?

 

Stichwort: Lösungen. Wie kann ein Unternehmen, das in einzelnen Bereichen gut aufgestellt ist, sicherstellen, dass es von der Flickschusterei zur belastbaren Strategie kommt? Wie kann bereits heute eine solche Strategie für eine digitale Zukunft entwickelt werden?

 

Haas: Eine Sicherheitsstrategie für die digitale Transformation sollte man vor allem aus verschiedenen Blickwinkeln heraus entwickeln. Immer im Fokus: Identitäten, Applikationen, Daten.

 

Dazu lassen sich fünf Schritte herleiten: Zunächst sollte man eine Breach-Defense-Strategie haben, also ein ganzheitliches Security Framework, um überhaupt Attacken zu identifizieren, sich dagegen zu schützen und um sie beantworten zu können. Das Nächste wäre das Herstellen von Applikationssicherheit. Bisher konzentrierte man sich auf Firewalls. Die Security von geschäftskritischen Applikationen, die sich ständig weiterentwickeln, blieb auf Kosten schneller Weiterentwicklung von wichtigen Features oft dabei auf der Strecke. Der dritte Bereich ist das Thema Privacy, also Sicherheit von sensitiven Daten. Welche sind das und wie schütze ich sie? Je nach Sensitivität sind skalierende Maßnahmen notwendig. Dann das Thema Compliance: Wie kann ich sicherstellen, dass ich mit allen Richtlinien konform bin? Und schließlich das Thema Governance. Richtlinien implementieren, welche das Vorgehen beim Schutz von Daten, Applikationen und Identitäten steuern.

 

Auf diese fünf Bereiche sollte man bei der Entwicklung der eigenen Sicherheitsstrategie achten.

 

Neben der allgemeinen Herausforderung, mit technischen Fortschritten mithalten zu müssen, kristallisieren sich weitere individuelle Hürden heraus. Welche besonderen Gegebenheiten, Probleme und Hindernisse sehen Sie für die IT Infrastruktur international – und speziell in Deutschland? 

 

Neff: Eine wichtige Frage ist: Wo liegen die Daten in welchen Rechenzentren? Das ist eine Gegebenheit, die ich aktuell noch als Hindernis sehe. Denn dabei muss sicher gewährleistet werden, dass alle Daten sich am gewünschten Ort befinden. 

 

Aus diesem Grund entscheiden sich viele für ein eigenes Hosting. Nichtsdestotrotz gibt es in fast jedem Unternehmen schon Cloud-Applikationen – egal, ob Reisekostenabrechnung oder Ähnliches. So setzen sich hybride Umgebungen langsam durch. Selbstverständlich hängt das zu einem gewissen Maß auch von Europäischen Gesetzen, Arbeitnehmervertretern und den outgesourcten Systemen ab. Das sind grundsätzliche Fragen, die zuerst entschieden werden müssen. Erst danach können sicherheitsrelevante Fragen angegangen werden.

 

Viele Unternehmen sind bereits jetzt voll ausgelastet, ihre bestehenden Prozesse und Infrastrukturen ausreichend abzusichern. Wie schaffen sie sich Kapazitäten, um die Digitalisierung im Betrieb auszuweiten?

 

Neff: Bei vielen mittelständischen Unternehmen steht hier der Service-Aspekt im Vordergrund. Wie kann man ein internes Problem nach extern verlagern und lösen? Federführend ist z.B. die Luftfahrtindustrie: Wenn Sie sehen, wie schnell man heute Flüge suchen, buchen und nachverfolgen kann, wird deutlich, wie stark der Servicegedanke in die mobile Welt gewandert ist. Ich glaube, Mobilität ist aktuell größte digitale Aspekt, in dem sich der Mittelstand wiederfindet: Prozesse beschleunigen und die Schnittstellen zum Kunden digitalisieren. Hier gibt es genügend Ansatzpunkte, interne Systeme zu retten. Viele werden in der Folge ihre Core-Technologie sicher nicht mehr Inhouse betreiben, sondern auf hybride Welten setzen, um Kapazitäten und Performance bereitzustellen – immer gepaart mit dem Aspekt Sicherheit.

 

Was ist Ihr Top-Tipp zum Absichern der Unternehmensprozesse?

 

Haas: Wenn man sagt: „Ich habe zu wenig Kapazität“, dann ist Automatisieren immer eine sinnvolle Maßnahme. Damit werden in der Folge neue Kapazitäten frei für Innovationen bzw. man kann mit bestehenden Kapazitäten mehr Innovation vorantreiben.

 

Neff: Der Schlüsselaspekt ist: Viele Unternehmen beschäftigen sich noch zu sehr mit Administration. Die dadurch erreichte zeitliche Ersparnis gibt Freiraum für Innovation. Wie kann ich Administration entschärfen, nach extern geben oder mir Beratung holen? Das sollte die wichtigste Frage sein. Denn so verschafft man sich nicht nur Zeit, sondern auch Geld. 

 

Haas: Das Ziel sollte es dabei sein, diesen Freiraum geschickt durch den Erhalt und das Nutzen von Bestehendem zu erreichen. Statt alles rauszuwerfen und neu zu implementieren –so auch wichtige Applikationen – sollte man auf geschickte Nutzung bestehender Systeme setzen. Die dadurch eingesparte Zeit kann dann für Innovationen genutzt werden. Zum Beispiel: Viele Applikationen sind in der Programmiersprache Cobol geschrieben. Unternehmen wollen diese aus verschiedenen Gründen nicht verlassen, also muss man es schaffen, dass auch solche auf Cobol entwickelten Applikationen heute auf verschiedensten Plattformen und mobil verfügbar sind. Micro Focus kann dabei unterstützen.

 

Mobile Security ist derzeit überall ein großes Thema. Ist Mobile Security im Gesamtkosmos Sicherheit ein zentraler Bereich – oder doch nur eine Begleiterscheinung?

 

Neff: Ich glaube, es ist ein Schlüsselthema. Gerade wenn sie die aktuellen Äußerungen der Bundesregierung zu einem Recht auf Homeoffice betrachten oder unsere Kinder, die ganz selbstverständlich das Smartphone als „PC“/Hauptgerät nutzen. Dafür ist das Thema Identitäten ein absolutes Muss. Und ich glaube, diese Voraussetzungen sind keine Begleiterscheinungen, sondern wichtige Kernthemen für die Digitalisierung der Zukunft. 

 

Die Zeiten, in denen alle IT Prozesse problemlos überschaut werden konnten, sind auch durch Compliance und Governance-Aufträge vorbei. Wie gewährleistet die IT heute jederzeit eine nahtlose Überwachung und volle Aufmerksamkeit auf potenziellen Gefährdungen? 

 

Neff: Es gibt zwar abgesicherte Kernbereiche, aber jedes Unternehmen bietet in irgendeinem Bereich noch Einfallstore. Also denke ich, dass der Gesamtüberblick schon viel früher beginnt: Mit SecDevOps. Inwiefern werden die Systeme bereits im Vorfeld mit Security-Aspekten behaftet? Dass sich die Unternehmen mit solchen Themen schon frühzeitig beschäftigen, ist der große Unterschied in der Digitalisierung. Denn viele Einfallstore ergeben sich erst, wenn man diese Möglichkeiten nicht berücksichtigt, z.B. Sicherheitslücken bei mobile Apps. 

 

SecDevOps wird also zur IT-Basisinfrastruktur auf dessen Grundlage alles Weitere geplant wird. Was gilt es bei dessen Einführung zu beachten?

 

Neff: Für mich ist die gesamtheitliche Security-Betrachtung ein absolutes Muss. Es gibt zwar noch viele andere Varianten, aber Ganzheitlichkeit ist das Schlüsselwort. Natürlich spielen viele einzelne Maßnahmen mit hinein, aber es benötigt ein umfassendes Storybook, das abgearbeitet wird. 

 

Ohne die Cloud geht in vielen Unternehmen nichts mehr. Vielerorts wird es sogar hybrid. Haben Sie dafür einen letzten Tipp für Unternehmen?

 

Neff: Das Managen hybrider Umgebungen in der Cloud inklusive aller Sicherheitsaspekte ist eine der größten Herausforderungen in der deutschen Industrie. Je schneller Unternehmen sich auf das Management in diesen hybriden Umgebungen vorbereiten, desto schneller erfolgt die Umsetzung. Vom klassischen Monitoring über Deployment bis zur Verwaltbarkeit dieser Cloudanbieter selbst – diese Flexibilität hängt mit der Agilität und Dynamik des Unternehmens zusammen, sich mit diesen Themen zu beschäftigen. Dem Thema kann sich kein deutsches Unternehmen mehr entziehen.

 

Wie unterstützen Sie bei Micro Focus Unternehmen bei einer sicheren digitalen Transformation? 

 

Neff: Wir bei Micro Focus helfen Unternehmen, indem wir Investitionssicherheit gewähren und die digitale Transformation voranbringen. Dabei spannen wir den Bogen von Mainframe über Mobile, On-Premise, Off-Premise, Hybrid etc. in alle Bereiche. Immer gepaart mit Security, um der notwendigen Agilität gerecht zu werden. Unsere Erfahrungen der letzten 42 Jahre werden uns dabei sicherlich helfen. 

 

Vielen herzlichen Dank für das erkenntnisreiche Interview!

Loader