SOA und Digitalisierung

Bausteine der digitalen Transformation

24.09.2014
Von 
Christoph Witte arbeitet als Publizist, Sprecher und Berater. 2009 gründete er mit Wittcomm eine Agentur für IT /Publishing/Kommunikation. Dort bündelt er seine Aktivitäten als Autor, Blogger, Sprecher, PR- und Kommunikationsberater. Witte hat zwei Bücher zu strategischen IT-Themen veröffentlicht und schreibt regelmäßig Beiträge für die IT- und Wirtschaftspresse. Davor arbeitete er als Chefredakteur und Herausgeber für die Computerwoche. Außerdem ist Witte Mitbegründer des CIO Magazins, als dessen Herausgeber er bis 2006 ebenfalls fungierte.

Sicherheit braucht das richtige Maß

Um einen Umbruch und zwar in unserem Sicherheitsdenken ging es auch im Vortrag von Karsten Nohl, Gründer und Chief Scientist des Security Research Labs. Seine Frage lautet: Wie viel Sicherheit ist zu viel? Welche Sicherheitsmaßnahmen schränken die Mitarbeiter so stark ein, dass sie ihre Arbeit und ihre Innovationsfreude behindern.

SOA Days 2014
SOA Days 2014
Foto: Euroforum

"Beide Enden der Sicherheitsskala sind negativ", provozierte Nohl. Wenn alles für die Sicherheit getan werde, behindere sie die Arbeit der Menschen, verhindere womöglich auch Innovationen, die jede Firma zum Überleben braucht. Werde zu wenig für die Sicherheit unternommen, leiden die Unternehmen unter erfolgreichen Hackerangriffen, verlieren Kundendaten und Innovationen. "Das richtige Maß liegt in der Mitte."

Außerdem plädierte Nohl dafür, restriktive Maßnahmen, die ohnehin meistens von Mitarbeitern unterlaufen werden, gegen intelligentere, Monitoring-orientierte Maßnahmen zu ersetzen. Solche Maßnahmen geben den Mitarbeitern zunächst einen Vertrauensvorschuss. Erst, wenn diesen Systemen etwa die Menge und Art von Internet-Traffic ungewöhnlich erscheine, Transaktionen unüblich oder Datenbankbefehle neu sind, würden sie einem Analysten-Team zugeleitet, der über ihre Legitimität entscheidet.

Solche Sicherheitssysteme seien zwar in der Regel etwas teurer, könnten aber mit Unwägbarkeiten besser umgehen. "Effiziente Sicherheitsmaßnahmen sind solche, die von Mitarbeitern als sinnvoll akzeptiert und nicht unterlaufen werden", sagte Nohl. Restriktive Maßnahmen wie das Sperren bestimmter Websites, Ports etc. sähen zwar auf dem Papier effektiv aus und wären darüber hinaus auch noch preiswert, verlieren aber an Effizienz, weil die Mitarbeiter sie nicht akzeptieren würden.

"Unterlaufene Sicherheitsmaßnahmen haben viele der großen Hacker-Attacken erst erfolgreich gemacht", beobachtete Nohl. Beim US-Retailer Target war beispielsweise ein nicht ausreichend abgesicherter Server der Klimaanlage das Einfallstor, über das Cyber-Kriminelle im vergangenen Jahr rund 300 Millionen Kundendaten inklusive Kreditkartendaten entwenden konnten. Der Wartungsfirma war es zu kompliziert, sich über das sichere VPN mit ihrem Server zu verbinden. Stattdessen nutzte sie eine unverschlüsselte Internet-Verbindung, über die Hacker schließlich das Target-System angreifen konnten. Nach dem erfolgreichen Hackerangriff mussten zunächst der Sicherheitschef, dann der CIO und schließlich auch der CEO gehen.

Auch der bisher größte Hack aller Zeiten - das Einsammeln von 1,2 Milliarden Kundendaten auf hunderten von Websites - ist auf unterlaufene Sicherheitsmaßnahmen zurückzuführen. Die vermutlich russische Gruppe wendete immer die gleiche Technik an: SQL-Injection. Damit diese eingeschleusten Datenbankbefehle ihr Ziel finden, müssen Programmierer von Internet-Applikationen vorher wichtige Sicherheitsmaßnahmen ignorieren und Web-Applikation unter Umgehung der Firewalls direkt mit den dahinter liegenden Datenbank sprechen lassen. Wenn das der Fall ist, gibt es gegen solche verschlüsselten Befehle, die über die Applikation kommen, keine Verteidigung.

Weiteres Beispiel: Auch Ebay "verlor" im Februar dieses Jahres 150 Millionen Passwörter, weil sich einige Entwickler nicht mit den hohen Sicherheitsanforderungen anfreunden konnten. Sie haben diese Passwörter aus Performance-Gründen irgendwo zusätzlich schwach abgesichert zwischengespeichert.

Gelegenheiten erkennen und Paranoia vermeiden

Neben dem Unterlaufen solcher Maßnahmen warnt Nohl außerdem vor den negativen Auswirkungen von zu viel (restriktiver) Sicherheit über den Security-Bereich hinaus, wie Unattraktivität des Arbeitsplatzes, Verlust von Motivation, Verlust von Innovationsfreude und -fähigkeit.

Große, internationale Unternehmen bräuchten Jahr für Jahr neue Ideen, mit denen sie viel Geld verdienen können, um ihr Umsatzvolumen zu halten. Konzerne wie P&G machen weit über die Hälfte ihres Umsatzes mit Produkten, die jünger sind als drei Jahre. Nohl nennt den Schweizer TK-Anbieter Swisscom, der rund 10 Milliarden Franken Umsatz generiert. "Diese Summe war vor zehn Jahren ungefähr gleich. Nur macht der Konzern heute 9 Milliarden Euro mit anderen Produkten und Services als vor einer Dekade. Das heißt, das Unternehmen braucht nicht nur eine Idee pro Jahr mit einem Umsatzpotenzial von einer Milliarde. Es muss diese Idee auch realisieren", schildert der Experte die Herausforderung. Hätte das Unternehmen durch übermäßige Sicherheitsmaßnahmen auch nur dieser Neuerung ausgebremst, wäre der wirtschaftliche Schaden durch die entgangenen Einnahmen größer als durch erfolgreichen Hackerangriff.

Das heißt für Nohl nicht, dass Innovation nur funktioniert, wenn nicht auf Sicherheit geachtet wird. Es geht ihm um das richtige Maß : "Sich freudig mit neuer Technik auseinandersetzen und gleichzeitig das Gefühl zu haben, beschützt zu werden ohne eingeschränkt zu werden, das ist die goldene Mitte", warb er für einen sinnvollen Kompromiss.

Das SOA-Lab hilft bei der Transformation

Karsten Schweichhart, Vorstand des SOA Innovation Lab, hielt in seinem Fazit der Veranstaltung fest, dass jedes Unternehmen von den Veränderungen der Digitalisierung betroffen ist. Diese seien unaufhaltsam, unumkehrbar und komme vor allem schnell. Das SOA Innovation Lab helfe Unternehmen dabei, sich auf diese Veränderungen vorzubereiten und sich für die künftig immer stärker digital ausgeprägten Wertschöpfungsschritte fit zu machen, die zu verschiedenen und oft "volatilen Wertschöpfungsnetzen" zusammengesetzt werden. Damit sieht Schweichhart ein durchaus ähnliches Gestaltungsprinzip der digitalen Wirtschaft voraus wie Helbig, der zu Beginn der SOA-Days von "Anlass bezogenen Ökosystemen" sprach.

Das SOA-Lab unterstützt Unternehmen auf diesem Weg mit Trainingskonzeptionen, Ratgebern wie Cloud- oder EAM-Guides und arbeitet zurzeit am Konzept eines "digitalen Navigators", mit dem Unternehmen prüfen können, welche digitalen Fähigkeiten sie in welchem Maß benötigen, um ihren Anforderungen an digitalisierte Geschäftsmodelle- und -prozesse gerecht werden zu können. Schweichhart betonte nochmals, dass serviceorientierte Architekturen und Enterprise Architecture Managament die Grundlage bilden für die Digitalisierung, für Industrie 4.0 oder für das Internet of Services.

Über alle Branchen und Einsatzszenarien hinweg erachtet Schweichart IT-Sicherheit und Identity-Management, Connectivity im technischen und semantischen Sinn sowie die Beherrschung der immensen Datenmengen und -arten als wesentliche Stützpfeiler für die Digitalisierung. Deshalb lautete Schweichharts zentrale Botschaft der SOA-Days 2014: "Die digitale Business Transformation, ob Internet der Dinge oder Internet der Services, erreicht alle. Es ist höchste Zeit, sich darauf vorzubereiten." (jha)