Wie sicher werden die Anwenderunternehmen aus der Coronakrise hervorgehen? Wie sicher sind sie gerade während der jetzigen Situation überhaupt? Mit diesen Fragen beschäftigte sich eine virtuelle Roundtable-Diskussion, zu der die Redaktion der COMPUTERWOCHE und IDG Research Services im Rahmen ihres Studienprojekts "Cybersecurity 2020" zahlreiche Security-Anbieter, -Berater und -Experten begrüßen konnten.

"Auf einen Schlag ist alles anders", startet Ilijana Vavan, Chief Sales Officer bei VMRay die Debatte um die Auswirkungen der Coronakrise auf die Unternehmen im Kontext IT-Sicherheit. "Gerade die IT-Security ändert sich in 100-Prozent-Mobile-Work-Zeiten - das ist eine sehr große Umstellung, besonders auch für die IT", ergänzt Stefan Gutekunst, Director Practice Networking, Collaboration & Security bei Logicalis. Alex Peters, Manager Systems Engineering bei Broadcom - Symantec Enterprise Division, fügt treffend hinzu: "Die Auswirkungen der Krise werden dauerhaft sein - die Herausforderungen sind aber schon länger bekannt." Er unterstreicht damit, dass die Ausnahmesituation vielen Unternehmen aktuell ganz besonders vor Augen führe, dass die Security-Hausaufgaben nicht gemacht und lange Zeit vernachlässigt worden seien.

Haupt-Challenge Homeoffice

"Ich war erstaunt, dass für viele Unternehmen Heimarbeitsplätze doch etwas Besonderes sind. Viele hatten in den vergangenen Wochen riesige Herausforderungen zu bewältigen, so musste beispielsweise eine Vielzahl an neuen Devices in die jeweilige IT-Infrastruktur der Unternehmen integriert werden. Das hatte ich in diesem Umfang nicht erwartet", weist Martin Mangold, VP Cloud Operations bei Drivelock, auf verbreitete Defizite schon bei der technischen Organisation von sicherem Homeoffice hin.

Informationen zu den Partner-Paketen der Studie Cybersecurity

Diese häufig fehlenden Voraussetzungen für das (mobile) Arbeiten von daheim oder von unterwegs rufen verstärkt Cloud-Security-Anbieter und Managed Security Services Provider auf den Plan. "Die komplette Infrastruktur selbst zu betreiben, ist ohne externe (Cloud-)Anbieter nicht mehr möglich. Die Anzahl der im gesamten Unternehmen genutzten Dienste und derer, die aus der Cloud bezogen werden, ist heute in jedem Unternehmen schon vielfach größer als 100, manchmal sogar größer als 1000. Das allein zeigt ja bereits deren Notwendigkeit", gibt Sven Kniest, VP bei Okta, einen Einblick in die aktuelle Marktlage.

Goodbye On-Premises

"Der Trend zu Security as a Service wird stärker. Viele Unternehmen haben nicht das nötige Personal und die Expertise, um immer neue Angriffsmethoden unter Kontrolle zu bekommen", sagt Paul Kaffsack, Geschäftsführer von Myra Security. Dass die notorische personelle Unterbesetzung der Security-Abteilungen wegen des Fachkräftemangels die Abhängigkeit von Dienstleistern noch verschärfe, bestätigt Drivelock-Experte Mangold.

Heißt zusammenfassend: Die Coronakrise hat den Shift von selbst betriebenen Security-Lösungen und -Services im Unternehmen hin zu Cloud-Diensten und Managed Services extrem beschleunigt - eine deutliche Entwicklung weg vom On-Premises-Betriebsmodell, was nach Meinung der Diskussionsrunde auch nach der Krise nicht mehr zurückzudrehen sein wird.

'The New Normal'?

Wird diese Entwicklung der IT-Security denn allgemein einen Schub verleihen? Die Branche verdient seit Jahren gutes Geld, dennoch bleibt das Gefühl, dass das Thema Sicherheit im Bewusstsein vieler Unternehmens- und auch Privatanwender nach wie vor eine untergeordnete Rolle spielt und Investitionen in IT-Sicherheit nur dann getätigt werden, wenn es unbedingt notwendig ist.

"Bislang hat jede Krise immer dazu geführt, dass sich das Geschäft der Cyber-Sicherheit weiterentwickelt hat, da sich gleichzeitig auch immer das Sicherheitsbedürfnis der Menschen erhöht hat. Die aktuelle Situation um Covid-19 wird dazu führen, dass Unternehmen ihre Wertschöpfungsketten überdenken müssen - eben auch in Bezug auf IT-Sicherheit", prognostiziert Hans-Peter Bauer, VP bei McAfee. Broadcom-Vertreter Peters stützt diese These: "Die wachsende Digitalisierung wird dazu führen, dass Security immer mehr an Bedeutung gewinnt."

Cybersecurity-Experte John-Erik Horn ist hingegen noch unentschieden, eher sogar pessimistisch: "Altbekannte Lieferketten werden nicht mehr so funktionieren wie bisher, das stimmt. Die Frage für die Unternehmer wird aber sein: Wie kann man sich auf 'The New Normal' einstellen? Wird es nach der Krise höhere IT-Sicherheitsbudgets geben? Mir fällt es schwer, eine Prognose zu stellen - gerade im Mittelstand sehe ich nicht zwangsläufig höhere Budgets für die Cybersecurity-Branche aufgrund der Coronakrise." Stefan Gutekunst stimmt ihm zu: "Man muss erst einmal schauen, welche Kapitaldecke in den Unternehmen später noch da ist."

Krise macht Push

Drivelock-Experte Mangold weitet den Blick und ergänzt: "Ich denke nicht, dass die aktuelle Situation ein primärer Treiber für Cybersecurity sein wird. Die Digitalisierung als solches ist aber mit Sicherheit einer der Profiteure der Krise. Und in deren Folge auch die IT-Sicherheit." Ilijana Vavan meint: "Corona wird das Thema Cybersecurity sehr stark verändern. Ich denke, wir werden künftig alle viel stärker von daheim aus arbeiten, auch aus Kostengründen seitens der Unternehmen. Cybersecurity wird entsprechend eine große Rolle spielen."

Dieser aktuelle "Digitalisierungs-Push", der überall zu beobachten sei, führe dann aber auch zur Kehrseite des Themas - zumindest aus Anwendersicht -, nämlich der verstärkten Abhängigkeit von (Managed Services) Providern. Infinigate-Geschäftsführer Andreas Bechtold meint dazu: "Viele Unternehmen werden ihre Geschäftsmodelle überdenken. Die Abhängigkeit von digitalen Services wird zunehmen." Was für die Anbieter nicht das Schlechteste sein muss, kann die Anwender teuer zu stehen kommen oder zumindest unflexibler machen.

Komplexität braucht simple Lösungen

Welche Rolle spielt denn überhaupt der einzelne Nutzer in diesem ganzen Spiel? Mangelnde Security Awareness hat häufig ja auch mit fehlender Usability und zu großer Komplexität von Sicherheitslösungen zu tun. Die Diskutanten sind sich einig, dass das Thema "Security by Design" viel stärker mit auf die Agenda der Branche gehöre. Myra-Geschäftsführer Kaffsack appelliert: "IT-Security muss nutzerfreundlich sein. Unbequeme Prozesse werden vom User schnell umgangen, das erzeugt erst recht Sicherheitslücken. Security by Design sollte sich im Userflow unbemerkt integrieren." Martin Mangold ergänzt: "Wir müssen gerade die Menschen, die bisher nie etwas mit digitalem Arbeiten zu tun hatten und sich jetzt zwangsläufig damit beschäftigen, dabei unterstützen, ein Bewusstsein für den Umgang mit IT-Security zu entwickeln." McAfee-Experte Hans-Peter Bauer fasst zusammen: "Wir müssen IT-Sicherheit noch stärker automatisieren und für den Nutzer einfacher und zugänglicher gestalten, da unsere digitale Welt immer komplexer wird. Wir brauchen einheitliche Lösungen für alle."

Ob die Security-Branche also gestärkt oder geschwächt aus der Krise hervorgehen wird, ist noch nicht abschließend zu beurteilen. Anzeichen für eine verbesserte Security Awareness auf Anwenderseite sind aber erkennbar. Allein die rege Beteiligung an der Diskussion - die hier nur in wenigen Auszügen wiedergeben werden konnte - zeigt: Die Branche befindet sich weiterhin in Goldgräberstimmung, heute vielleicht stärker als je zuvor.

Informationen zu den Partner-Paketen der Studie Cybersecurity