Die meisten Chief Security Information Officer (CISOs) sind sich darin einig, dass Endanwender im Fokus stehen, wenn es um die Umsetzung einer erfolgreichen Sicherheitsrichtlinie zum Schutz vor Cyber-Angriffen geht. Aus diesem Grund gibt es häufig Schulungsprogramme mit dem Ziel, bei den Mitarbeitern das Bewusstsein für Cyber-Bedrohungen zu schärfen und sie mit den erforderlichen Wissen auszustatten. Auf diese Weise soll gewährleistet werden, dass sie nicht versehentlich die Sicherheit der Netzwerke und Daten ihrer Organisation in Gefahr bringen.
Unterschiedliche Sichtweisen
Trotz der weitverbreiteten Einsicht, dass dieser Ansatz unerlässlich ist, um sich gegen die wachsende Zahl von Bedrohungen abzusichern, stellt er jedoch auch ein Problem dar, das nur schwer zu lösen ist. Manager und Führungskräfte der oberen Führungsebene sind sich der Bedeutung von Cyber-Security bewusst; sie haben gesehen, wie viele Unternehmen aufgrund eines erfolgreichen Cyberangriffs Geschäft, Geld und Kunden eingebüßt haben. Ihnen ist auch klar, dass Attacken Auswirkungen auf das Geschäftsergebnis haben können (und tatsächlich auch haben), und dass als Konsequenz in manchen Fällen Manager ihren Hut nehmen mussten.
Für mittlere Führungskräfte und einfache Mitarbeiter hat das Thema Cyber Security dagegen keine Priorität; für sie sind primär Geschäftserfolge, der Umgang mit Kunden, die Produktentwicklung und die Erledigung aller Aufgaben, die für den Erfolg ihres Unternehmens unerlässlich sind, wichtig.
Wenn also eine Nachricht vom CEO über die Wichtigkeit von Cyber-Security kommt, nehmen sie diese zwar wahr. Aber anders als auf der Senior-Management-Ebene beeinflusst die Angst vor Cyber-Bedrohungen ihr Verhalten nicht allzu sehr. Vielmehr sehen sie durch diese Botschaften oft in ihrer Arbeitsweise beschränkt, da die Forderungen ihre tägliche Produktivität beeinträchtigen.
Konkret kann das bedeuten, dass sie bestimmte Anwendungen oder Online-Dienste nicht mehr verwenden dürfen, etwa Services für das Projektmanagement, Sales-Apps, die Kaufzyklen kennzeichnen, oder Analysetools für das Marketing, die aufzeigen, woher die potenziell lukrativsten Leads kommen.
Innovationen vereiteln
Dies sind zwar nur Beispiele, aber sie verdeutlichen, worauf ich hinaus will: Apps oder Services, die nicht von ihr genehmigt wurden, betrachtet die IT-Abteilung als Bedrohungen, die die Cybersicherheit gefährden können. Das mag den CISO glücklich machen, aber es verhindert Innovationen, reduziert die Effizienz und frustriert die Endanwender.
Wenn sich aber IT-Security und Innovationen nicht vereinbaren lassen, wird es schwer für ein Unternehmen, die Mitarbeiter mit Herz und Verstand für sich einzunehmen. CISOs müssen sich daher in den Produktionsstätten aufhalten, um zu sehen, welche Technologien die Mitarbeiter an vorderster Front nutzen, wie diese eingesetzt werden und welche Vorteile sie für eine Organisation mit sich bringen.
Im Anschluss müssen sie sich dann überlegen, wie Security stattdessen Innovationen vorantreiben kann. Sie müssen sich fragen, was sie tun können, um die produktivitätssteigernden Technologien abzusichern, die die Mitarbeiter bereits im Unternehmen einsetzen. Fortschrittliche CISOs werden dann schnell begreifen, dass neue Technologien, wenn sie sicher integriert sind, von großem Nutzen sind. Nach dem Motto: Sich öffnen anstatt sich einzuigeln.
Schatten IT als Chance sehen
CISOs müssen sich von der Haltung verabschieden, in von Mitarbeitern ins Unternehmen eingeschleppter Technik nur das Schlechte zu sehen. In Wahrheit ist Schatten IT der beste Indikator dafür, was die Mitarbeiter wollen und welche Tools dabei helfen, das Geschäft voranzutreiben.
- Tipps gegen Schatten-IT
Die Berater von Accenture haben fünf Ratschläge gegen Schatten-IT parat. - Tipp 1: Aufklären statt Verbieten
Sinnvoller als Verbote ist die Aufklärung über die Vorteile einer geregelten Beschaffung. Zum Beispiel können Skaleneffekte IT-Kosten senken, Schatten-IT nicht. Außerdem sollten alle Mitarbeiter über Service-Level-Agreements informiert werden. - Tipp 2: Bevorzugte Hersteller auflisten
CIOs sollten kommunizieren, welche ihre bevorzugten Hersteller sind. Dabei muss Raum für Ausnahmen bleiben. Können Vertreter einer Fachabteilung gut begründen, warum sie diese oder jene Lösung eines anderen Anbieters wünschen, darf darüber verhandelt werden. - Tipp3: Beziehungspflege
Gute Geschäftsbeziehungen zu innovativen Herstellen nützen dem gesamten Unternehmen. Das funktioniert nur über eine geregelte IT-Beschaffung. - Tipp 4: Zusatzwert bieten
Der IT-Entscheider kann nicht nur Preise besser verhandeln als die Fachabteilung. Er spricht mit dem Hersteller auch über Garantieleistungen oder Hardware-Spezifikationen. - Tipp 5: Vertrauen aufbauen
Das Aufklären über die negativen Seiten von Schatten-IT ist wichtig. Im Zuge dessen kann sich die IT-Abteilung unternehmensintern als vertrauenswürdiger Partner etablieren.
Erinnern Sie sich, als 2007 das erste iPhone auf den Markt kam? Die Geräte waren unglaublich populär und signalisierten den Beginn der Smartphone-Revolution - jeder hatte eines oder wollte zumindest eines haben.
Abgesehen davon, dass sie innovativ und nett anzusehen waren, waren sie auch extrem leistungsstarke Taschencomputer und viele Mitarbeiter nutzten die Möglichkeiten, die sich ihnen damit bei der Unterstützung der täglichen Arbeit boten.
Auf der anderen Seite jagte es aber den CISOs beim Gedanken an die sensiblen Unternehmensdaten, die auf diesen "Spielzeug"-Geräten ungeschützt gespeichert wurden, Schauer über den Rücken.
Glücklicherweise gibt es inzwischen Tools und Technologien, um diese Devices und die darauf gespeicherten Daten zu schützen. Und letztendlich erkannten auch die Sicherheitsexperten, welche die geschäftlichen Vorteile und flexible Arbeitsweisen die Smartphones ermöglichten.
Positive Auswirkungen
Heute stellen Smartphones nicht mehr eine Revolution dar, sie sind vielmehr ein fester Bestandteil der täglichen Arbeit geworden. Organisationen, die ihre Nutzung verbieten, werden üblicherweise als rückständig empfunden und gehören zu den Unternehmen, um die die besten und begabtesten Mitarbeiter gewöhnlich einen weiten Bogen machen.
Indem wir das Thema Security über den Aspekt Verteidigung hinaus ausweiten und akzeptieren, dass die von Mitarbeitern ausgesuchten Technologien tatsächlich die Produktivität steigern, mehr Effizienz schaffen und zu besseren Ergebnissen beitragen, erkennen wir den Wert der Innovation und ihre Rolle in der Organisation an.
Damit Sie mich nicht falsch verstehen: Angesichts der Tatsache, dass die Konsequenzen von Datendiebstahl verherrend und kostspielig sein können, ist Cyber Security absolut wichtig. Aber eine kleine Änderung in der Einstellung kann eine zutiefst positive Wirkung haben, da Security somit zu einem Business Enabler und nicht nur zu einem Bremsklotz wird. Daher ist es Zeit für den CISO, die Rolle des Chief "Innovation" Security Officer einzunehmen und Security Frameworks und -Plattformen anzubieten, die Innovation unterstützen und nicht einschränken.
Um das zu verdeutlichen, ein weiteres Beispiel: Wir haben viele Kunden, die sehr aggressive Cloud-Services-Strategien implementieren wollen - traditionelle Cloud-Services wie Salesforce gemischt mit neuen Cloud-Services wie Workplace by Facebook, Cisco Spark und einer Vielzahl von Branchenanwendungen.
Die IT-Security-Experten sind hier in der Regel sehr besorgt, da all diese Cloud-Services über Apps auf einem Gerät genutzt werden. Diese Apps speichern Daten lokal, so dass sie ein erhebliches Risiko für Datenverluste darstellen. Als Resultat verzögert die Security die Bereitstellung solcher Apps, was ist immer frustrierend für die Mitarbeiter und Geschäftsbereiche ist, die Zugang zu Innovationen haben wollen.
Ein besserer Ansatz ist ein auf Standards basierendes Security-Framework, in das jede Art von Cloud-Dienst integriert werden kann. Auf diese Weise ist Security nicht die Sperre, sondern hilft vielmehr, diese innovativen Cloud-Services auf mobile Endgeräte zu bringen.
Ein anderes Beispiel ist Single Sign-on (SSO): Die Einrichtung von SSO für alle mobilen Apps ist enorm wichtig für die User Experience. SSO unterstützt die schnelle Annahme von innovativen Anwendungen, ohne den Anwender damit zu belasten, Benutzername und Passwort einzugeben.
Die Hauptsache aber ist ein verändertes Mindset. Die meisten Security-Teams sind der Auffassung, dass Innovation Unsicherheit schafft und damit automatisch das Sicherheitsrisiko ansteigt. Hier gilt es, die Sichtweise von "Fürchte Innovation und schnellen Wandel, weil dadurch Sicherheitsrisiken entstehen" zu "implementiere statt Punktlösungen Security-Frameworks, in die sich Innovationen einfach integrieren und übernehmen lassen".