Alles in der IT eines Unternehmens maximal abzusichern heißt letztlich, dass am Ende die Systeme nicht mehr zugänglich sind – die ultimative Sicherheit ohne Nutzwert. Die große Frage, bevor überhaupt Sicherheitsprojekte im SAP-Bereich begonnen werden, ist die Frage nach Risiko, Bedrohung und Notwendigkeit der Abwehr. Brauchen wir überhaupt IT-Sicherheit? Ist die aktuelle Diskussion nicht nur eine überhitzte Diskussion, ein „Hype“, um immer teurere Produkte in den Markt zu bringen? Wo liegen überhaupt die Bedrohungen? Die Frage, die sich daraus für viele Führungskräfte, aber auch Mitarbeiter in Projekten ergibt, ist die Frage nach der eigentlichen Bedrohung, des Schadenspotenzials innerhalb des eigenen Unternehmens.
Auch Sie werden festgestellt haben, dass nicht nur das eigene Unternehmen, die eigene öffentliche Institution oder Organisation, sondern auch die globale Ökonomie, in die man selbst eingebettet ist, ein sicheres System für den Schutz der Informationen und der Informationstechnologien braucht. Die Widerstandsfähigkeit in den Netzen der Cyber-Welt muss auf allen Ebenen erhöht werden, denn nur mit einem soliden Maß an Sicherheit in den eigenen Systemen und der umgebenden Cyber-Welt kann man technologische Innovation für das eigene Unternehmen gewährleisten. Im Zeitalter der Digitalisierung, der Industrie 4.0, des Werts, der in jeder Information steckt, und des Mehrwerts, der Unternehmen zunehmend bestimmt, sind Kenntnis und Bewertung der Informationen die wichtigsten Schritte zu deren Schutz.
Die kritische Frage ist die nach dem Handeln: Was können Sie in Ihrem Unternehmen veranlassen, was kann und was muss man tun, um diesen Rahmenparametern der globalen und lokalen Ökonomie zu entsprechen, um die Widerstandsfähigkeit des eigenen Unternehmens in der Cyber-Welt zu gewährleisten?
Im Januar 2014 hat das Weltwirtschaftsforum in Davos zusammen mit der Beratungsgesellschaft McKinsey eine Studie herausgegeben. In dieser sehr lesenswerten Abhandlung mit dem Titel „Risiko und Verantwortung in einer hyper-vernetzten Welt” wird der Begriff der Cyber Resilience geprägt, der Ausdruck eines dringend benötigten, die Unternehmen verbindenden Verständnisses ist. Nicht nur das eigene Unternehmen, sondern alle Unternehmen sind in dieser Cyber-Welt gleichzeitig diesen Bedrohungen ausgesetzt. Und auch nur in einer unternehmensübergreifenden, globalen Sicht auf die möglichen Angriffsvektoren kann der erste Ansatz einer sicheren Unternehmensstrategie liegen.
Bevor Sie als Entscheider, Projektleiter oder Mitarbeiter in einem SAP-Sicherheitsprojekt diese Fragen beantworten, müssen Sie im Rahmen der Sicherheit nicht nur eine quantitative Bestandsaufnahme der IT-Unternehmenswerte schaffen, sondern auch eine qualitative Inventur von Daten und deren Werten vornehmen – natürlich nur dann, wenn in Ihrem Unternehmen nicht schon eine solche Betrachtung durchgeführt wurde. Aber aus der täglichen Erfahrung weiß ich (und das bestätigen auch regelmäßig externe Prüfungsfirmen bei ihren Audits), dass dies sehr selten der Fall ist.
Was ist denn eigentlich nun das Gefährliche an den Bedrohungen aus dem imaginären Cyberspace, denen die Werte der Unternehmen angeblich ununterbrochen ausgesetzt sind? Können Sie dieses Risiko erfassen, beziffern und bewerten? Michael Hayden, der ehemalige General und NSA-Direktor, hat es gegenüber SAP-Kunden auf einem SAP-Kongress eindringlich formuliert:
„Sie müssen sich den Cyberspace als die neue Welt vorstellen. Denken Sie nicht in Bandbreite oder Kostenstelle – das Militär sieht es als realen Raum.“
War es in der Vergangenheit vor allem die Absicherung von Netzwerk und Systemen, die im Rahmen einer SAP-Sicherheitsanalyse betrachtet wurde, nimmt eine differenzierte Risikobetrachtung heute technische, soziale, aber auch geopolitische Angriffsmuster in den Blick. Die Frage an die Architekten, Entscheider und Projektleiter in einem Unternehmen ist vor allem die nach dem Kontext, in dem solch eine qualitative Risikoanalyse unter Berücksichtigung internationaler Standards vorgenommen wird. Das Ergebnis ist eine Bewertung, wie wahrscheinlich und schwerwiegend Angriffe auf die eigenen SAP-Systeme sind.
Es ist auch heute oft erschreckend, wie wenig ernst die Sicherheit vor allem im SAP-Bereich genommen wird. Aber auch alle anderen IT-Bereiche sind in vielen Fällen nicht oder nicht ausreichend geschützt. Oft liegt es nicht daran, dass das Bewusstsein für eine solche Bedrohung nicht vorhanden ist, vielmehr ist es die Unternehmenskultur, vor allem in der Informationstechnologie des Unternehmens, die sich selbst im Wege steht.
Um Sicherheit nach aktuellen Maßstäben zu implementieren, müssen häufig über Jahrzehnte gewachsene Netzwerkwelten und Serverwelten umgestaltet werden. Dass dies nicht nur technisch, sondern auch politisch eine Hürde ist, weiß jeder, der in seinem Unternehmen schon einmal einen Antrag auf Portöffnung einer Firewall gestellt hat. Die Resistenz gegen Veränderung oder – positiver ausgedrückt – die Konservativität, die inhärent in jedem großen Unternehmen steckt, wirkt auch hier. Zum anderen entstehen neue Arbeitsprofile, neues Wissen muss aufgebaut werden, und Abläufe verändern sich.
Diese und mehr Diskussionen können Sie auch in meinem neuen Buch lesen: Sicherheit: SAP Systeme schützen
Kommentar hinterlassen
Du musst angemeldet sein, um einen Kommentar abzugeben.