Sicherheitsstrategie bewerten und qualifizieren

Quantitative Bewertungen von SAP-Sicherheits-Strategien

Eines der sichtbarsten Zeichen, dass Sicherheit nicht mehr auf einzelne Bereiche wie eine SAP IT beschränkt ist, ist die Einsetzung eines CISO, eines Chief Information Security Officers, im Vorstandsbereich in vielen Unternehmen. Ähnlich wie das Erscheinen des Chief Information Officers während der Evolution der IT vom Mainframe zu PCs in den 1980ern, manifestiert sich hier eine Trendwende in der Betrachtung von Sicherheit und bündelt auch viele Aktivitäten in diesen Bereichen.

Viele aktuelle Projekte in den letzten zwei Jahre initiierten die Veränderungen einer Organisation hin zu einer unternehmensweiten Sicherheitsstrategie durch die Etablierung solcher CISO-Positionen. Am Anfang (so die Legendenbildung in einigen Unternehmen) steht natürlich immer ein signifikanter Sicherheitsbruch, der der „Urknall“ einer solchen Initiative ist.

Es muss nicht immer so spektakulär sein wie in dem Fall, den eine Sicherheits-Kollegin mir einmal erzählte. Sie berichtete (abends, beim sprichwörtlichen Bier an der Hotelbar) von einem Fall, in dem Hacker gezielt den Exchange-Server eines Outlook-Accounts eines Unternehmens gehackt haben sollen, um dem CEO dann seine E-Mails fein säuberlich ausgedruckt als analoges Päckchen zu schicken. In dem Päckchen war gleich auch eine Rechnung über „Erbrachte Dienstleistungen für Sicherheitsfragen“ enthalten. Man mag das Geschäftsmodell dieser „Berater“ amüsant oder anrüchig finden, aber auf jeden Fall startete das Unternehmen innerhalb von 24 Stunden eine weltweite Sicherheitsinitiative.

Es geht aber natürlich auch leiser und unspektakulärer. Man muss kein Anhänger von Verschwörungstheorien oder Gegner von Staatsbehörden sein, um durch die Lektüre der Tageszeitung von den (wirklich existierenden) täglichen Bedrohungen der Cyber-Welt überzeugt zu sein. Sicherheit ist nicht nur primär ein Kostenfaktor oder den Rüstungsunternehmen vorbehalten, sondern sie wird Bestandteil einer allgemeinen Sicherheitsüberlegung.

Auch bei SAP kann man gut die „analoge“ Entwicklung der Sicherheitswelt sehen. In den 1970er Jahren und Anfang der 1980er Jahre war SAP in Walldorf noch wirklich ein „Campus“, in dem die Türen offen standen. Die Kantine des Schulungszentrums (heute ISZ) war tatsächlich in holländischen Camper-Reiseführern als gute Gelegenheit für ein kostenloses Mittagessen aufgelistet. Mit den Neubauten kamen dann die Rezeption und die Einrichtung von „Personenvereinzelungsanlagen“ (Glas-Drehtüren mit Besucherausweis) hinzu. Heute kann man das IVZ überhaupt erst nur betreten, wenn man als Schulungsteilnehmer einen Barcode auf dem Handy hat, der zu einem aktuell laufenden Kurs gehört und mit der Anmeldebestätigung verschickt wird.

Es würde Ihnen heute sehr auffallen, wenn Sie ein Unternehmen ohne jede Identitätsfeststellung betreten könnten. Ebenso wird es mit der Entwicklung der digitalen Sicherheit sein. Neben der etablierten Technik wie Firewalls und gesicherten Routern werden in Zukunft neue Technologien hinzukommen. Mögen diese heute noch exotisch anmuten, werden sie im Laufe der Zeit so normal werden wie z. B. die Ausstellung eines Besucherausweises in einem Unternehmen.

Bill Gates hat in den 1980er Jahren gesagt, dass er hoffe, dass der PC mal ein ähnliches Schicksal haben werde wie das Telefon. Nicht die Existenz eines Telefons auf einem Arbeitsplatz wird dann wahrgenommen, sondern nur noch das Fehlen ebensolcher Technik. Dass heute gar kein Telefon mehr auf dem Tisch steht und auch kein PC mehr, sondern nur eine Docking Station, dass Mitarbeiter im „Hoteling“ sich jeden Tag ihren Arbeitsplatz suchen müssen, hat er vorausgesehen. Dass das Mobiltelefon und Headset das Telefon komplett ersetzt haben, zeigt, dass selbst solche Visionen sich heutzutage schnell überleben.

Immer mehr Unternehmen setzen auf hochintegrierte Digitalisierung, die produzierenden Betriebe haben sich der Industrie 4.0 verschrieben. Die Generation „Heads Down“, also die Generation derer, die durch den gesenkten Kopf und dem stieren Blick auf das allgegenwärtige „Handy“ auffällt, ist selbstverständlicher Teil eines globalen Datenflusses. Die von den großen Unternehmen begonnene Digitalisierung zwingt automatisch die Wertschöpfungsketten, sich dieser Integration von „Big Data“, der unendlichen Datenmengen und der Vernetzung selbst der kleinsten Informationseinheit wie z. B. der Armbanduhr, anzuschließen. BMW und Mercedes stellen sich dem Wettbewerb mit Google und Apple um die Informationstechnologie im Auto. Und die Gesundheitsindustrie (und nicht nur diese) träumt vom vernetzten Menschen, der online in Echtzeit verfügbar ist.

Es geht hier nicht um die politische Bewertung dieser Strategie. Aber alle Elemente hier haben auch eine technische Bedeutung, die sich in Sicherheits-Elementen widerfindet. Die Daten müssen geschützt werden, im Sinne von Jurisdiktion (wie dem Bundesdatenschutzgesetz), aber auch technisch, gegen Verfälschung und Veränderung. Die Verbindungen müssen geschützt werden. Die Autos und Flugzeuge und deren Schnittstellen dürfen nicht von außen angreifbar sein und der menschliche Körper sollte nicht durch Technologie manipuliert werden können.

Deshalb ist Sicherheit (auch global als Cyber Security gesehen) kein isoliertes Unterfangen. So wie in einer Wertschöpfungskette jedes Unternehmen einen Teil des Wertes hinzufügt und ausschöpft, so ist jedes Unternehmen, das an einer solchen Wertschöpfungskette der Digitalisierung beteiligt ist, auch für ein gewisses Maß an Sicherheit verantwortlich.

Und in einer vernetzten Welt ist Sicherheit nicht nur ein einzelner Aspekt. Wenn Sie die Sicherheits-Nachrichten verfolgt haben, dann sahen sie, wie eine Kette von Nachlässigkeiten im US-Fall „Target“ und „Home Depot“ zu dem massiven Einbruch in die Zahlungsströme geführt hat. Schlampig gesicherte Kartenlesegeräte eines Marktführers, die ebenso schlampige Sicherheitskontrollen des implementierenden Unternehmens und eine Mentalität, die das Risiko maximal bei den Verwaltern der Zahlungsströme, also Kartenunternehmen wie z. B. VISA, Mastercard oder EUROCARD, sieht, haben zu dem Einbruch geführt. Sicherheit muss also von allen Beteiligten in der Wertschöpfungskette berücksichtigt werden, das gilt auch für den politischen oder den nationalen Zusammenhang.

Die Deutsche Telekom hat sich schon seit einigen Jahren dafür stark gemacht, großen und mittleren Unternehmen die politische Dimension der Sicherheitsdebatte nahe zu bringen. Die in jedem Unternehmen inhärente Verschwiegenheit über interne Belange hat heute, in Zeiten von Cybercrime und Cyberwar keine Berechtigung mehr. Wenn Unternehmen angegriffen werden, ob aus kriminellen oder geopolitischen Gründen, hat dies eine Bedeutung für die gesamte Branche. Wenn ein Energieversorger angegriffen wird, dann sollten alle Infrastruktur-Betreiber vorgewarnt werden. Wenn es gezielt Angriffe auf die Kurse eines Unternehmens gibt, etwa im Hochgeschwindigkeitshandel an amerikanischen Börsen, sollte die deutsche Finanzindustrie dies sofort erkennen und hierzu Vorsichtsmaßnahmen ergreifen können.

Für ein Unternehmen als Teil der Wirtschaftsgemeinschaft gilt letztendlich dasselbe wie für eine Volkswirtschaft: Je schneller solche Bedrohungen überhaupt erkannt werden und dann kommuniziert werden, umso schneller kann diese Volkswirtschaft reagieren. Und je effizienter sie darauf reagiert, umso stabiler ist eine solche vernetzte Einheit.

Die Welt dreht sich subjektiv gefühlt schneller als jemals zuvor. Nicht zuletzt deshalb, weil die exponentiell wachsende Komplexität dieser Welt Information und Technologie im Überfluss produziert. Diese Informationen und Technologien müssen dann für das eigene Unternehmen eine Richtung des Denken und Handelns bekommen, eine Strategie

In meinem Buch über SAP Sicherheit greife ich diese und viele weitere Aspekte der Sicherheit einer SAP-Landschaft auf

Weitere Informationen zu dem Buch: SAP Systeme schützen

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen