«Die Bedrohungen sind grösser denn je, dennoch ist die Welt nicht untergegangen»

Interview von Fabienne Strobel

Ein Gespräch mit Dr. Wieland Alge, CEO der phion AG, einem der führenden europäischen Anbieter für Lösungen zum Schutz der Unternehmenskommunikation, über die Bedeutung der IT-Sicherheit in Unternehmen und den Schwierigkeiten der Sicherheitsverantwortlichen, das Thema richtig zu kommunizieren.

SKR: Wie beurteilen Sie die aktuelle Entwicklung in der ITSecurity. Worin liegen die grössten Herausforderungen für Sicherheitsverantwortlichen in Unternehmen?

Wieland Alge: Die wichtigste Entwicklung ist sicherlich, dass die Security sich von einem «Freak-Thema» zu einem Management- Thema entwickelt hat und nun endlich in ein reifes Stadium tritt. Sie wird aktiv in Geschäftsprozesse integriert, d.h. ins Risikomanagement, in die Stabilität der Infrastruktur. Security ist kein Thema mehr nur für die isolierte Sicherheitsabteilung. Auf technologischer Ebene beobachten wir eine Radikalisierung mit der sich Geschäftsprozesse öffnen, nach hinten, also in die Supply Chain und nach vorne zu den Kunden. Insbesondere Web-Applikationen sind in einer Art und Weise mit den Kern-IT-Systemen verbunden, wie wir das noch vor wenigen Jahren nicht zu befürchten wagten. Damit geben wir den Cleveren unter den Hackern nolens volens das Werkzeug in die Hand, uns richtig weh zu tun. Das Match um die Infrastruktur steht etwa 6:3 für die Security, da haben Hacker und Virenschreiber zumindest technologisch verloren, aber nur, weil es sich viel mehr lohnt, sich direkter auf die wunden Stellen zu stürzen.

SKR: Welche Stellenwert nimmt das Thema IT-Sicherheit für Unternehmen konkret ein?

W. A.: Ich denke alle Sicherheitsexperten sind sich einig: Wenn das Netzwerk bedroht ist, ist auch das Unternehmen bedroht, vielleicht sogar existentiell. Aus Managementsicht betrachtet sieht die Beantwortung der Frage nach der Bedeutung der IT-Sicherheit anders aus: Vertrieb, Geschäftsprozesse, Expansion und vieles andere mehr sind die Bereiche, die es zu optimieren gilt. ITSicherheit ist dabei momentan nur ein Thema von vielen.

SKR: Hat sich die Wahrnehmung in den Unternehmen verändert?

W. A.: In den vergangenen Jahren wurde der Teufel an die Wand gemalt. Aber seien wir ehrlich: Die Bedrohungen sind grösser denn je, dennoch ist die Welt nicht untergegangen. Die alten Gespenster schrecken nicht mehr. Jedes Jahr wurde gesagt, dass die Gefahren grösser werden und dass daher mehr Geld für die Sicherheit benötigt wird. Jetzt wollen die Ansprechpartner im Management keine Angst mehr haben und wir, die Sicherheitsexperten, stehen oftmals da wie falsche Propheten. Die Folge: Investitionen in die Netzwerksicherheit werden meist nur getätigt, wenn es eindeutige rechtliche Vorgaben gibt – und dann auch nur im nötigsten Masse. Aber wer würde seinen Airbag aus dem Auto ausbauen, nur weil der nicht gesetzlich vorgeschrieben ist?

SKR: Was muss getan werden, damit das Thema IT-Sicherheit wieder die Bedeutung auf Management-Ebene bekommt, die ihm zusteht?

W. A.: Um das Netzwerk zu schützen, muss innerhalb der Unternehmen Überzeugungsarbeit geleistet werden – und um zu überzeugen, müssen wir, die Sicherheitsexperten, uns ändern: Die Aufmerksamkeit muss neu verdient werden, indem die Ziele der Netzwerksicherheit aus jenen Herausforderungen abgeleitet werden, vor denen die Geschäftsführer und Manager aktuell stehen. Dabei ist es natürlich nicht falsch, bessere Firewalls einzusetzen. Dies jedoch in den Mittelpunkt der Kommunikation mit dem Management zu stellen, führt nicht selten zu falschen Ergebnissen und in Folge auch zu weniger Sicherheit.

SKR: Worin liegen die Fehler? Wie muss das Thema gegenüber dem Management richtig kommuniziert werden?

W. A.: Zu häufi g präsentieren wir uns dem Management indem wir sagen: «Sie brauchen diese neue Sicherheitskomponente unbedingt. Ich könnte Ihnen erklären warum, aber Sie würden es nicht verstehen, also glauben Sie uns. Wir kennen uns aus.» Doch das Management mag keine undurchsichtige Expertise und vor allem keine Direktiven. Die voraussehbare Reaktion lautet daher oft: «Wir müssen gar nichts.» Unser Ziel muss daher sein, ein Umdenken in den Köpfen des Managements zu erreichen, so dass sie letztlich sagen werden: «Ja, das hilft uns, wir wollen das!». Hierfür gibt es unendlich viele Ansatzpunkte, wie beispielsweise Standards, Skalierbarkeit, Hochverfügbarkeit, Zugriffszeiten, zentrales Management oder Konvergenz. Das sind Begriffe, die einen unmittelbaren Nutzen in Form von höherer Effizienz und sinkenden Kosten für das Unternehmen aufzeigen, statt nach einer weiteren Versicherungspolice zu klingen. Im Mittelpunkt steht die Ausrichtung der IT- Sicherheit am Kerngeschäft und an der Unternehmensstrategie. Das Motto für die Kommunikation mit den Vorgesetzten sollte also lauten: Gleiche Ziele, gleiche Feinde.

SKR: Der Nutzen muss also im Vordergrund stehen?

W. A.: Richtig. Innovation in der Netzwerksicherheit bedeutet vor allem, Nutzen für das Unternehmen mit Sicherheit in der IT zu verbinden. Erneute und verstärkte Aufmerksamkeit für Security-Themen und -Technologien zu erhalten, sollte daher oberste Priorität bei den Sicherheitsspezialisten haben. Dies kann am einfachsten realisiert werden, indem Unternehmen ein tatsächlicher, nachvollziehbarer Nutzen angeboten wird, der über den rein technischen Schutz vor Bedrohungen hinausgeht.

Netzwerksicherheit bedeutet mehr als nur die Abwehr von Viren und anderen Attacken. Das Ziel ist die Verfügbarkeit der Unternehmenskommunikation, also die Bereitstellung von leistungsstarken unternehmenskritischen Applikationen unter schwierigsten Bedingungen. Das schliesst die Absicherung gegen Unfälle oder Naturkatastrophen ein. Innovationen im IT-Bereich lassen sich nicht an höheren IT-Ausgaben messen, sondern an deren Effizienz. Es geht nicht mehr einfach darum, das vorgeschriebene Mass an Compliance zu erreichen, sondern Compliance effizient zu erreichen. Hierfür müssen Instrumente zum Einsatz kommen, die eine möglichst grosse Skalierbarkeit und Höchstmass an Zusatznutzen für das Unternehmen mitbringen. In einem solchen Gesamt-Szenario ist die Firewall, die UTM-Appliance oder die Branch Office Box fast nur noch eine Selbstverständlichkeit, eine Fussnote, die gar nicht erwähnt zu werden braucht.

Sicherheit und Verfügbarkeit von kritischen Prozessen und Daten sind schon seit langem ein Thema. Wo liegen heute die Herausforderungen?

Es wird sich kaum ein Unternehmen finden lassen, das bisher überhaupt keine technische Sicherheitsmassnahmen ergriffen hat. Für nahezu jede Angriffsmethode steht dabei eine solide Abwehrtechnologie bereit. Die Herausforderung liegt heute in der Komplexität, die sich aus dem Zusammenspiel der eingesetzten Sicherheitsprodukte ergibt. Darüber hinaus muss die ITSicherheit einen proaktiven Beitrag zum Erhalt der Kommunikation leisten, auch unter schwierigen Umständen.

Im Gegensatz zu Intern-basierten Bedrohungen wird den Risken der realen Welt heute weniger Aufmerksamkeit geschenkt. Dabei bringen Stromausfälle, falsche Konfigurationen beim Provider durch Praktikanten, das versehentliche Durchtrennen von Leitungen bei Bauarbeiten etc. die Kommunikation von Banken total zum Erliegen. Die Lösungen von phion sind deshalb in der Lage, automatisch zwischen verschiedenen Leitungen und Internet Service Providern umzuschalten, sobald der Datenverkehr nicht mehr oder nur noch eingeschränkt fl iesst. Damit ist gewährleistet, dass Unternehmen mit vernünftiger Geschwindigkeit auf die Systeme im Hauptsitz zugreifen können.

Ein weiterer wesentlicher Punkt ist der Bereich zentrales Management. Gerade Unternehmen mit mehreren Standorten brauchen Sicherheitslösungen, die vollkommen in ein zentralisiertes Managementkonzept eingebunden sind. Nur durch die zentralisierte Steuerung aller Systeme kann die korrekte Konfiguration auch bei komplexen Wechselbeziehungen gewährleistet werden. Zentrales Management ist zudem eine der Voraussetzungen für einen wirtschaftlichen Betrieb moderner Infrastrukturen.

IT-Sicherheit bedeutet heute also wesentlich mehr als die Abwehr von Hackern, Viren, Würmern und Co. Natürlich spielt die Sicherheitsleistung immer noch eine zentrale Rolle, ebenso wichtig ist aber auch die Einbindung in ein zentrales Management. Aus kaufmännischer und sicherheitstechnischer Perspektive gibt es keine sinnvolle Alternative zur zentral gesteuerten Implementierung, Konfi guration, Administration und Revisionskontrolle aller eingesetzten Sicherheitslösungen. Indem sie den Fokus noch stärker auf die Gewährleistung reibungsloser Kommunikation legt, wird die IT-Sicherheit zudem ihrer Rolle als Business Enabler gerecht und sorgt für die zuverlässige Verfügbarkeit von Daten sowie Anwendungen.