Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Security: Die echte Herausforderung für die Digitalisierung

Interview mit Dr. Ferri Abolhassan, Geschäftsführer Service Transformation Telekom Deutschland

Ferri Abolhassan

Herr Dr. Abolhassan, wir befinden uns mitten in der Digitalisierung, aber das Thema IT-Security fristet in vielen Unternehmen noch immer ein Nischendasein. Warum?

Stellen Sie sich vor, die Firmenleitung lässt einfach einmal abends alle Konzerntüren weit offen. Der Sicherheitsdienst soll sich freinehmen, die Alarmanlage wird abgeschaltet. Der PIN für den Tresor wird über das Eingangstor gemalt, das Firmenvermögen legt man in 20-Euro-Notenbündeln in die Einfahrt. Unvorstellbar? Eigentlich schon, allerdings verhalten sich viele Unternehmen ganz ähnlich, wenn es um ihr wertvollstes Gut geht: Daten über Kunden, Maschinen, Prozesse und Innovationen. Angriffe und Datenmissbrauch durch Hacker & Co. stehen auf der Tagesordnung. Doch Mitarbeiter und Verantwortliche sind verunsichert und oft noch zu lange in einer Abwartehaltung. Hauptgrund für dieses Verhalten ist, dass IT-Sicherheit komplex, aufwendig und teuer zu sein scheint. Gleichzeitig ist ein maximaler Schutz von Daten, Netzen, Endgeräten und Sensoren die Grundvoraussetzung für eine digitale Zukunft. Daher müssen Sicherheitslösungen heute einfach sein – einfach zu beziehen und ebenso einfach zu bedienen. Es ist Aufgabe der gesamten deutschen ICT-Branche, Sicherheitsprodukte so benutzerfreundlich wie möglich zu gestalten. Aus Anwendersicht gibt es fünf Schritte, mit denen man die sichere Digitalisierung des eigenen Unternehmens meistert.

Und die wären?

Zunächst muss eine klare Entscheidung für die zum Unternehmen passenden Cloud-Lösungen getroffen werden. Denn Voraussetzung für eine optimal aufgestellte IT ist die Cloud – von Services, die in der Cloud entwickelt werden, bis zu kompletten Alt-Systemen, die in die Cloud verlagert werden. Nur sie kann die Masse an Daten zentral sammeln, speichern, auswerten und so einen maximalen Nutzen aus digitalen Technologien ziehen – selbst wenn der Datenberg weiter wächst. Ob On-Premise-System, Private-, Public- oder Hybrid-Cloud, das Zusammenspiel unterschiedlicher Cloud-Lösungen muss zu den individuellen Anforderungen passen und so sicher wie möglich sein. Dies gilt besonders vor dem Hintergrund des Internet of Things. Denn laut IDG werden bis zum Jahr 2020 bis zu 50 Milliarden Dinge vernetzt sein. Die Zahl der Sensoren – weil technisch möglich und wirtschaftlich bezahlbar – nimmt drastisch zu und damit die Datenmenge sowie der mögliche Wert der Erkenntnisse aus diesen Daten. Nur mit dem richtigen Cloud-Mix können Unternehmen diese Potenziale heben. Und diese Daten gilt es bestmöglich zu schützen.

Wie können Unternehmen ihre Transformation in eine sichere Cloud angehen?

Genau dazu gehören im zweiten Schritt die richtigen Umzugshelfer. IT-Abteilungen von Unternehmen sehen sich einer kaum überschaubaren Vielfalt komplexer Cloud-Lösungen gegenüber. Dazu kommt die Qual der Wahl bei den Anbietern. Kosten sind meist schwer im Voraus zu kalkulieren, weil nach Projektstunden abgerechnet wird. Zudem bindet sich ein Kunde häufig langfristig an einen Dienstleister. Hier lohnt sich, Ausschau zu halten nach Alternativen. Und die gibt es: eine sichere Transformation von Legacy-Applikationen zum Festpreis, auch wenn es hier um hunderte bis tausende von Anwendungen geht, die ineinandergreifen – und darüber hinaus geschäftskritische Prozesse und Infrastrukturen betreffen. Und es gibt auch Outsourcing-Anbieter ohne lange Vertragsbindung, ja sogar mit kurzfristiger Kündigungsfrist. Unternehmen sollten auf IT-Umzugshelfer mit Erfahrung setzen, am besten mit eigenen hochmodernen und zertifizierten Rechenzentren. Auch der deutsche Datenschutz on top sollte dabei in Betracht gezogen werden. Sie sollten einen Dienstleister wählen, der ernsthaft bereit ist, ihrem Unternehmen einen Teil der Planungs- und finanziellen Risiken abzunehmen.

Was kommt, wenn der Umzug erst einmal geschafft ist?

Im nächsten Schritt ist es wichtig, die Cloud zuverlässig zu machen. Denn in der Cloud angekommen, nutzen Kunden deren Vorteile nur dann optimal aus, wenn diese möglichst zuverlässig funktioniert. 100 Prozent Ausfallsicherheit gibt es zwar nicht, aber gute Anbieter offerieren bis zu 99,999 Prozent Verfügbarkeit. Diese ermöglicht ein umfassendes Qualitätsmanagement. Wir setzen dafür seit 2011 auf ein Programm, das auf den Namen Zero Outage hört. Erst Anfang November hat die T-Systems zusammen mit anderen namhaften Unternehmen den Verein „Zero Outage Industry Standard“ gegründet. Dieser soll einen branchenweit einheitlichen Qualitätsstandard definieren und implementieren. Basis von Zero Outage ist ein Drei-Säulen-Modell aus vorbeugen, aufspüren, reagieren.

Was genau hat man sich unter diesen drei Säulen vorzustellen?

Bei der ersten Säule geht es um Prävention: Hierbei identifiziert man geschäftskritische Punkte auf den Ebenen Plattformen, Prozesse und Personal. Schon mit einer konsequent doppelt angelegten Rechenzentrumstechnik lässt sich das Risiko von Ausfällen auf nur wenige Minuten pro Jahr senken. Prozesse müssen klassifiziert, Notfallpläne für unterschiedlichste Szenarien entwickelt werden. Verantwortliche haben dafür zu sorgen, dass das Streben nach größtmöglicher Sicherheit Teil der 

Unternehmenskultur wird, die von jedem Mitarbeiter gelebt wird. Gerade Letzteres ist mit das Wichtigste. Die zweite Säule umfasst Detektion und Alarmbereitschaft: Handlungsfähigkeit im Krisenfall erfordert Übung. Dazu müssen regelmäßig die notwendigen Schritte im Ernstfall bestimmt und geübt werden. Plattformen, Prozesse und Personal bleiben so bestmöglich eingespielt. Zu guter Letzt die dritte Säule Reaktion im Ernstfall: Bei jedem Zwischenfall sorgen rund um die Uhr ein Manager-on-Duty und eine schnelle Eingreiftruppe für die Behebung des Problems, und zwar so lange, bis es gelöst ist – sieben Tage die Woche und 24 Stunden pro Tag. Und unser Qualitätsprogramm zeigt Erfolg: Die Anzahl schwerer Störungen ist um 95 Prozent gesunken, die Kundenzufriedenheit ist vier Jahre in Folge auf neue Bestwerte gestiegen und heute Branchen-Benchmark. Unsere Erfahrung ist, dass erst eine reibungslos funktionierende IT dem CIO den Rücken frei hält, um überhaupt über weitere Innovationen entscheiden zu können.

Zuverlässigkeit allein reicht aber nicht...

Nein, die Cloud muss auch sicher sein. Darum dreht sich der vierte Schritt. Auch im digitalen Zeitalter sind Schutzwälle notwendig, um Daten gegen Angriffe zu schützen. Der klassische Ansatz von Unternehmen, ihre Burgmauern immer höher, breiter und massiver zu bauen, erhöht nicht automatisch das Schutzniveau. Erfolgsversprechender ist es, mehrere unterschiedliche und immer wieder neue Burgmauern einzuziehen und sie so zu versetzen, dass Angriffe plötzlich aufgehalten werden, wo sie bis dato noch „freie Fahrt“ hatten – analog quasi zu den modernsten, hochsicheren Rechenzentren wie unserem in Biere: Stacheldraht, Kameras, Bewegungsmelder, Handflächenscanner und eine Sicherheitszentrale hinter verspiegeltem Panzerglas seien beispielhaft genannt. Um Hacker oder Datendiebe abzuwehren, fließen alle Informationen in einem geschlossenen System durch verschlüsselte IP-VPN-Tunnel, separiert von öffentlichen Netzen. Intrusion-Detection- und -Prevention-Systeme ergänzen die Firewall und analysieren, ob sich Schadcodes in den Datenströmen befinden. Ausschließlich autorisierte Mitarbeiter erhalten Einsicht in die gespeicherten Informationen, die nur nach dem Need-to-know-Prinzip genutzt werden dürfen. Doch da die bekannten Abwehrtechniken wie beispielsweise Firewalls von menschlichen Faktoren abhängen, geht der Trend hin zur Unterstützung der Security durch Künstliche Intelligenz. Modernste Systeme erkennen Anomalien und reagieren intelligent darauf, ohne dass vorab konkrete Regeln definiert werden müssen, wann was zu tun ist.

Wie sieht dann der fünfte Schritt aus, um auch in Zukunft die Digitalisierung zu meistern?

Einfach zusammengefasst: Daten schützen, Mitarbeiter schulen, Bündnisse schließen. Hacker erbeuten Kunden- und Unternehmensdaten mit immer ausgefeilteren Techniken, sind den Unternehmen oft deutlich voraus. Abhilfe schaffen Sicherheitstechnologien, die beim Aufspüren von Schwachstellen helfen. Diese haben dann einen echten Mehrwert, wenn sie sich unkompliziert einsetzen lassen. Am einfachsten ist es, wenn nicht nur die Daten selbst, sondern auch ihr Schutz inklusive Firewalls, Intrusion-Protection-Systemen oder Viren- und Schadcode-Schutz in die Cloud verlagert werden. Das ist verglichen mit anderen Lösungen besonders kostengünstig und effektiv. Im Rahmen eines Cyber Emergency Response Teams können so beispielsweise Informationen geteilt werden. Alle Beteiligten sind bei Angriffen schneller gewarnt. Selbst die besten Sicherheitstechniken können allerdings durch einen Faktor ausgeschaltet werden: den Nutzer. Das simpelste Beispiel ist der Telefonanruf eines vermeintlichen Technikers, der vertrauliche Zugangsdaten abfragt – Stichwort Social Engineering. Hier helfen nur Schulungen und Wissensvermittlung. Darüber hinaus sollten sich Unternehmen Bündnissen für mehr IT-Sicherheit anschließen, beispielsweise um sich gegenseitig zu warnen, bevor Bedrohungen übergreifen oder sich ausbreiten. Hier gibt es bereits erste Best-Practice-Beispiele: DAX-Konzerne zum Beispiel haben sich zum Cyber Security Sharing and Analytics Verein (CSSA) zusammengeschlossen, um sich bei Angriffen gegenseitig zu warnen und gemeinsam Sicherheitsstrategien erarbeiten um bei der Abwehr schneller zu sein.

Können Sie uns einen Ausblick auf die Zukunft der IT-Security in Sachen Digitalisierung geben?

Ohne Sicherheit keine Digitalisierung, ohne Digitalisierung kein Wachstum. Security ist das Sprungbrett der Digitalisierung. Im Zuge dieser nimmt die Automatisierung drastisch zu. Maschinen und Systeme werden in den kommenden Jahren so smart, dass sie in der Lage sind, sich autonom weiterzuentwickeln. Es ist also denkbar, dass sich die Sicherheits-DNA eines Unternehmens kontinuierlich selbst optimiert und an die neuesten Sicherheitsanforderungen und Bedrohungen anpasst. Um diesen Fortschritt nicht zu verpassen, heißt es jetzt: handeln. Sicherheit schaffen mit Tools, die nach dem Plug-’n’-Play-Prinzip funktionieren: Sprich, Security aus der Steckdose. So machen wir Sicherheit einfach, von der Implementierung bis hin zum Betrieb. Es muss uns auf breiter Front gelingen, Sicherheitslösungen zu entwickeln, die kein Kopfzerbrechen bereiten – und vielleicht sogar Spaß machen. Damit sinkt die Hemmschwelle, sich mit nachhaltiger Security auseinanderzusetzen, und Unternehmen haben die Chance, ihre Infrastrukturen und Daten zuverlässig abzusichern. Mit der Erfindung und breiten Nutzbarmachung der Cloud wurde diese Einfachheit schon einmal Wirklichkeit. Nehmen wir uns die Cloud zum Vorbild und schaffen wir eine sichere digitale Zukunft!

„Security Einfach Machen – IT-Sicherheit als Sprungbrett für die Digitalisierung“– mit praxisnahen Beiträgen von Experten aus Wirtschaft, Politik und Gesellschaft. Herausgegeben von Dr. Ferri Abolhassan, Geschäftsführer Service Transformation Telekom Deutschland und verantwortlich für Telekom Security.

ISBN: 978-3-658-14944-4. Erhältlich im Springer-Gabler-Verlag.