Können IT-Sicherheitslösungen wirklich agil sein? Und kann der Zielkonflikt zwischen Benutzerfreundlichkeit und Angreifer-Schutz zuverlässig gelöst werden? Unser Security-Experte Roman Hugelshofer weiß Rat. Seine Antwort: Ja, das ist möglich – und so nötig wie nie zuvor.
Aus Ihrer Sicht als Security-Experte – was sind neben den allgemein bekannten Sicherheitsthemen die grossen Herausforderungen, mit denen Unternehmen heute konfrontiert sind?
Die gute Nachricht vorweg: IT-Security-Themen sind heute auf Geschäftsleitungsebene angekommen. Viele Unternehmen haben in den letzten Jahren spezialisierte Stellen und Abteilungen geschaffen, die oft direkt an die Geschäftsleitung rapportieren. Es gibt aber ein Schlagwort, das IT-Verantwortliche umtreibt – heute mehr denn je: Agilität. Unternehmen müssen heute schneller auf neue Anforderungen reagieren, sei es wegen neuer Bedrohungen oder auch wegen neuer Business-Initiativen. Wie schnell dieses Reagieren manchmal sein muss, hat sich gerade in den letzten Monaten gezeigt.
Sie sprechen die Corona-Pandemie an, die der Digitalisierung einen neuen Schub verliehen hat?
Ja, Covid-19 hat etwas beschleunigt, das die Unternehmen schon seit Längerem umtreibt: Die digitale Transformation. Was sich dabei besonders gezeigt hat, ist die Tiefe dieser Transformation. Denn während des Lockdowns ging es ja nicht nur darum, sich über Videoplattformen auszutauschen. Vielmehr war ein neues Arbeiten in verteilten Teams und die Möglichkeit zu Homeoffice gefragt. Deshalb wurden auch grundsätzliche Aspekte der IT-Infrastruktur tangiert, besonders hinsichtlich der Sicherheit.
Können Sie ein konkretes Beispiel nennen?
Viele unsere Kunden sind im Finanz- oder Versicherungsumfeld tätig – also in einem Bereich, in dem Sicherheit und Compliance-Standards sehr wichtig sind. Wenn die Mitarbeitenden einer Privatbank nun im Homeoffice arbeiten, dann sollten sie sich Kundendaten nicht einfach per WhatsApp zusenden. Dafür braucht es sichere und zuverlässige Tools, sodass die Angestellten jederzeit auf ihren Arbeitsplatz zugreifen können – sicher und vor externen Angriffen geschützt.
Die moderne IT-Security sollte ein Enabler der Digitalisierung sein.
Roman Hugelsdorfer, Managing Director Application Security
Das klingt spannend, denn Sie deuten hier neue Möglichkeiten der virtuellen Kollaboration an.
Sie sind nicht gänzlich neu, aber oft waren z.B. VPN’s (Virtuelle private Netzwerke) zu wenig gut abgesichert, insbesondere was die Authentisierung betrifft. Das Grundproblem ist, dass sich nicht nur die Mitarbeitenden über Homeoffice freuen, sondern natürlich auch Hacker - ein Problem, das noch immer unterschätzt wird.
Können Sie diese Herausforderung mit Zahlen belegen?
62 Prozent der Firmen haben Bedenken bezüglich Applikationssicherheit und bei 43% kam es bereits zu erfolgreichen Angriffen auf ihre Applikationen. Zudem zeigt die Cybersecurity Studie 2020 von Ergon Informatik AG und IDG Research deutlich: 86 Prozent der Unternehmen sind von Cyber-Angriffen betroffen und bei über 50% der Firmen führen diese Attacken zu wirtschaftlichen Schäden. Dabei muss man sich bewusst sein, was wirtschaftliche Schäden heute bedeuten können – Stichwort Internet-of-Things (IoT) und der mögliche Eingriff in ganze Produktionsprozesse. Oder der Diebstahl von personenbezogenen Daten, der nicht nur für die Finanzbranche, sondern auch für Versicherungen, den Health-Care-Bereich, die öffentliche Hand und weitere datengetriebene Branchen ein grosses Risiko darstellt.
Cyber Security Studie
Alle Studienergebnisse, weiterführende Auswertungen und spannende Insights können Sie in der ausführlichen Version der Studie nachlesen.
Es erwartet Sie zudem ein Interview mit Roman Hugelsdorfer, Managing Director Application Security bei der Ergon Informatik AG, zum Thema 'Integrierte Lösungen statt Spot Solutions'.
Jetzt gibt es ja eine wahre Digitalisierungs- Euphorie. Ist die IT-Security also die Spassbremse, die nur die Risiken sieht, aber kaum die Chancen?
Wir sind vor allem die, die mit beiden Augen sehen und nicht unter einer partiellen Blindheit leiden (lacht). Doch im Ernst: Die moderne IT-Security sollte ein Enabler der Digitalisierung sein. Mit einem gewissen Stolz kann ich sagen – mit unseren Lösungen haben wir es bei vielen unserer Kunden geschafft, diesen Sta- tus einzunehmen.
Das müssen Sie kurz erläutern.
Nehmen wir zum Beispiel den Zahlungsverkehr: Heute sind wir es gewohnt, Bankgeschäfte online zu erledigen. Doch bevor man das macht, muss man einen Sicherheits-Check durchlaufen und sich authentisieren – am liebsten passwortlos über Fingerprint, Gesichtserkennung oder sogar ganz ohne physischen Kontakt. Für den User läuft dieser Prozess fast schon unbewusst ab. Und genau dieses nahtlose und dennoch sichere Kundenerlebnis wird heute gefordert.
Der moderne Kunde ist also verwöhnt?
Er ist eher digital affin und erwartet unkomplizierte Prozesse. Zum einen, weil vorgelagerte, integrierte Security-Systeme die User-Experience ermöglichen, die die Digital Natives nun mal gewohnt sind. Zum anderen, weil sich in den letzten Jahren das Bild der IT-Sicherheit grundlegend gewandelt hat.
Inwiefern?
Früher hat man sich die IT-Security als einen grimmigen Burgwächter vorgestellt, der alle Neuankömmlinge mit bösen Blicken beäugt und am liebsten verjagen würde. Doch heute? Heute sind wir der Concierge am Welcome-Desk – immer auf eine optimale Sicherheit bedacht, dabei aber stets freundlich und sehr zuvorkommend. Für dieses Verhalten gibt es gute Gründe.
Welche Gründe sind das?
Vor allem die Erwartung der Kunden. Dazu muss man sich vor Augen führen, dass die Digital Natives bereits heute die Mehrheit der Schweizer Bevölkerung ausmachen. Sie haben in puncto Geschwindigkeit, Verfügbarkeit von Services und einer intuitiv verständlichen User Führung ganz andere Erwartungen als die Digital Immigrants. Das Spannende dabei: Diese Erwartungshaltung betrifft nicht nur den Consumer-, sondern auch den Business-Bereich.
Heisst das, auch im Business müssen Sicherheitsprozesse mit Gamification-Elementen auftrumpfen?
Soweit würde ich nicht gehen. Aber lassen Sie mich zwei konkrete Beispiele machen: Bei einem Finanzinstitut, das auf Remote-Work umstellt, ist nicht nur der sichere Zugriff auf Daten wichtig, sondern auch, wie die Mitarbeitenden mit der virtuellen Plattform interagieren können. Bis vor kurzem war das oft nur über Passwort und Hardware-Token möglich. Das ist mühsam, fehleranfällig und teuer. Doch wenn neu eine nahtlose Authentisierung möglich ist – mit Single Sign-On und über eine passwortlose Zweifaktor-Authentifizierung – dann ist das nicht nur bequem, sondern auch sehr sicher.
Und das andere Beispiel?
Nehmen wir einen anderen Kunden von uns, der im Industriesektor tätig ist – weltweit und mit mehreren tausend Mitarbeitenden. Dieses Technologieunternehmen bietet einen digitalen Zugriff auf Instandhaltungsservices an, also «Predictive Maintenance» mit Cloud-Anbindung und IoT-Infrastruktur. Was hier bei Angriffen auf dem Spiel steht, ist klar: noch nicht eingereichte Patente, Geschäftsgeheimnisse und wichtige Projektinformationen, also die Kronjuwelen eines Unternehmens. Dennoch soll die Kundenplattform einen einfachen Zugriff ermöglichen, sowohl in Brüttisellen als auch in Boston und Bangkok. Auf den ersten Blick sehen wir also einen klassischen Zielkonflikt zwischen Sicherheit und Benutzerfreundlichkeit.
Und wie löst man diesen Konflikt?
Mit vorgelagerten Sicherheitslösungen. Denn trotz immer komplexer werdenden IT-Architekturen ist damit nicht nur eine durchgängige User Experience möglich, sondern auch eine hohe Kosteneffizienz und ein schnelles Time-to-Market für neue Business-Services
Die Herausforderung ist also, beide Welten sinnvoll zu verknüpfen.
Roman Hugelsdorfer, Managing Director Application Security
Vorgelagerte Lösungen klingen überzeugend. Doch mit welchen Herausforderungen müssen Unternehmen bei der Umsetzung rechnen?
Viele IT-Systeme basieren auf einem monolithischen Aufbau mit grossen Applikationen, die zwar sehr mächtig, aber auch sehr schwerfällig sind. Darum sind in den letzten Jahren vermehrt Microservices aufgekommen, bei denen die meist komplexe Anwendungssoftware aus un- abhängigen Prozessen komponiert wird. Die grosse Herausforderung ist, dass die «alte» Welt der monolithischen Applikationen noch immer präsent ist – und das wird in den nächsten Jahren auch so bleiben. Schliesslich haben sich die bestehenden Systeme bewährt und waren mit grossen Investitionen verbunden. Die Herausforderung ist also, beide Welten sinnvoll zu verknüpfen: Die alte Welt der grossen, schweren Silos. Und die neue Welt mit ihren kurzen DevOps-Zyklen, agilen Innovationsprozessen und einer schnellen Time-to-Market.
Gibt es noch weitere Argumente, die für eine integrierte Gesamtlösung sprechen?
Ja natürlich – von einfachen Registrierungsprozessen über ein erleichtertes, zentrales Compliance-Management bis hin zu schnellen Entwicklungsprozessen für das Business Development. Aber einen Punkt möchte ich noch besonders erwähnen.
Welchen denn?
Unternehmen werden immer weniger im Alleingang erfolgreich sein können. Eine vernetzte Welt hat zur Folge, dass wir auch bei der Digitalisierung in vernetzten Ökosystemen denken müssen. Die Konsequenz: Die Fähigkeit, Services von Drittanbietern einzubinden, wird künftig ein entscheidender Erfolgsfaktor sein. Deshalb ist eine nahtlose Integrationsfähigkeit unabdingbar – gerade in puncto Sicherheit. Und hier schliesst sich der Kreis: genau deswegen lohnt sich eine vorgelagerte IT-Security-Lösung.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.