Digitale Transformation und Sicherheit

Ganzheitliche und dynamische Vorgehensweise bei der IT-Security

Kommentar  von Kai Grunwitz
Die Digitale Transformation erfordert ein neues Denken von Prozessen und Strukturen - vereinfacht ausgedrückt: ganzheitlich vernetzt statt isoliert.

Wenn es um die Zukunft geht, will niemand zu spät kommen. Deshalb haben sich die meisten Unternehmen längst daran gemacht, die Digitale Transformation praktisch zu realisieren: Industrie 4.0, Internet der Dinge und Mobility sind dabei die wesentlichen Betätigungsfelder, und sie zeigen, um was es in der Digitalen Transformation vor allem geht: "Digital" meint hier nicht Null und Eins, sondern Vernetzung; Vernetzung aber nicht nur von Prozessen, sondern von ganzen Wertschöpfungsketten - nicht nur in Unternehmen und Konzernen, sondern übergreifend von Herstellern, Lieferanten, Kunden bis hin zu Mitarbeitern und Behörden.

Diese übergreifende Vernetzung ist ein inhärentes Element der Digitalen Transformation - fehlt sie, handelt es sich auch nicht um Digitale Transformation. Und das verweist auf einen Konflikt: Vernetzung bedeutet nicht nur großartige neue Möglichkeiten, nicht nur neue Geschäftsfelder oder neue Märkte, sondern auch ganz neue Risiken. Anders formuliert: die vielfältigen Möglichkeiten bieten sich leider nicht nur den "Guten". Je weiter die Vernetzung vorangetrieben wird, je mehr Funktionen, je mehr Beteiligte einbezogen werden, desto mehr Angriffsvektoren entstehen. Weil die nicht so Guten bei der Digitalen Transformation eben auch mitmachen.

Im Grunde bedeutet die Digitale Transformation ja ein neues Denken von Prozessen und Strukturen.
Foto: chombosan - shutterstock.com

Im Grunde bedeutet die Digitale Transformation ja ein neues Denken von Prozessen und Strukturen - vereinfacht: ganzheitlich vernetzt statt isoliert. Dementsprechend ist aber auch ein neues Denken in Sachen Sicherheit unverzichtbar. Zwei Aspekte sind dabei wichtig.

Gründliche Absicherung ist essentiell

Die Digitale Transformation ist für viele Unternehmen eine große und komplexe Herausforderung. Sie haben daher genug zu tun, um die funktionalen Anforderungen zu bewältigen, sie müssen neue Prozesse aufsetzen, müssen vielleicht sogar neue Geschäftsmodelle definieren und sehen sich neuen Mitbewerbern gegenüber. Sicherheit ist da nur ein untergeordnetes Thema; Security-relevante Entscheidungen werden in der Regel erst dann getroffen, wenn alles andere in trockenen Tüchern ist. Sicherheit wird zugefügt, wenn noch Zeit und Mittel übrig sind.

Lesetipp: Kunden vernachlässigen IT-Sicherheit

Eine zuverlässige Absicherung der Digitalen Transformation ist allerdings nur gewährleistet, wenn die Sicherheitsaspekte von Anfang an berücksichtigt werden, und Unternehmen dafür auch ein entsprechendes Budget einkalkulieren. Eine nachträgliche Integration von Sicherheitsfeatures in eine fertige Prozess-Struktur ist entweder überhaupt nicht oder nur sehr schwer möglich. Eine verspätete Identifizierung von Schwachstellen und Sicherheitslücken - womöglich erst nach dem ersten Schaden - mit anschließenden Softwarekorrekturen und Fehlerbehebungen ist mit einem unverhältnismäßig hohen Zeit- und Kostenaufwand verbunden. Sicherheit muss daher von Anfang an mitgedacht werden - denn die anderen, die Nicht-so-Guten, denken von Anfang an an nichts anderes.

Infrastruktur-getriebene Lösungen reichen nicht aus

Wichtig ist aber auch, auf welcher Ebene die Sicherheit ansetzt. Traditionell kümmerte sich IT-Security um den Schutz von Infrastrukturen und von Systemen. In der Ära der Digitalen Transformation reicht das nicht aus - wo fängt in einer komplexen Wertschöpfungskette eine Infrastruktur an? Rein Infrastruktur-getriebene Lösungen reichen nicht mehr aus, denn sie können die Elemente einer Wertschöpfungskette, und das sind vor allem die Daten, nicht zuverlässig sichern.

Der Fokus der IT-Security muss sich daher von Netzwerken oder Geräten auf Daten, Datensätze oder Anwendungen verschieben. Es müssen die kleinstmöglichen kritischen Einheiten geschützt werden, und das dann über eine komplette Wertschöpfungskette hinweg, beispielsweise durch konsequente Verschlüsselung. Nur mit diesem dynamischen Ansatz kann Sicherheit auch in der Digitalen Transformation gewährleistet werden. Und nur so wird die Digitale Transformation zuverlässig funktionieren.

Lesetipp: Security by Design als Lösung