Die neue Rolle des CIOs

"Kriminelle, Staaten und Mitbewerber sind hinter unseren Daten her"

16.05.2014 von Wieland Alge
Zur Eröffnung der Barracuda EMEA-Conference in München gab einen bemerkenswerten Vortrag. Es ging um die sich verschärfende IT-Sicherheitslage, und um die damit veränderten Aufgaben des CIOs.

Barracuda Networks präsentiert sich zu seiner diesjährigen EMEA-Conference grundlegend verändert. Nach dem erfolgreichen Börsengang Ende 2013 profitiert der Anbieter von Cloud-vernetzten Security- und Storage-Lösungen von der allgemeinen Aufmerksamkeit: Anwender und Wirtschaft sind durch sie sensibel für Fragen der Sicherheit von Daten und IT-Infrastrukturen. Wieland Alge prognostiziert nun umwälzende Veränderungen in der Art, wie IT in Unternehmen organisiert und welche Rolle sie spielen wird. Diesen Paradigmenwechsel fasst er in seiner Eröffnungsrede der Konferenz zusammen.

"Die gute Nachricht zuerst: Die IT-Security muss nicht mehr entscheiden, wo sie die Grenze zwischen Vertrauen und Misstrauen zieht. Sie muss Allem und Jedem misstrauen. Nichts und niemand darf unkontrolliert auf Daten zugreifen. Jede Applikation und jede Hardware kann gehackt sein, jeder Anwender surft auf unsicheren Seiten oder teilt sensible Daten schnell mal per File-Sharing-Dienst. So ist das potenzielle Szenario.

Wir wissen heute besser denn je, dass Kriminelle, Staaten und Mitbewerber hinter unseren Daten her sind. Auf dem Spiel steht nicht mehr und nicht weniger als der Bestand unserer Unternehmen. Wenn unsere IT in Folge einer Attacke längerfristig ausfiele, wäre die Insolvenz nicht weit. Kollektives Misstrauen ist kein Zeichen von Paranoia mehr, sondern ein Leitmotiv der IT. Das Gebot der Stunde heißt: Wir bauen Zero Trust Environments.

Es beschreibt die neue Strategie, sensible Daten zu schützen und das Unternehmen am Laufen zu halten. Ihre Umsetzung erfordert jedoch ein grundlegendes Umdenken beim CIO - bis hin zu seiner Verwandlung.

Forderung Nummer 1: Vertraue Keinem. Weder dem Kühlschrank noch den Mitararbeitern

Historisch orientierte sich die IT-Security an der Schildkröte. Ein undurchdringlicher Panzer schützt vor Angriffen, die nötigen Öffnungen zur Außenwelt sind klein genug, um geschützt zu sein. In den 2000er Jahren bekam unsere reptilienhafte Security aber Probleme: Die Frequenz der Angriffe stieg exponentiell, sie wurden gezielter, die Zahl der verwendeten Komponenten wurde unübersichtlich und spätestens mit der Erfindung des iPhones fingen die User an, aktiv Löcher von innen in den Panzer zu bohren. Wenn ihm eine Firewall oder eine interne Richtline im Weg stand, suchten sie kreative Wege, diese zu umgehen. Ein Verhalten, das kein IT-Verantwortlicher in den Griff kriegt.

Dr. Wieland Alge, General Manager EMEA bei Barracuda Networks "Der CIO von Morgen ist ein anderer."
Foto: Barracuda Networks

Mit dem Trend zum Internet der Dinge weitet sich das Problem auf die Hardware aus. Wo alles vernetzt ist, kann jedes Gerät der Kanal sein, auf dem Angreifer in die Organisation eindringen, sie bestehlen oder korrumpieren. Damit ist das Grundgerüst des Zero Trust Environment klar: Die kritischen Infrastrukturen werden durch zusätzliche, intelligente Sicherheitsschleusen vor anderen IT-Komponenten und den Anwendern geschützt. Jede Anfrage wird kontrolliert, jedes verdächtige Verhalten verhindert und untersucht. Das übernehmen Application Delivery Controllern (ADC). Web Application Firewalls (WAF) schützen die sensiblen Applikationen in der Kommunikation mit der Außenwelt, Next Generation Firewalls (NGF) und dedizierte Content Security Gateways schützen die Gesamtheit des Unternehmens.

Forderung Nummer 2: Es gibt Produkte von der Stange, aber keine Architekturen

Die logische Anlage der Architektur ist noch sehr einfach: drei Bereiche, drei Sicherheitsmechanismen. Doch die Umsetzung in eine physikalische Architektur ist alles andere als simpel. Jeder Standort, jeder externe Anwender im Home Office oder unterwegs erfordert eine eigene Sicherheitsstruktur. Die Cloud als zentrales Element fast jeder IT-Infrastruktur ist ein weiterer Faktor, der die Lage noch komplizierter macht. Sie muss in ausreichender Qualität an das Unternehmen angebunden sein.

Firewall, WAF und ADC bekommen ganz neue Aufgaben. Sie sorgen nicht nur wie ein Grenzschutzbeamter für Sicherheit, sondern lenken und optimieren die Datenströme wie ein Verkehrspolizist. Weil aber jedes Unternehmen einzigartig ist, unterscheidet sich die physische Implementierung der simplen Zero-Trust-Logik grundlegend. Kurz: Es gibt keine Infrastruktur von der Stange mehr. Jeder CIO muss die Bedürfnisse seines Unternehmens individuell analysieren und in seinem Konzept von Hardware, Links und Traffic-Regeln umsetzen.

Forderung Nummer 3: Ein fester IT-Budgetposten für den Umtrunk mit Kollegen

Politiker in Europa fordern, zehn Prozent des IT-Budgets in Sicherheit zu investieren. Das freut uns als Security-Anbieter zwar, ist aber der falsche Weg. Es ist ein insularer Ansatz, ein veraltetes Verständnis der IT. Für den Analysten IDC sind moderne Architekturen jetzt auf der so genannten "Dritten Plattform" angekommen. Hier dominieren nicht mehr Mainframes wie auf der ersten Stufe, und nicht mehr Client-Server-Konzepte, wie auf der zweiten Plattform. Heute dominiert das jeweils individuelle Geschäftsmodell der Organisation. Das ist völlig losgelöst von den physischen und technischen Kategorien.

Die Elemente dieser Plattform sind Cloud, Datenanalyse, Social Business und mobiler Zugriff. Vor allem aber sind branchen- und unternehmensspezifische Ansätze wichtig, die sich völlig an den Business-Anforderungen orientieren. Dies bedeutet das Ende der IT-Abteilung als Team isolierter Experten - und damit das Ende des CIO, wie wir ihn kennen.

Der IT-Mitarbeiter von morgen wird einen Großteil seiner Zeit mit den Fachabteilungen der Organisation verbringen, also Controlling, Einkauf, Vertrieb, Kundenservice und Marketing. Er wird von Anfang an in Projekte eingebunden und Verantwortung dafür tragen, dass die IT leistet, was das Business braucht. Am Ende verschwindet die IT-Abteilung, geht in anderen Abteilungen auf, und der CIO von Morgen ist ein anderer. Ausgangspunkt all seiner Überlegungen ist die Frage, was seiner Organisation hilft, erfolgreicher im Wettbewerb zu bestehen. Er lernt, unternehmerisch zu denken.

Entscheidend ist dabei die Kommunikation zwischen den IT-Fachleuten und dem Rest des Unternehmens. Erstere müssen besser verstehen, was ihre Kollegen brauchen. Dafür gibt es keinen besseren Weg als Networking und ein gemeinsames Bier nach Feierabend. Es wird so wichtig, dass es mit einem festen Budgetposten in jedem IT-Haushalt vorkommen sollte. Das ist sinnvoller als die Forderung der Politik.

Forderung Nummer 4: Der CIO muss die Zügel in der Hand halten

Die beiden oben erwähnten Paradigmen - Zero Trust und die Dritte Plattform - erfordern vom CIO eine eigenartige Art von Führung. Zum einen muss er die Zügel in der Hand halten, um zu verhindern, dass IT-Wildwuchs und die alltägliche Sabotage durch die Mitarbeiter sein IT-Reich unkontrollierbar machen.

Die fünf Security-Gebote der Moderne -
Jeder weiß selbst am besten, welche Gefahren konkret drohen
Oft wird über Gefahren gesprochen, als wären sie universell. Das ist in Ordnung, wenn es um weltweite Trends geht, eignet sich aber nicht, um auf konkrete Unternehmen einzugehen. Unternehmensgröße, Branche und der Wert, den Informationen für das Unternehmen haben, sind nur einige der Faktoren, die etwas über etwaige Gefährdungen aussagen. Die internen Sicherheitsverantwortlichen wissen am besten, welche Angriffe am wahrscheinlichsten sind und sollten ihrer Expertise trauen, anstatt sich ausschließlich auf den Anti-Malware-Anbieter zu verlassen.
Sicherheit und Big Data sind direkt vernetzt
Lange haben Sicherheitsanbieter geflissentlich Daten über Angriffe gesammelt, analysiert und entsprechende Verteidigungsmechanismen entwickelt. Während sich die Vorgehensweise als solche nicht sehr geändert hat, ist die Datenmenge exorbitant angestiegen – jedes Jahr werden Millionen neue Gefahren entdeckt, gegen die sich Unternehmen tagtäglich schützen müssen. Gleichzeitig sind die meisten davon sehr kurzlebig, so dass die erste Entdeckung oftmals auch gleich das letzte Mal ist, dass sie gesehen werden. Ein Ende dieses Datenwachstums ist nicht in Sicht.
Das Zusammenspiel von Systemen ist Pflicht
Neue Gefahren werden mit neuen Technologien bekämpft – die sehr oft nur unabhängig von anderen funktionieren und nicht kompatibel sind. Erkennt also eine Technologie eine Gefahr, dann wird sie blockiert – allerdings nur auf Systemen, die diese Technologie nutzen. So gehen sehr viele Kontextinformationen verloren, die gerade in Zeiten komplexer Sicherheitsbedrohungen wichtig für einen möglichst umfassenden Schutz sind. Collaboration ist demnach Pflicht, integrierte Systeme sind erfolgreicher als unabhängige.
Aus dem einen Endpunkt sind viele Endpunkte geworden
Traditionelle Anbieter von Anti-Malware-Lösungen haben sich oft auf „den einen Endpunkt“ konzentriert. Im Kampf gegen Advanced Malware werden allerdings ganzheitlichere Konzepte gebraucht. Angriffsziele sind über das gesamte Unternehmen verstreut – denn was hilft es, wenn klar ist, welcher Endpunkt angegriffen wird, aber nicht, welche Auswirkungen das auf andere Komponenten hat? Sicherheitsverantwortliche brauchen eine umfassendere Perspektive, um effektiv gegen Advanced Malware vorzugehen.
Es reicht nicht mehr, Angriffe nur zu entdecken
Häufig haben die Sicherheitsverantwortlichen keinen ausreichenden Überblick über aktuelle Angriffe. Zudem fällt es ihnen oft schwer, die Kontrolle über die Systeme nach einer Attacke zurückzugewinnen. Obwohl es wohl nie eine 100-prozentige Absicherung geben wird, sollten Unternehmen und Anbieter dennoch kontinuierlich in die Entwicklung neuer Technologien investieren – und zwar nicht nur, um Gefahren schnell zu entdecken, sondern auch, um sie zu bekämpfen, zu analysieren und zu kontrollieren. <br /><br /><em>(Tipps zusammengestellt von Volker Marschner, Security Consultant bei Sourcefire/Cisco)</em>

Unterbindet er die Abteilungs-zentrierte IT aber strikt, werden die Mitarbeiter ihn umgehen. Der CIO muss sich also in ihre Bedürfnisse einfühlen, den Mut aufbringen, extravagante Forderungen abzulehnen und kreative Kompromisse finden. Vor allem muss er skeptisch hinterfragen, ob und wo einmal getroffene Entscheidungen von der Wirklichkeit untergraben wurden.

Wenn diese Job-Description mehr an das Berufsbild eines Politikers erinnert, dann ist das vielleicht ein Zeichen dafür, dass die Große Koalition nicht nur ihre IT-Forderungen überdenken sollte, sondern ihre eigene Zusammensetzung. Es gibt kein besseres Training für ein öffentliches Amt als das des CIOs der Zukunft." (rw)

Zum Video: "Kriminelle, Staaten und Mitbewerber sind hinter unseren Daten her"