Wer kennt das Problem nicht: die Anrufe im Helpdesk über nicht-performante Anwendungen häufen sich, die Beschwerden über zu komplexe Anmeldeprotokolle und zu komplexe Passworte sind Alltag, für dringend benötigte Sicherheitsanpassungen an älterer Individual-Software wurde kein Geld zur Verfügung gestellt und dennoch wird vom Vorgesetzten eine Kürzung der Budgets beziehungsweise eine weitere Einsparung erwartet.
Grundsätzlich ist der Gedanke von der IT als Treiber bei Kosten-Einsparungen korrekt und hat sich seit Jahren durch Effizienzsteigerungen und vereinfachte Arbeitsprozesse beweisen können. Problematisch wird es dann – und dieses Phänomen beobachtet man aller Orten – wenn die IT-Budgets an sich stark gekürzt werden. Der stark ausgeprägte Projekt-Charakter in der Organisation vieler IT-(Sicherheits-)Abteilungen hat dazu geführt, dass trotz ITIL und Projektportfolio-Management der strategische Blick für die IT als Ganzes verloren gegangen ist. Eine große Anzahl der Ressourcen fressenden Projekte entsteht in den Fachabteilungen, die einen bestimmten Bedarf nicht durch die vorhandenen Systeme abgedeckt sehen. Da in diesen Projekten jedoch die sogenannten »Business Needs« gut dargestellt werden, sind Budget und Relevanz des Projektes größer und höher bewertet als bei eigentlich dringender benötigten Projekten IT-Infrastruktur.
Zwei Dinge gilt es deshalb in IT-Abteilungen zu ändern: zum einen ist die konkretere Ausrichtung der IT an den Zielen und Bedürfnissen des Unternehmens wichtig ( so genanntes Business Alignment), zum anderen muss die IT auf Basis einer solchen Ausrichtung wieder die Führung bei der Definition strategischer Projekte der Informationstechnik übernehmen muss und aus der Rolle des von außen Getriebenen heraus zu kommen. Betrachtet man dies konkret für Projekte der IT Sicherheit, wird der Bedarf noch viel konkreter: bei den meisten aus den Fachabteilungen heraus generierten Projekten fehlt eine Betrachtung der Sicherheit fast völlig. Oft wird davon ausgegangen, dass die IT-Abteilung schon eine entsprechende Infrastruktur zur Verfügung stellen kann bzw. »sich um das Problem kümmern wird«. Genau diese Einstellung führt jedoch dazu, dass in der IT eben solche Infrastrukturen aufgebaut werden müssten, die Frage der Finanzierung solcher Infrastrukturen jedoch problematisch wird da der konkrete Bezug zum »Business Need« nicht von der IT dargestellt werden kann – ein klassisches Henne-Ei Problem.
Die Bedürfnisse der Fachabteilungen antizipieren
Die erste Herausforderung besteht für den CIO oder IT-Leiter also darin, die Bedürfnisse der Fachabteilungen zu antizipieren. Dies erfordert jedoch eine intensive Beschäftigung mit den eigentlichen wirtschaftlichen Inhalten – dem Unternehmenszweck – was den einen oder anderen eher Technik-orientierten IT-Leiter vor ein größeres Problem stellen mag. Neben der Selbsterkenntnis, dass nicht nur technisches Know-How sondern auch eine gehörige Portion Geschäftssinn zur vollen Ausfüllung der heutigen Anforderungen eines CIO gehören, ist die Investition in eigene Recherchen zu aktuellen Themen der »Business-IT« ein extrem wichtiges Unterfangen. Ob diese nun selbst und persönlich durch aktive Besuche von Veranstaltungen und Lesen von entsprechenden Berichten oder über Delegation an Mitarbeiter erfolgt, soll hier offen bleiben. Es ist auf jeden Fall ausreichend Zeit für diese Aufgaben zu reservieren, sowohl im persönlichen Kalender als auch in den Aufgabenpaketen der Mitarbeiter. Ein entsprechender Austausch über die Erkenntnisse zu Trends und neuen Technologien sollte deshalb im Rahmen eines Team-Meetings angemessenen Raum einnehmen.
Als ein Beispiel für die Anwendung solcher vorausschauender Aktivitäten sei die Sicherheit von Webservices bzw. Service Oriented Architectures genannt. Wer hier von Anfang an den Augenmerk auf eine Enterprise Architektur mit guter Dokumentation und integrierter Sicherheit gelegt hat, steht heute gut da. In vielen Unternehmen ist die »Wundertechnik« SOA jedoch nur ein anderes Übel geworden, da keinerlei strategische Planung und keine Sicherheitsarchitektur für die Installationen aus Fachabteilungen vorgenommen wurde. Hier stehen die Fachleute aus den IT-Abteilungen vor schier unlösbaren Problemen, denn aktive SOAs zu entflechten und Sicherheit nachträglich einzubauen ist eine umfangreiche Aufgabe.
Schlechte Planung ist weit verbreitet
Viele heute genutzte Installationen des Identity & Access Management können ebenfalls als (schlechtes) Beispiel für strategische Planung in der IT gelten. Die technischen Anforderungen der eigentlichen Verwaltung von Identitäten und Zugriffsrechten mögen erfüllt sein, jedoch fehlt zumeist die Integration in die Planung und Steuerung von neuen Entwicklungsprojekten bei den Fachseiten. Hier wird immer noch nach der Methodik des 20. Jahrhunderts entwickelt: Identitäten und Rechte werden lokal in einem Silo verwaltet und müssen mühsam in ein existierendes IAM System integriert werden.
Bei einer strategischen Planung und Weiterentwicklung des IAM-Themas aus Sicht der IT-Abteilung hätten längst strikte Vorgaben für die Verwaltung und Ablösung solcher lokalen Silos und deren absolute Vermeidung bei neuen Projekten erstellt werden müssen. Neuere Technologien wie Federation oder gar das Claims-Based Identity Management können hier helfen, die Belastung der IT und die Probleme mit dezentraler Identitätsverwaltung von vornherein zu minimieren. Eine solche Vorgaben- und Richtlinienkompetenz erfordert jedoch die oben erwähnte Ausrichtung am Business und zudem eine Stellung als aktiver kompetenter Partner der Geschäftsbereiche.
Ein Beispiel für gute strategische Ausrichtung der IT und der Informationssicherheit ist die Schaffung von Transparenz. Auch wenn Ergebnisse initialer Überprüfungen, Risikoanalysen und interner Audits schmerzhafte Ergebnisse zu Tage führen: eine darauf basierende Abschätzung des Business Impact verschiedener Ausfälle, Angriffe und Datenlecks zeigt den jeweiligen Verantwortlichen für Applikationen in Fachabteilungen recht klar, welche Probleme ihre Anwendung im Gesamtkontext macht. Eine weise Vorbereitung solcher Treffen umfasst natürlich die Definition einiger kurzfristig umsetzbarer Gegenmaßnahmen, mit denen man das Gegenüber „auf die rechte Bahn“ lenken kann. Ein solches Leuchtzeichen ist im Prinzip Vorbedingung, da ansonsten die Fachabteilung mit unkoordinierten Schnellschüssen und Punktlösungen ihre Probleme lösen wollen, diese Anstrengungen jedoch kontraproduktiv für die oben erwähnten Ansätze eines zentralen Sicherheitsmanagements wären. Die gleichzeitige Präsentation eines Lösungsansatzes ist also verpflichtend.
Risiken identifizieren und kontrollieren
Neben diesen Detailanstrengungen ist es ratsam, zusammen mit dem CSO eine Strategie zu entwickeln wie die erkannten und bewerteten Risiken durch koordinierte interne Maßnahmen zu kontrollieren sind. Ein erfolgreicher Ansatz ist, die geldlich bewerteten Risiken zu akkumulieren und den „Verursachern“ dieser Risiken deren Bewältigung »abzukaufen« indem man ein entsprechendes Risikomanagement Budget abfordert. Mit dem Erhalt dieses Budgets übernimmt man als vereinte Sicherheits- und IT-Abteilung nicht nur die Governance, also die Überwachung des Risikos, sondern betreibt auf aktiv die Mitigation und die Beseitigung des selben. Somit erarbeitet man sich einen »unabhängigen« Budgettopf, mit dessen Hilfe man die notwendigen Infrastrukturen aufbaut bzw. pflegt die ein Risikomanagement ermöglichen. Über den Umweg eines solchen Budgets können theoretisch auch bislang auf Clients oder User umgelegte Infrastrukturkosten verringert werden, da zum Beispiel der Betrieb eines integriertes IAM und GRC Tools für alle Anwendungen und Systeme bezahlt werden kann.
Weitere wichtige Komponenten eines zukunftsfähigen IT-(Security)-Managements sind dann zum Beispiel ein Application Lifecycle/Maintenance Managements System, in dessen Rahmen die Anforderungen an eine Applikation, deren Umsetzung, die Verbesserungen und Anpassungen im Betrieb und schließlich die Deaktivierung überwacht werden. Vorteil aus Sicht der IT-Sicherheit: notwendige Anpassungen wie zum Beispiel der Übergang von einer alten Java Umgebung auf die aktuelleren Versionen können gesteuert werden und entsprechendes Budget wird planbar. Ein weiteres Infrastruktur-Thema ist dann die generelle Bestrebung eines Schwachstellenmanagements sowohl für die Clients und Server Betriebssysteme (falls dies nicht schon durch ein durchdachtes Asset- und Lizenzmanagement abgedeckt ist) sowie für die installierten Applikationen und Tools. Hier können auf breiter Basis Risiken entdeckt, bewertet und – teils automatisch – minimiert werden. Als notwendige Erweiterung sollte an dieser Stelle die Analyse, Überwachung und Beseitigung von Schwachstellen in den heute so verbreiteten und sehr dynamischen Web-Anwendungen betrachtet werden.
IT-getriebene Innovation umsetzen
Fasst man die Ansätze zusammen, so wird von den IT-Managern der Zukunft im Prinzip eine Übernahme von Verantwortung statt einer einfachen »Leistungserbringung« erwartet. Dies beginnt zunächst natürlich mit eigenen Neuerfindung bzw. der Definition eines neuen Selbstverständnis in der IT und der Informationssicherheit. Es gilt, das Ungleichgewicht zwischen faktisch erbrachter Leistung und Beitrag zum Unternehmenserfolg und daraus resultierender Anerkennung und Akzeptanz zu erreichen. Aus der derzeitigen schwachen Situation der meisten IT-Abteilungen erfordert dies jedoch maßgebliche eigene Anstrengungen und Willen zur Innovation und Neustrukturierung: die erbrachten Leistungen müssen für die Fachabteilungen deutlicher erkennbar werden und der Respekt für und die Anerkennung von diesen Leistungen müssen durch klare Kommunikation der IT-Leitung quasi »eingeworben« werben.
Erst wenn die Fachabteilungen den Beitrag der IT zum Erfolg des Business und den Beitrag der Informations-Sicherheit zum langfristigen und unterbrechungsfreien Betrieb erkennen, kann eine eigenständige und von der IT statt vom Business getriebene Innovation des Unternehmens umgesetzt werden.