IT-Trends-Blog

IT-Trends-Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Informationssicherheit am Scheideweg

Kategorie: Trends des Monats

In meinen Gesprächen mit Unternehmen wird zurzeit immer wieder die „Unmöglichkeit” der Rolle des Chief Security Officers (CSO) diskutiert. In die Vergangenheit war sie klar definiert. Die Aufgabe der „Bad Guys” war, Innovationen so lange zu verhindern, bis sie sich als absolut sicher erwiesen hatten. Unterstützt wurden sie dabei durch ihr allumfassendes Vetorecht der IT-Abteilung gegenüber.

 
Ich möchte zur Entlastung der Kollegen und meiner Person klarstellen, dass ich die Arbeit des CSOs als unverzichtbar und die Ziele als richtig ansehe. Die Frage, die sich viele Strategen und Praktiker stellen, ist eben nur: Wie kann die Rolle des CSOs so angepasst werden, dass er wieder sinnvoll arbeiten kann?

 

Betrachten wir die aktuelle Situation mal aus Sicht des CSOs, der Fachabteilungen und der IT-Abteilung:

Der CSO

Er hat die letzen Jahre damit verbracht, die Informationen und Geräte im Unternehmen soweit wie möglich abzusichern. Dafür hat er Folgendes getan:

  • Die verfügbaren Geräte und Systeme auf eine handhabbare Masse limitiert
  • Regeln und Prozesse für den Umgang mit allen Daten und Geräten definiert und die Dokumentationspflicht eingeführt
  • Prüfprozesse für neue Geräte und Software erarbeitet
Das Ergebnis waren natürlich unzählige Diskussionen mit Nutzern, die ohne Erklärung nicht verstanden, wie sie mit harmlos anmutenden Vorschlägen für die Erleichterung des Arbeitens riesige Löcher in den Sicherheitsschirm ihrer Infrastruktur reißen.

 

Die Fachabteilungen

Sie haben in den letzten Jahren zugeschaut, wie die Möglichkeiten mit IT-Systemen zu arbeiten in der privaten und der geschäftlichen Welt immer weiter auseinanderdrifteten.

Privat scheint fast alles möglich, angefangen mit dem kinderleichten Datenaustausch im Familien- und Freundeskreis über Dropbox, iCloud, Google Docs etc. über leicht buchbare Systeme zum Projektmanagement wie zum Beispiel Projectplace und Planzone bis zu Software für die Erstellung von Charts und Präsentationen.

Es kommt noch schlimmer: Auch Laien wissen inzwischen schon, wie sie ihre Tablets, Smartphones oder Macbooks in ihre Arbeitsumgebung integrieren, und sei es nur über die Weiterleitung von E-Mails und Kalendereinträgen an private GMail- oder GMX-Konten.

Das alles hat dazu geführt, dass sie die CSO-gebremsten IT-Abteilungen nicht mehr als Partner, sondern Verhinderer sehen, an denen man sich vorbeimogelt, wann immer es geht, um wenigstens ein bisschen produktiver zu werden. Was ja auch vom Management erwartet wird. Es ist aber noch schlimmer: das Management untergräbt die Sicherheit des Unternehmens ebenfalls.

Die IT-Abteilungen

Sie sitzen zwischen allen Stühlen und arbeiten dort, wo tagtäglich der Konflikt zwischen CSO und Fachabteilung ausgefochten wird. Sehr gemütlich. Eigentlich sollten die Fachabteilungen Kompromisse vorschlagen, die sicherer oder machbar sind, und der CSO Sicherheitsbarrieren einziehen, die auch funktionieren. Zum Beispiel die Sperrung von YouTube, Skype, Twitter und Facebook. Findige Nutzer wissen aber meistens, wie sie diese Sperren umgehen können.

Darüber hinaus gibt es noch die Anforderung des Managements, dass sich die Kosten für die IT-Sicherheit in Grenzen halten. Rundum abgesicherte Rechner verursachen allerdings einen Wartungsaufwand, der mit schwindelerregenden Kosten verbunden ist, vor allem, wenn einmal nicht alles nach Plan läuft.

Wie kommen wir nun aus der Bredouille wieder raus? Bislang wurde zum Beispiel Folgendes versucht, allerdings mit mehr oder weniger mäßigem Erfolg:

  • Fachabteilungen einbremsen (wie lange soll das noch gutgehen?)
  • Risiken akzeptieren (zum Beispiel die, die noch nicht im Fokus der breiten Masse der Industriespione sind)
  • Neue Systeme einführen, die die Kostensteigerungen des erhöhten Managementaufwandes optimieren (z. B. Mobile Device Management, Scanner, etc.)
Eine Maßnahme wurde bislang noch recht selten ausprobiert: die Herangehensweise des CSOs anzupassen. Aus meiner Sicht agiert er zu sehr wie ein Boxer, Judo wäre vielleicht die bessere Strategie.

 

Aber dazu mehr in meinem nächsten Blogbeitrag. Bis dahin die Frage an Sie: wo haben Sie ähnliche Probleme entdeckt und welche Lösungen haben Sie bereits ausprobiert und mit welchem Erfolg?

Über den Autor

Gerd Stangneth
Gerd Stangneth
Gerd Stangneth ist Experte für Innovationen. Seine persönliche Leidenschaft gilt Verständnis- und Entscheidungsprozessen, um zu ergründen, wie technologische und gesellschaftliche Entwicklungen ineinandergreifen, daraus neue Branchen entstehen und der Zeitgeist beeinflusst wird. Zurzeit interessiert ihn vor allem der Paradigmenwechsel, den die Dynamisierung von Organisationen, Applikationsplattformen und Endgeräten gerade einleitet. Gerd Stangneth leitet das Team Project Innovation bei Capgemini Consulting. Er unterstützt seine Kunden dabei Ihr Geschäft als Erste durch ganzheitliche Integration der neuen Technologien zu transformieren.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.