Wie sichere ich mein Firmennetz für den Fernzugriff ab?

• Eine gute Sicherheitsstrategie muss zur Unternehmensstrategie passen und an tatsächlichen Sicherheitsproblemen ausgerichtet sein.
• Transparente Lieferketten können das Vertrauen in Anbieter und Produkte stärken.
• Zu hohe Komplexität ist der Feind der Sicherheit.

Mit strategischem Denken und Handeln kennt sich Dr. André Kudra aus, seitdem er digitale Projekte in hessischen Ministerien betreute. Daraus entstand seine Promotion mit dem vielsagenden Titel „Widerstand gegen Veränderung in der öffentlichen Verwaltung“. Heute beschäftigt er sich unter anderem für den Bundesverband IT-Sicherheit, TeleTrusT, mit IT-Sicherheitsstrategien. 

Herr Kudra, wie sind Sie vom BWL-Studium zur IT-Sicherheit gekommen?

IT hat mich schon immer begeistert und daher lag auch im Studium mein Schwerpunkt auf der Wirtschaftsinformatik. Besonders interessiert hat mich E-Government, wodurch ich schließlich im hessischen Finanzministerium landete und Referent des Staatssekretärs, des „Landes-CIO“, wurde. Nach der Promotion bot sich die Möglichkeit zu einem Security-Projekt in der Wirtschaft: Banken hatten nach der Jahrtausendwende mit neuen Regulierungen zu kämpfen, Identity-Management wurde ein großes Thema. Irgendwann kam der Punkt, da hatte ich genug Erfahrungen als Freiberufler gesammelt. Ich stieg beim IT-Beratungshaus esatus als CIO ein. Daraus entstand auch die aktive Mitarbeit bei TeleTrusT. Dort leite ich zwei Gremien, die Arbeitsgruppe Blockchain und den Arbeitskreis Secure Platform.

Was sind für Sie die wichtigsten Kennzeichen einer guten Sicherheitsstrategie?

Eine geeignete Sicherheitsstrategie muss sich immer an den Risiken orientieren, die das Unternehmen für sich identifiziert hat. Die Strategie muss also auf die tatsächlichen Sicherheitsprobleme ausgerichtet sein, die den Betrieb des Unternehmens beeinträchtigen können. Eine gute Strategie muss eine Zielsetzung haben. Außerdem muss sie zur Unternehmensstrategie passen. Wenn staatlich gestützte Angriffe mein Bedrohungspotenzial darstellen, muss klar sein, dass ich niemals so viel Energie in den Schutz investieren kann, wie die Angreiferseite für Attacken aufbringen kann. Ich muss also die Grenze ziehen: Was ist strategisch für mich machbar, und was nicht. Keinesfalls sollte die Strategiefrage auf die IT-Abteilung abgewälzt werden. Die muss sie zwar später umsetzen, aber die Entwicklung der Strategie ist eine Management-Aufgabe.

Woran kann ein Unternehmen erkennen, ob die eigene Strategie Mängel hat?

In der Theorie ist das eine Frage, für die strategisches Benchmarking zum Einsatz kommt. Das ist jedoch nicht leicht umzusetzen. In der Regel orientiert man sich deshalb an Best Practices und vergleicht sich zusätzlich mit seinen Mitbewerbern. Wenn man sich anschaut, wie es vergleichbare Unternehmen handhaben, erkennt man leichter, was vielleicht noch abzudecken wäre. Oftmals wird die Abhängigkeit eines Unternehmens von seinen Daten nicht hinreichend erkannt. Große Unternehmen sind in diesem Punkt aufgrund von Regulationsanforderungen besser aufgestellt, bei kleineren ist das weniger präsent. Die Datenschutz-Grundverordnung (DSGVO) hat allerdings Viele wachgerüttelt. Gegebenenfalls holt man sich für diese Aufgabe einen Berater.

Welche Kernanforderungen müssen Unternehmen bei der Entwicklung einer Sicherheitsstrategie berücksichtigen, um ein geeignetes Ergebnis zu erreichen?

Vom Management müssen entsprechende Ressourcen zur Verfügung gestellt werden. Auch das Management muss sich mit der Thematik auseinandersetzen, dafür muss Zeit eingeplant werden. Außerdem sollten die wesentlichen Stakeholder mit eingebunden werden. Sonst stellt sich im Nachhinein vielleicht heraus, dass das entwickelte Konzept nicht zum Unternehmen passt. Das Schicksal einer Strategie ist dann oft, dass das Strategiepapier in der Schublade landet. Es müssen auch Umsetzungsmaßnahmen bedacht werden. Die sollten mit allen Beteiligten abgestimmt werden, sonst scheitert eine Umsetzung leicht. Die Umsetzung erfordert eigene finanzielle Ressourcen, das muss berücksichtigt werden.

Aus einer neuen Strategie ergeben sich häufig Veränderungen, die Widerstand erzeugen. Wenn man sich darauf vorbereitet, kann man mit den Ängsten der Mitarbeiter besser umgehen. Das Unternehmen muss den Veränderungen auch gewachsen sein, das heißt, es muss klar sein, was man überhaupt leisten kann.

Was sind typische Schwierigkeiten bei der Umsetzung einer Sicherheitsstrategie?

Die Auswahl geeigneter Produkte überfordert Unternehmen oft massiv. Dazu muss zunächst das Problem genau bekannt sein, damit ein passendes Produkt ausgewählt werden kann. Außerdem sind Marktkenntnisse erforderlich, um die Produkte zu vergleichen und Unterschiede zu erkennen. Beim TeleTrusT haben wir uns lange mit dieser Problematik auseinandergesetzt. Der Verband vergibt an interessierte Mitglieder das Vertrauenszeichen „IT Security made in Germany“ (ITSMIG). Es beinhaltet wesentliche Selbstverpflichtungen, etwa, dass es keine Backdoors in Produkten geben darf.

Natürlich kann man sich auch dafür Beratung hereinholen, steht dann aber wieder vor einem Selektionsproblem, denn es ist nicht leicht, einen guten Berater zu finden. Er muss die Branche kennen und sollte das Gleiche vielleicht schon mal in einem vergleichbaren Betrieb gemacht haben. Empfehlungen spielen eine große Rolle. IT-Security ist nicht zuletzt eine Vertrauensfrage.

Gibt es Problembereiche, die bei der Konzeption von Sicherheitsstrategien häufig übersehen werden?

Die strategischen Überlegungen berücksichtigen zumeist nicht, wo die eingekauften Technologien herkommen. Die Corona-Krise rückt die Abhängigkeiten in den Lieferketten deutlich in den Blickpunkt. Daraus kann man auch für IT-Technologien lernen. Denn Unternehmen kaufen im Regelfall Sicherheitsprodukte, die in den USA entwickelt und in Fernost gefertigt wurden. Security-Technologie kommt oft aus Quellen, deren Vertrauenswürdigkeit man nicht so einfach beurteilen kann. Dabei geht es nicht nur um Sicherheitsmängel, die eingesetzte Technologie muss auch hinsichtlich der Verfügbarkeit sicher sein. Vertrauen erfordert Transparenz in der Lieferkette. Kritisch kann das insbesondere für strategische wichtige Komponenten, wie etwa in den Bereichen Cloud oder 5G sein. Ein strategisches Ziel für ein Unternehmen könnte sein, nur Produkte aus der EU einzusetzen beziehungsweise Daten nicht auf Servern außerhalb der EU zu speichern. Unter dem Stichwort „Digitale Souveränität“ hat der TeleTrusT dazu ein Positionspapier entwickelt.

Ein weiterer vernachlässigter Punkt ist die zunehmende Komplexität der Produkte. Wir haben durch technologische Kombinationen viele Möglichkeiten, neue Lösungen zu schaffen, aber Komplexität ist der Feind der Sicherheit. Smartphones zum Beispiel enthalten sehr viel Programmcode, weil viele Software-Bibliotheken eingebunden werden. Davon sind einige für die zu lösenden Aufgaben jedoch gar nicht notwendig, können aber dennoch Sicherheitsprobleme enthalten. Wenn ich Komplexität in Systeme einbaue, die nicht notwendig ist, habe ich mehr Angriffsfläche als nötig. Reduktion der Komplexität bedeutet Reduktion der Angriffsfläche.

Autor: Uwe Sievers