In der schnelllebigen digitalen Welt ist die Business-Transformation – also die umfassende Veränderung von Geschäftsmodellen, Prozessen und Technologien – zu einem integralen Bestandteil der Unternehmensentwicklung geworden. Was oft als Notwendigkeit für Wachstum und Wettbewerbsfähigkeit angesehen wird, birgt jedoch auch eine Kehrseite: Sie verändert das Cybersicherheitsgefüge grundlegend und schafft neue, komplexe Herausforderungen. [...]
Anschaffung und Bereitstellung von Technologien – insbesondere von spezialisierten Geschäftsanwendungen wie HR-Systemen (zum Beispiel für Mitarbeiterdaten), Finanz-Tools (etwa elektronische Dokumentensignaturlösungen für die Buchhaltung), Logistik- oder F&E-Plattformen – verlagern sich zunehmend von zentralisierten IT-Funktionen hin zu einzelnen Mitarbeitern oder Geschäftsbereichen: Eine wachsende Zahl von Mitarbeitern ist mittlerweile häufiger dazu befähigt, abteilungsbezogene Technologien und Fachanwendungen selbstständig anzupassen, zu erstellen oder zu erwerben. Dies hat zur Folge, dass das Volumen und die Komplexität der in vereinzelten Bereichen getroffenen Risikoentscheidungen inzwischen die der zentralen IT- und Cybersicherheitsgruppen übertreffen. Diese Dezentralisierung der Kompetenzen geht einher mit dem alltäglichen Verschwimmen der Grenzen des Unternehmensperimeters durch die Einführung agiler Arbeitsmethoden, der verstärkten Nutzung von Cloud-Diensten, der Digitalisierung von Lieferketten und der zunehmenden Vernetzung von IoT-Geräten.
Diese tiefgreifenden Umwälzungen in der Geschäftswelt erfordern eine grundlegende Anpassung des Cybersicherheitsmanagements, denn konventionelle Sicherheitsansätze, die auf statischen, perimeterbasierten Verteidigungslinien beruhten, sind in diesem Szenario eindeutig nicht mehr ausreichend, um digitale Assets umfassend zu schützen. CISOs stehen also vor einer Flut von Cyberrisiken, die exponentiell wachsen: Es wird für Cybersicherheitsverantwortliche zunehmend unmöglich, jedes einzelne unternehmens- und abteilungsbezogene Risiko zu identifizieren, geschweige denn zu überprüfen. Selbst dieser Verlust an Kontrolle und Sichtbarkeit führt zu inakzeptablen Gefahren.
Strategische Gegenmaßnahmen
Um dieser nicht begrüssenswerten Entwicklung entgegenzuwirken, sind strategische Gegenmaßnahmen erforderlich. Die Rückkehr zu einer Zentralisierung der Risiko-Governance bietet einen deutlich informierteren und skalierbareren Ansatz. Sie setzt auf eine flexible, zentralisierte Richtlinienvorgabe, um die lokale Entscheidungsfindung optimal zu unterstützen. Um dies zu realisieren, sollten dedizierte Ausschüsse oder umfassende Governance-, Risiko- und Compliance-Teams etabliert werden. Deren Aufgabe ist es, Richtlinien und Prozesse festzulegen, die es den jeweiligen Risikoverantwortlichen in den Fachbereichen ermöglichen, fundierte Entscheidungen basierend auf gemeinsamen Kriterien zu treffen.
In diesem Zusammenhang lassen sich mehrere Schlüsselfaktoren für eine robuste Cybersicherheit in Zeiten der Business-Transformation identifizieren, die neue Governance-Aspekte berücksichtigen. Diese begleiten Cybersicherheitsverantwortliche bei der anspruchsvollen Gratwanderung, um steigende Anforderungen an höhere Projektvolumina, schnellere Bearbeitungszeiten sowie größere Flexibilität und Anpassung zu erfüllen, während sie gleichzeitig Einschränkungen durch begrenzte Ressourcen überwinden müssen.
Ganzheitliche Risikobewertung mit dezentraler Verantwortung
Ein erster Schlüsselfaktor ist eine ganzheitliche Risikobewertung mit dezentraler Verantwortung. Unternehmen sollten ihre Risikoprofile kontinuierlich aktualisieren und alle neuen Geschäftsprozesse sowie Technologien auf potenzielle Schwachstellen prüfen. Hierbei sollte die Verantwortung für die Risikobewertung und -entscheidung verstärkt an die lokalen Teams delegiert werden, die Technologien oder Fachanwendungen aktiv nutzen oder entwickeln – unterstützt durch zentrale Richtlinien.
Effizienz wird zudem durch Automatisierung und Orchestrierung erzielt. Automatisierungstools können zur Rationalisierung von Sicherheitsvorgängen und zur schnelleren Erkennung von Bedrohungen genutzt werden. Dies entlastet die begrenzten Ressourcen des zentralen Sicherheitsteams und ermöglicht eine schnellere Reaktion auf Risiken, die am Rande des Unternehmens entstehen. Zusammen mit einer strikten Zugriffsverwaltung und Netzsegmentierung nach dem Zero-Trust-Leitprinzip ermöglicht ein solcher Ansatz dezentralen Teams, innovative Lösungen zu implementieren, ohne die Gesamtsicherheit zu gefährden.
Sensibilisierung und Schulung der Mitarbeiter
Dabei spielen Sensibilisierung und Schulung der Mitarbeiter eine bedeutsame Rolle als grundlegende Wegbereiter dezentralisierter Entscheidungsfindung. Kontinuierliche Schulungen sind notwendig, um das Bewusstsein für Cyberbedrohungen zu schärfen und die Mitarbeiter zu einer starken ersten Verteidigungslinie zu machen. Dies ist besonders wichtig, damit an dezentrale Technologie-Akquisitionen beteiligtes Personal fundierte Urteile fällen kann. Dennoch sind eine kontinuierliche Überwachung und Reaktion mit zentraler Übersicht unerlässlich, um auf Sicherheitsvorfälle effektiv und schnell reagieren zu können. Die zentrale Governance muss hierbei auf eine aggregierte Sicht auf die Bedrohungslandschaft zurückgreifen können, selbst wenn lokale Teams erste Reaktionsmaßnahmen ergreifen.
Schließlich sind Priorisierung und Integration der Governance entscheidend. Angesichts knapper Ressourcen müssen Cybersicherheitsverantwortliche effektive Priorisierungsstrategien entwickeln, um die Umsetzung von Projekten innerhalb eines Jahres zu gewährleisten. Intelligente Taktiken zur Integration der Governance in die Projektplanung sind entscheidend. Sie stellen sicher, dass die dezentrale Einführung von neuen Technologien nicht zu einer unkontrollierbaren Risikoumgebung führt, sondern vielmehr durch eine flexible, aber dennoch stringente Governance geleitet wird.
Fazit
Zusammenfassend lässt sich festhalten: Die Business-Transformation ist ein fortlaufender Prozess, der sowohl Chancen als auch Risiken birgt. Für eine erfolgreiche digitale Zukunft müssen Unternehmen Cybersicherheit nicht als isolierte IT-Aufgabe, sondern als integralen Bestandteil ihrer Geschäftsstrategie begreifen, der durch eine intelligente, zentralisierte Governance mit dezentraler Ausführung gestützt wird. Nur so können sie den Herausforderungen der neuen digitalen Ära begegnen und ihre Innovationskraft sicher entfalten.
* Uwe Gries ist Country Manager DACH bei Stormshield.
Be the first to comment