Big-Data-Experte Florian Kondert über die Digitalisierung in Unternehmen, die Auswirkung auf Sicherheitskonzepte und den Irrglauben, Firewalls würden weiterhin die Lösung sein.
„Sicherheit ist ein unerreichbares Ziel“
Herr Kondert, warum führt die Digitalisierung von Arbeitsprozessen in Unternehmen zu einem Wandel bei Sicherheitsfragen?
Florian Kondert: Vor dem Trend der massiven Digitalisierung von Unternehmensprozessen war die Sicherheitsfrage einfacher zu beantworten: Dicke Mauern und gute Schlösser haben, plakativ gesprochen, die Werte des Unternehmens gut bewacht, Organisationen konnten sich so gegen die Umwelt abgrenzen. Die einzigen Schwachstellen waren jene Öffnungen, die den Transfer von Gütern nach außen und von Rohstoffen nach innen nötig machten. Heute sieht das anders aus: Unternehmen sind mit ihrer Umwelt verwoben, und Rohstoffe haben immer mehr die Form von Daten, die man zur Produktion und Vermarktung von Gütern und Dienstleistungen braucht. Auch die Produktion selbst wird komplexer, immer mehr Prozesse laufen digital ab. Kundeninformationen oder das Wissen über sensible Details eines Produktes können nicht mehr durch dicke Mauern beschützt werden, sondern schwirren in Form von Bits und Bytes in der IT-Infrastruktur von Unternehmen durch die Gegend.
Schützen davor nicht Firewalls?
Firewalls waren eine passable Antwort auf Sicherheitsfragen, solange Daten nicht so stark in Bewegung waren und permanent aktualisiert werden mussten, um weiterhin wertvoll zu bleiben. Außerdem hat die fortlaufende Spezialisierung von Produktion und Dienstleistungen zu viel dichteren Kooperationen zwischen Organisationen geführt. Das erhöht die Anforderungen an (IT-)Systeme – und steigert die Anfälligkeit für Attacken, weil Systeme fragiler und unübersichtlicher werden. Anders gesagt: Früher gab es viel Mauer und wenig Löcher, heute ist das umgekehrt.
Unternehmen agieren in der Frage der Sicherheit also auf der Basis veralteter Ideen?
Wer heute noch glaubt, mehr Investition in Firewalls führe zu mehr Sicherheit, dem droht ein böses Erwachen. Der Wunsch nach Unsicherheitsreduktion ist zwar verständlich, beruht aber auf einem Verharren in der “guten, alten” Vergangenheit. Der Nuklear-Reaktor in Fukushima wurde zum Beispiel so gebaut, dass er das Schlimmste bis dahin bekannte Erdbeben überstanden hätte. Dramatisch war die Tatsache, dass ein Benchmark aus der Vergangenheit als Worst Case herangezogen wurde. Dass es in Zukunft ganz neue Herausforderungen und sehr viel schlimmere Beben geben könnte, wurde schlicht nicht bedacht. Im IT-Kontext zeigen Beispiele wie der NSA-Skandal, der Sony-Hack oder die IT-Eskalation der Bundesregierung, dass Kontrolle und Schutz keine erreichbaren Ziele mehr sind.
Was sind die neuen Parameter für ein Umdenken?
Wenn wir davon ausgehen, dass es immer jemanden da draußen gibt, der schlauer ist als man selbst, müssen wir uns von dem Gedanken verabschieden, man könne als Unternehmen das Rennen um die IT-Sicherheit gewinnen. Zudem ist die Optimierung der eigenen IT-Landschaft für Unternehmen oft ein langwieriger und kostenintensiver Prozess, der aktuellen Standards hinterherhinkt. Die Systeme sind also oft auch deshalb anfällig, weil sie antiquiert sind. Eine gute Option könnte es sein, die Services zu dezentralisieren und so zu verteilen, dass bei einer Attacke nicht mehr das gesamte Unternehmen lahmgelegt ist, sondern im schlimmsten Fall nur einzelne Bereiche. Das gesamte System bliebe intakt, auch wenn Teilbereiche ausfallen. Das setzt voraus, dass Services autonom laufen und nur an bestimmten Stellen zusammengeführt werden. Außerdem lohnt sich der Blick auf Cloud-Services, die in den vergangenen Jahren massiv an Attraktivität gewonnen haben.
Dann gäbe eine Organisation noch mehr nach draußen ab.
Ja – und sie gäbe zugleich die Unternehmenswerte in professionelle Hände. Man muss sich nur überlegen, welche Infrastrukturen diese Cloud-Dienstleister betreiben können und müssen, um die Sicherheit von externen Werten tausender Kunden zu gewährleisten. Ansonsten würden diese Business-Modelle nicht funktionieren. Weitergedacht bedeutet das auch, dass diese Dienstleister extrem attraktive Arbeitgeber sind, denn hohe Ansprüche ziehen anspruchsvolle Experten an.
Machen sich Unternehmen auf diese Art nicht noch angreifbarer?
Das ist eine naheliegende Vermutung, aber wohl nicht die Realität. Ein zehn Jahre altes Sicherheitsnetzwerk eines mittelständischen Unternehmens lässt sich sicherlich leichter attackieren als ein international agierender Dienstleister mit einer permanent aktualisierten Architektur. Diese Firmen verfügen über Millionen-Budgets zur Entwicklung ihrer Services. Anbieter wie Amazon sind heute schon die Player auf dem Markt, die sich um die Daten und Systeme von Unternehmen kümmern. Dieser Trend wird sich in Zukunft verstärken. Komplexität bedeutet heute das Verteilen von Kompetenzen, die sich entlang einer Problemstellung sammeln – in diesem Fall um die Frage nach dem erreichbaren Sicherheitsniveau.
Das Interview führte Christian Schuldt
