Die aktuellen Krisen (Corona, Energie, Ukrainekrieg) haben mehr als verdeutlicht, wer in Sachen Digitale Transformation schon weit vorne ist (Handelsplattformen, Lieferdienste, Technologieanbieter, Supply Chain, etc.) und wer hinterherhinkt. Mit der Migration zu Hyperscalern und der Nutzung flexibler Cloud-Anwendungen stehen den Unternehmen zumindest vielversprechende Ansätze zur Verfügung.
In diesem Zusammenhang ist das Thema Security, insbesondere der Schutz von geschäftskritischen Systemen, wichtiger als je zuvor. Eine offene Frage ist daher, wie Entscheider, die nicht sehr nah an der Technik sind, die notwendige Transparenz bekommen können, um Herr der Lage zu bleiben.
Ordnung als Schlüssel zum Erfolg
Früher bedeutete IT-Sicherheit Konzepte auf Anwendungsebene zum Einsatz zu bringen. Das hieß Benutzer-Management (Passwörter, Berechtigungen, etc.) sowie Konzepte auf Netzwerkebene (Firewalls) zu erarbeiten und einzusetzen.
Heute gibt es aber keinen Perimeter mehr, denn die physikalischen Grenzen moderner Lösungen sind verwischt beziehungsweise verschwinden immer mehr. Daher ist es notwendig, die Sicherheitsthemen für eine hybride IT-Welt zunächst zu ordnen und zu verifizieren: auf welcher Ebene muss was gemacht werden und von wem? Dafür gibt es Standards wie das IT-Sicherheitsgesetz im KRITIS Umfeld, den BSI-Grundschutz, oder herstellerbezogene Werke wie die Security Baseline von Herstellern wie SAP oder Microsoft. Es muss zudem geprüft werden, wo es in diesen Standards Lücken gibt, die dann von der eigenen Organisation mit geeigneten Anforderungen geschlossen werden müssen.
Ist so ein Ordnungssystem etabliert, ist der nächste Schritt zu verstehen, wo das Unternehmen steht. Dazu sind die folgenden Fragen zu klären:
Ist die Security gut oder schlecht?
Wo besteht dringender Handlungsbedarf?
Welches Budget wird wann benötigt?
Welches Personal beziehungsweise welche Lieferanten werden gebraucht?
Ich selbst habe zu oft erlebt, dass ohne eine geeignete Aufbereitung der Fakten keine Entscheidung herbeigeführt wurde, da schlicht die Basis dafür fehlt. Ohne Fakten bleibt es unklar, was die IT-Verantwortlichen eigentlich entscheiden sollen. Die Antworten auf die oben gestellten Fragen kann ein Dashboard liefern, das die Fakten geeignet verdichtet. Denn ohne Verdichtung und geeignete Darstellung wird man aufgrund der Vielzahl der Fakten schlicht überrollt.
Anforderungen an Team, Softwareanbieter und IT-Landschaft
Schon bei mittelständischen Unternehmen, kann der Software-Mix aus „on premise“, Apps im Hyperscaler sowie nativen Cloud-Anwendungen die schnell sehr groß werden, undurchschaubar werden. Das zuständige Team hat dann kaum keine Chance, Fakten zu erheben. Eine Lösung dafür ist der Einsatz von Tools, mit denen Fakten automatisiert erhoben werden können. Das spart zudem Zeit und schafft Freiräume, die ein Mensch sinnhafter nutzen kann, als zig-mal unzählige Parameter händisch einzusammeln.
Die Anbieter der Software müssen zudem Schnittstellen (Reports, Auditprogramme, APIs) zur Verfügung stellen, sodass ein Kunde die Sicherheitsparameter und Zustände auch auslesen kann. Spricht ein Anbieter im Vorfeld davon, dass man ihm vertrauen solle, ohne dass es dafür eine Kontrollmöglichkeit gibt, ist höchste Vorsicht geboten. Denn die Verantwortung kann im Fall der Fälle nicht abgegeben werden.
Die Komponenten in hybriden IT-Landschaften sind durch Schnittstellen verbunden. Es muss
a) klar sein, welche Komponenten es gibt und
b) wie diese verbunden sind.
Da sich ein solches Inventar schneller ändert, als man es erfassen kann, bieten sich auch hier Tools an.
Informationen im Security Dashboard
Nehmen wir nun an, dass alle Anforderungen erfüllt sind und alle Daten automatisiert erhoben werden können. Die Ergebnisse werden geordnet, gewichtet und können so normiert auf einen Wert reduziert werden. Wenn die IT-Verantwortlichen nun noch Schwellwerte festlegen, ist beispielsweise ein Ampelsystem für den Gesamtzustand der IT-Landschaft sinnvoll. Jeder versteht intuitiv, dass eine rote Ampel nichts Gutes bedeutet, dass bei einer gelben Ampel Luft nach oben ist und dass eine grüne Ampel „alles im Griff“ bedeutet. Awareness für das Problem Sicherheit wird so maximal auf den Punkt gebracht.
Eine Ampel ist jedoch nur für den ersten Blick ausreichend. Es sollten weitere Information in einem Dashboard dargestellt werden. Erfahrungsgemäß wollen Entscheider die Möglichkeit haben, etwas tiefer einzutauchen und vor allem auch zu sehen, wie das Team Probleme angeht. Im Folgenden sind bewährte Beispiele aufgeführt:
Anzeige der Top 10 der größten Probleme. Dies erfolgt in der Regel nach Eintrittswahrscheinlichkeit und möglichem Schaden. Letzteres könnte in Kooperation mit dem Risiko-Management-Team auch monetär bewertet werden und wird so noch greifbarer.
Top 5 Maßnahmen, die bereits auf dem Weg sind, inklusive Projektstatus, das heißt: reicht das Budget, ist man in Verzug, und wenn ja, warum? Der Entscheider sieht so nicht nur, dass etwas unternommen wird, sondern hat auch Informationen, wo noch Hilfe benötigt wird.
Mit dem Dashboard-Ansatz ist auch ein Vergleich der verschiedenen Komponenten möglich, also ein Benchmarking. Welche Komponenten sind besonders sicher? Welche besonders unsicher? Und das alles auf einen Blick.
Natürlich ist auf dem Security Dashboard jederzeit der Status, die Veränderung zum letzten Mal (letzte Woche, letzter Monat) und ein Zeitverlauf darstellbar. Damit ist zu sehen, ob die Security Fortschritte macht (oder nicht), welche Auswirkungen zum Beispiel Merger oder Carveouts haben, und vieles mehr.
Zu guter Letzt erlaubt ein gutes Dashboard auch das Abtauchen in Details, da manche Diskussionen dies erfordern. Es ist dabei immer hilfreich, wenn das „aus einem Guss“ und ohne Medienbrüche möglich ist.
Fallbeispiel SAP
SAP bietet sich als interessantes Beispiel an. Wir erleben hier den Wechsel von On Premises in die Cloud, mit Hyperscaler-Szenarien und echten Cloud-Anwendungen. Als Standard kann man hier zum Beispiel die von Kunden und SAP entwickelte SAP Security Baseline, den DSAG Prüfleitfaden oder die SAP Secure Operations Map nutzen. Zudem gibt es einige Tools zum automatisierten Erheben von Daten. Die DSAG hat bereits 2022 die Forderung nach einem Security Dashboard an den Weltmarkführer für Unternehmenssoftware formuliert. Seit dem Jahreskongress 2022 ist hier Bewegung erkennbar. Das angedachte Dashboard-Konzept soll auf APIs basieren, sodass eine Integration in bestehende Visualisierungen sowie eine Erweiterung durch Drittanbieter möglich sein sollte.
Lesetipp: Diese Sicherheitsrisiken lauern bei der Cloud-Migration
Dashboards als Entscheidungshelfer
Security Dashboards können ein wichtiges Hilfsmittel sein, um Entscheidern das Thema Cybersecurity geeignet darzustellen und für diese Zielgruppe Awareness zu schaffen. Ein Dashboard fällt jedoch nicht vom Himmel. Es muss ein Standard etabliert werden, der beschreibt, wie Security im Unternehmen messbar gemacht wird. Dazu müssen die verwendeten Komponenten und Technologien Schnittstellen aufweisen, damit eine Messung möglich ist. Und zum Schluss sind Tools empfehlenswert, um die Messung automatisiert durchzuführen. Wenn dies umgesetzt ist, steht einer Security-Diskussion auf hohem Niveau nichts mehr im Wege. (bw)
