Erkenntnis ist nicht gleich Verständnis
1.Blog der Serie: IT-Sicherheit neu denken – klar, aber WIE?
Kommt Ihnen das bekannt vor? „Wir wissen, dass wir auf einem Pulverfass sitzen und das Thema IT-Sicherheit neu denken müssen. Allerdings sind wir meist gedanklich zu kleinteilig, fokussieren uns auf die Einhaltung von Compliance-Vorgaben, haben eigentlich keine Zeit, nicht ausreichend Mitarbeiter dafür – und außerdem ist unser Management nicht gewillt, in das Thema IT-Sicherheit ausreichend zu investieren.“
So, oder so ähnlich verlaufen vieler meiner Kundengespräche. Erkennen Sie sich wieder und wollen ein Verständnis und Ideen dafür entwickeln, wie man diesem Teufelskreis entfliehen kann? Darum soll es in dieser Blog-Serie gehen.
Bei Cisco Systems bin ich seit 2013 in meiner Rolle als Chief Technologie Officer (CTO) und Lead Architekt für die Bereiche öffentliche Verwaltung der Länder und Kommunen, Bildung und Gesundheit zuständig. Vorher habe ich 14 Jahre bei IBM Deutschland gearbeitet, größtenteils als Data Center und Security Architekt für die IBM-eigenen Rechenzentren.
Aus eigener, oft schmerzlicher Erfahrung und aus vielen Gesprächen und Projekten mit Kunden, egal aus welcher Branche, habe ich zum Thema IT-Sicherheit viele Einblicke gewonnen – und muss zunehmend feststellen, dass viele Kunden sich in eine Sackgasse manövriert haben. Den Ausweg daraus sehen sie oft nicht. Natürlich gibt es viele Kunden, die das Thema IT-Sicherheit vorbildlich angehen und auch umsetzen. Der großen Mehrheit fehlt meiner Ansicht nach ein Verständnis dafür, was es bedeutet, IT-Sicherheit neu zu denken.
Herausforderungen, die mir immer wieder begegnen
Viele Projekte und Gespräche mit Kunden aus unterschiedlichen Branchen und Fachbereichen zeigen mir inzwischen sehr klar auf, dass…
… die Kunden kein Erkenntnisproblem haben, das sich etwas ändern muss, sondern ein Verständnisproblem, was es heißt, IT-Sicherheit organisationsübergreifend neu zu denken.
… jeder Mitarbeiter völlig anders auf das Thema schaut und es an einem gemeinsamen Zielbild und entsprechender Vorgehensweise mangelt.
… sich viele im Dickicht von Compliance-Vorschriften, Gesetzesvorlagen und Sicherheitsrichtlinien verlaufen und dadurch viel Verwirrung, Komplexität und Frust erzeugt wird
… es viele Missverständnisse gibt, was neue Sicherheitskonzepte und vor allem deren Einführung und Umsetzung angeht – wie z.B. Zero Trust, Data Loss Prevention und SASE.
… Schlagwörter wie SOC, SIEM, CERT, XDR und SOAR nicht eingeordnet werden können und dementsprechend nicht klar ist, was davon wirklich Relevanz für das eigene Unternehmen hat und was nicht.
…die Kultur und dementsprechend die Art und Weise, wie gemeinsam gedacht und gearbeitet wird, oft den größten Hemmschuh darstellt.
… oft das Verständnis fehlt, dass IT-Sicherheit nicht die alleinige Aufgabe der IT-Abteilung ist, sondern alle im Unternehmen im gleichen Boot sitzen.
… sich der erwünschte Mehrwert durch die Einführung von neuen IT-Sicherheitstechnologien und Lösungen nicht einstellt, da es an Fachwissen und operativen Fähigkeiten fehlt.
Kein Erkenntnisproblem, sondern ein Verständnisproblem – woran kann ich das in den Gesprächen mit den Kunden festmachen?
Speziell die Mitarbeiter in der IT haben meist erkannt, dass sie auf einem Pulverfass sitzen. Entweder gab es bereits schmerzhafte Cyberangriffe auf das eigene Unternehmen – oder sie wissen, dass ihre IT-Sicherheitsmaßnahmen und Konzepte keinen ausreichenden Schutz mehr bieten und viel zu träge sind, um auf Angriffe angemessen reagieren zu können. Auf meine Frage, warum sie dann nichts ändern, werden typischerweise Hürden und Hemmnisse aufgezählt, die ich mit zwei einfachen Weisheiten zusammenfassen kann.
„Es ist dumm, immer dasselbe zu tun und ein anderes Ergebnis zu erwarten.“ – Albert Einstein
„Ich weiß, dass ich meine Säge schärfen müsste, ich habe aber keine Zeit dafür, da ich weiter Holz sägen muss.” – Steven Convey, Die 7 Wege zur Effektivität
IT-Sicherheit neu denken ist eine Reise
Es ist überaus menschlich, diese Denkmuster und entsprechenden Verhaltensweisen zu haben, denn es gab und gibt viele nachvollziehbare Gründe. Vieles ist einfach historisch über die Zeit gewachsen und bedurfte keiner Veränderung. Aufgrund des stetig zunehmenden Cyber-Risikos und der kontinuierlichen Veränderungen durch die Umsetzung von Digitalisierungsinitiativen gilt es „IT-Sicherheit neu zu denken“. Aber was genau bedeutet das?
„IT-Sicherheit neu denken“ ist eine Reise, die es gilt, organisationsübergreifend zu starten. Meine einfache Erfolgsformel dazu lautet:
Management Unterstützung
+ Menschen & Kultur
+ Konzepte & Prozesse
+ Technologie
———————————————
= Risiko-orientierte Cyber-Sicherheit als „Enabler“ für das Business
Auch die längste Reise beginnt damit, dass man sich ein Ziel setzt und dann die ersten Schritte macht. Viele scheuen allerdings davor zurück, da ihnen der Weg zu steinig und zu schwierig ist, oder aber das Ziel unerreichbar erscheint.
Ich selbst habe eine Leidenschaft dafür entwickelt, mich tief in komplexe Themen einzuarbeiten und meine gewonnenen Erkenntnisse daraus auf einfache und hoffentlich sehr anschauliche Art und Weise zu kommunizieren.
Lassen Sie uns also gerne gemeinsam auf die Reise gehen und den neuen Weg gemeinsam entdecken – es lohnt sich auf jeden Fall. Diese Blog-Serie soll Ihnen als eine Art Reisebegleiter/-führer dienen, der die kleinen Schritte und Etappenziele aufzeigt, um am Ende am gewünschten Ziel anzukommen. Auch wenn es auf den ersten Blick komplex erscheinen mag, so sind es die kleinen Schritte, die am Ende den Unterschied machen und was Großes entstehen lassen.
Motivieren soll uns dabei immer der Leitgedanke „…es geht nur, wenn…“, denn „… es geht nicht, weil…“ wird uns dabei immer wieder ausbremsen.
Tags:1 Kommentare
Leider reicht meine Deutschkenntnisse nicht aus, um Ihr gesamtes Blog ohne Hilfe zu verstehen, aber ich habe es mit Google Translate geschafft.
Gute und klare Geschichte Holger. Vielen Dank für das Teilen und freuen uns auf die nächsten Blogs.