2.Blog der Serie: IT-Sicherheit neu denken – was wir dabei vom Fußball lernen können – Teil 1
Wie kann das Umdenken in der IT-Sicherheit gelingen? Ich fühle mich da an ein anderes Feld erinnert, in dem uns das erfolgreich gelungen ist. Ich war viele Jahre selbst aktiver Fußballer in einer Zeit, in der man sich als Spieler meist ausschließlich auf seinen Gegenspieler und weniger auf mannschaftstaktische Dinge konzentriert hat. Fußball hatte eine klare Ordnung und war in erster Linie ein Kampf Mann gegen Mann. Verteidiger folgten ihren Angreifern „…wenn nötig, bis aufs Klo!“. Diese Art von Fußball, allgemein bekannt als Manndeckung, war uns allen vertraut und jeder wusste, wie er spielen musste, unabhängig vom Gegner.
Mit zunehmender Zeit war dieses Spielsystem allerdings nicht mehr wettbewerbsfähig. Viele Gegner haben zunehmend die Defizite eines solch statischen Spielsystems erkannt und stellten ihre Spielweise komplett um. Die Mannschaften, die auf der etablierten Manndeckung verharrten und nicht auf die ballorientierte Spielweise umstellten, hatten keine Chance mehr. Die Gegner waren völlig überlegen. Irgendwann ist also bei jedem Fußballer und Trainer die Erkenntnis gereift, dass es nicht mehr eine Frage war, „ob“ man das Spielsystem umstellt, sondern lediglich „wann“. Das ist so ungefähr der Punkt, an dem jetzt die IT-Sicherheit steht. Wie also ist es dem Fußball gelungen?
Umdenken: Die ganze Mannschaft muss lernen, anders zu spielen
Eine solche Umstellung des Spielsystems geht nicht von heute auf morgen, denn erst wenn alle ein gemeinsames Verständnis haben, kann die Umsetzung sowohl im Training als auch im Spiel gelingen. Dafür musste sich das Verhalten der gesamten Mannschaft und dementsprechend jedes einzelnen Spielers komplett ändern. Es war also ein gemeinsames Umdenken und Umlernen anhand von neuen flexiblen Spielsystemen gefragt, um den Erfolg der Mannschaft in Zukunft zu garantieren.
Im Fußball lässt sich das an den folgenden Punkten festmachen:
- Erkenntnis, dass ein Umlernen und Umdenken unausweichlich ist – klare Fokussierung und zukünftige Ausrichtung auf ballorientierte Spielweise
- Verständnis schaffen
- im Trainerteam, damit neue Spielsysteme erlernt und in Training und Spiel umgesetzt werden
- bei den Spielern – und ihnen dafür die notwendige mannschaftstaktische, gruppentaktische und individuelle Spielweisen aufzeigen
- bei allen, dass etablierte Spielertypen (z.B. Libero und Manndecker) verschwinden und neue Spielertypen benötigt werden (z.B. Aussenverteidiger und Innenverteidiger
- Kontinuierliches Trainieren und Umsetzen von mannschafts- und gruppentaktischen sowie der individuellen Inhalte im Training und im Spiel
Heute – und durch meine Arbeit als lizensierter Trainer um viele Erkenntnisse reicher – erkenne ich in meinen Diskussionen mit Kunden und deren Mitarbeitern aus dem Bereich IT-Sicherheit viele Analogien zum Fußball. Dabei spielt die Größe des Kunden typischerweise keine Rolle. Fast alle haben die Erkenntnis, dass die bestehenden Sicherheitskonzepte und Technologien immer weniger schützen und zu träge sind, um angemessen auf Vorfälle zu reagieren.
Die Gegner nutzen immer ausgefeiltere Techniken für die Angriffe bei gleichzeitig steigender Angriffsoberfläche durch die Digitalisierung. Vielen fehlt jedoch das organisations- oder mannschaftsübergreifende Verständnis, wie IT-Sicherheit neu gedacht werden muss. Dies ist allerdings die Grundvoraussetzung dafür, dass eine erfolgreiche Umsetzung durch die einzelnen Mitarbeiter in den Projekten oder im tagtäglichen Betrieb gelingen kann.
Die Kunden berichten mir in Gesprächen, wie sich die aktuelle Fokussierung und Umsetzung bei ihnen darstellt:
- Der primäre Fokus liegt auf Compliance-Anforderungen und deren Umsetzung.
- Die Sicherheitsstandards beruhen auf klassischen und starren Perimeterschutzkonzepten.
- Der Schwerpunkt liegt auf Blocken und Abschotten. Fähigkeiten zur Erkennung von unerwünschten Vorfällen und entsprechender Reaktion fehlen.
- Die Sicherheit wird lediglich aus der Verteidigungsposition betrachtet. Es gibt wenig bis keine Fokussierung darauf, wie Angreifer eigentlich vorgehen.
- Die Mitarbeiter, die für IT-Sicherheit tagtäglich zuständig sind, denken und arbeiten produkt-zentrisch und „kleinteilig“.
- Die betriebstechnische Komplexität steigt, so dass die Mitarbeiter keine Zeit für innovative Projekte und Themen haben.
- Das reale Cyber Risiko im Unternehmen ist nicht transparent.
- Das organisationsübergreifende Verständnis für die gemeinsame Zielsetzung fehlt.
- Neue Sicherheitskonzepte wie Zero Trust, SASE oder Data Loss Prevention sind lediglich Buzzwords. Es mangelt an einem tieferen Verständnis davon, wie diese umgesetzt werden könnten.
Sehen Sie die Ähnlichkeit? Der Gegner ändert die Spielweise, also müssen wir uns und unser System umstellen.
Wie genau erfahren Sie in dem 2.Teil des Blogs in Kürze.
1 Kommentare
Als Hobby Fussballer kann ich das bestätigen.
Episode: Es gab mal ein Cisco Fussball Turnier in Köln. Durch hartes Pressing von Michael G sind wir ins Finale gekommen. Nach dem Gewinn desselben meinte UweP „ Ihr wart immer einen Schritt voraus. Deswegen verdienter Sieger.“
Was zu beweisen war: Im Team und einen Schritt voraus 😉
PS Danke Mathias, Dirk und Tom…