Ist Ihr Unternehmen zu komplex (um es zu schützen)?

Ein Interview mit Dr. Silvia Knittl. Mit der Komplexität von Unternehmen steigt auch die Gefahr von Cyberangriffen. Doch wie können Unternehmen ihre Komplexität reduzieren und ihre IT-Strukturen anpassen, um gegen Cyber-Bedrohungen gewappnet zu sein? 

Unsere Cyber-Expertin Dr. Silvia Knittl gibt einen Einblick in die Herausforderungen und Chancen der Vereinfachung von Unternehmens-IT und erläutert konkrete Ansätze.

Frau Knittl, laut unserer jährlichen Cyber-Security-Umfrage empfinden über 80 % der CEOs in Deutschland ihr eigenes Unternehmen als zu komplex. Kann ein Unternehmen zu komplex sein?

Dr. Silvia Knittl: Komplexität ist oft ein Effekt des schnellen Unternehmenswachstums. Mit steigender Unternehmensgröße und wachsender Anzahl der Mitarbeitenden kommt oft ein höherer Technologieeinsatz dazu. Die technische Architektur vieler Unternehmen häuft daher mit fortschreitender Zeit immer mehr Schichten von Altsystemen und -prozessen an. Deren Flexibilität ist dann in vielerlei Hinsicht eingeschränkt. Ältere Strukturen haben aus unserer Erfahrung oft unzureichend geschützte Schnittstellen und Komponenten, die von Angreifenden ausgenutzt werden können, um weitverzweigte Systeme zu infiltrieren.

Welche Folgen können das sein?

Knittl: Schwierigkeiten, sich so schnell weiterzuentwickeln, wie es die Marktchancen eigentlich erlauben würden, zählen neben den mangelnden Fähigkeiten, sich von einem Cyberangriff zu erholen, zu den Nachteilen von zu komplexen Unternehmen.

Es sollte also im Interesse jedes Unternehmens liegen, die eigene Komplexität zu reduzieren, um gegen mögliche Cyber-Bedrohungen gewappnet zu sein. Wie kann ein Unternehmen dabei vorgehen?

Knittl: Neue Geschäftsanforderungen bringen neue Prozesse, Organisationsstrukturen oder Technologien mit sich. Daher sollte erstmal sichergestellt werden, dass strategische Maßnahmen die Komplexität nicht erhöhen und die aktuelle Situation verschlimmern.

Ein weiterer Punkt ist die Einsicht, dass die Vereinfachung der IT mehr als nur eine geringfügige Neuverdrahtung von Systemen erfordert, sondern meist eine grundlegende − und oft längerfristige − Änderung der IT-Strukturen, um sie für das Wachstum fit zu machen.

Nach unserer Erfahrung lassen sich die Herausforderungen und Chancen einer Simplifizierung in drei Bereiche unterteilen, nämlich „Geschäftsmodelle“, „Externe Partner“ und „Interne Prozesse und Systeme“.

Welche Risiken verursacht diese Komplexität und wie können diese reduziert werden?

Knittl: Die Risiken sind für jeden Bereich unterschiedlich. Wir haben daher unsere Erfahrungen in der Cyber Security genutzt und eine eigene Architektur-Methode entwickelt. Dank unserem Cyber-Fähigkeitenmodell können wir die genannten Risiken pragmatisch identifizieren und dadurch auch reduzieren.

Wie funktioniert das konkret?

Knittl: Betrachten wir beispielsweise die Geschäftsmodelle von Unternehmen. Oftmals nehmen Unternehmen Cyber-Vorfälle nicht ernst genug und reagieren lediglich auf den Vorfall, anstatt die eigentliche Ursache zu identifizieren und die betreffenden Prozesse zu verbessern. Das liegt häufig daran, dass Cybersicherheit nicht von Anfang an in das Geschäftsmodell integriert und weder ausreichend Budget noch Ressourcen eingeplant wurden.

So haben nun viele Unternehmen beispielsweise zwar eigene Organisationsstrukturen für Informationssicherheit geschaffen, diese sind jedoch nicht in alle relevanten Prozesse und Entscheidungen integriert. So gibt es − was die Technologieauswahl − betrifft, immer noch viel Autonomie in den IT-Bereichen. Dadurch kann jeder Bereich unterschiedliche Technologien einsetzen, was die Gefahr eines Angriffs durch neue Schwachstellen aufgrund unzureichender abgestimmter Technologien und Schnittstellen erhöht. 

Und wie kann die von Ihnen entwickelte Cyber-Architektur-Methode dabei helfen?

Knittl: Wir setzen unsere Enterprise Security Architecture (ESA) ein, um nicht nur einzelne Abteilungen, sondern das gesamte Unternehmen ganzheitlich zu betrachten. Nach einem Security-by-Design-Ansatz betrachten wir dabei alle möglichen Auswirkungen, die eine Veränderung im Unternehmen mit sich bringen kann.

Wir berücksichtigen die Zusammenhänge von Technologien und organisatorischen Fähigkeiten und unterstützen die Technologieauswahl durch unsere Referenzarchitektur. Diese liefert auch ein Grundgerüst für belastbare Budgetzahlen und Wirtschaftlichkeitsberechnungen. 

Welche Gefahren werden durch externe Partner verursacht?

Knittl: Typisch für komplexe Unternehmen sind unübersichtliche Beziehungen zu externen Partnern. Beispielsweise haben zu viele Lieferanten Zugriff auf interne Kundendaten. Das kann das eigene Risiko erhöhen, wenn durch eine Cyberattacke auf einen der Lieferanten auch eigene Daten kompromittiert werden können.

Ein Unternehmen kann sich – in der Praxis gedacht – nicht um die Cybersicherheit seiner einzelnen Lieferanten kümmern. Wie kann also das Risiko, Schaden durch einen Cyberangriff auf einen Lieferanten zu nehmen, reduziert werden?

Knittl: Das ist richtig. Unternehmen haben nur bedingt Einfluss auf die Cybersicherheit ihrer Lieferanten. Deshalb ist ein gut organisiertes Lieferantenmanagement notwendig – mit dem Ziel, mit möglichst verantwortungsvollen und ausgewählten externen Partnern zu kooperieren. Mittels unseres Modells erstellen wir eine übersichtliche Verantwortlichkeitsmatrix. Damit haben wir bereits Über- als auch Unterdeckungen in den relevanten Cyber-Domänen entdeckt. Unternehmen konnten wir so in die Lage versetzen, ihr Portfolio zu optimieren.

Sie erwähnten noch einen dritten Bereich, der die Komplexität von Unternehmen beeinflusst.

Knittl: Das stimmt. Das waren die internen Prozesse und Systeme. Diese bedürfen in der Regel einer genauen Analyse hinsichtlich ihrer Komplexität und der damit verbundenen Risiken. Oft werden unnötig viele oder falsch verwaltete Technologien verwendet. Dadurch steigt nicht nur, wie bereits erwähnt, die Gefahr eines Cyberangriffs, sondern auch die eines Systemausfalls, da diese Systeme nicht mit den modernen Anforderungen und Prozessen mithalten können.

Und da kommt auch wieder Ihre Cyber-Architektur-Methodik zum Einsatz?

Knittl: Genau. Während unserer ESA-Assessments erstellen wir ein Lagebild der Cyber-Toollandschaft. Unser Ansatz ist pragmatisch. Wir interviewen dazu die relevanten Stakeholder im Unternehmen und bewerten mit den Kunden die aktuelle Situation des Einsatzes von IT-Systemen mit Sicherheitsbezug. Dadurch identifizieren wir Überdeckungen, also wenn mehrere Tools mit gleicher Funktionalität im Einsatz sind, weil etwa Geschäftsbereiche individuell ähnliche Software gekauft haben, als auch Unterdeckungen, wenn relevante Fähigkeiten ohne Tooleinsatz vorhanden sind. Dadurch erzeugen wir eine bessere Übersicht über die eingesetzten Tools und können so die Grundlage zur Komplexitätsreduzierung legen. 

Durch die Anwendung Ihrer Cyber-Architektur-Methodik wird also nicht nur, wie es der Name vermuten lässt, die Cybersicherheit des Unternehmens im Allgemeinen gestärkt, sondern auch automatisch die Komplexität reduziert?

Knittl: Korrekt.