Blog: hakin9 Magazin: Interview mit Mario Linkies

Hakin9 Ausgabe 11/2012   

Risikokontrolle

und Compliance

– Die Verantwortung des Managements

 

Interview mit Mario Linkies

President LINKIES. Management Consulting

 

Hakin9: Was sind Ursachen für die heutigen Krisen und Fehlentwicklungen?

 

Mario Linkies: Die erste globale Krise, für die der Homo sapiens vermutlich verantwortlich ist, war die Ausrottung der Neandertaler vor etwa 30.000 Jahren. Seither haben wir neben beachtlichen kulturellen, wissenschaftlichen, technischen und wirtschaftlichen Errungenschaften auch eine ebenso beachtenswerte Reihe von Problemen geschaffen, die sich durch fast alle Bereiche des Lebens ziehen. Die klimatischen Zustände auf der Erde verschlechtern sich zunehmend und können nicht mehr nur auf naturgegebene Veränderungen geschoben werden. Gegenwärtig sind sage und schreibe 17.000 Tierarten akut bedroht. Unser Drang nach immerwährendem Wachstum hat beträchtliche Spuren hinterlassen. Wie Marcus Tullius Cicero bereits sagte: Aus kleinem Anfang entspringen alle Dinge. Und dieser Anfang lässt sich auch leicht auf einen Nenner bringen – Maßlosigkeit. Wie die Menschheit bis jetzt mit sich selbst, aber eben auch mit ihrer Umwelt, den Tieren, den Pflanzen, dem Boden, der Luft, der Verteilung von Gütern und Werten untereinander umgegangen ist, kann nur mit dem Wort Gier umschrieben werden, um die Dramatik der Situation vor Augen zu führen. Wir haben es mit einer multilateralen Zeitkrise zu tun. Der Verlust der biologischen Vielfalt, die Folgen des Klimawandels, die Zerstörung der Ozonschicht und der tropischen Regenwälder, die Hungersnöte in vielen Teilen der Welt, die energiebedingten Treibhausgasemissionen, Urbanisierung- und Verkehrsprobleme, die Verselbständigung der Finanzmärkte von Wirtschaft und Handel, all diese Schwierigkeiten, die wir jetzt haben, werden zu weit größeren Problemen führen, welche wir jetzt noch gar nicht erkennen können. Die Umweltkrise ist eine Folge der Maßlosigkeit, die zu weiteren ernsthaften Gefahren für Stabilität und friedliches Miteinander führt. Wir leben daher auch in einer Zeit der Finanz-, Wirtschafts- und Eurokrisen, die soziale Krisen, Identitätskrisen, Glaubenskrisen und damit eine allgemeine Sicherheitskrise nach sich ziehen. Länder wie China und die USA stehen sich heute nicht mehr so friedlich gegenüber, wie das noch vor einigen Jahren der Fall war. Die Verlagerung von Machtzentren ist einer der wesentlichen Faktoren, die geopolitische und globale Entwicklungen auf allen Gebieten beeinflussen. Diese Entwicklung wird jedoch nicht nur von Maßlosigkeit bestimmt, sondern wird genährt von Ignoranz. Ignoranz ist eine der wesentlichen Quellen für Fehlentwicklungen. Wenn wichtige Entscheidungen nicht getroffen werden können, weil Ignoranz an den Schnittstellen der Macht diese verhindern, laufen wir Gefahr, trotz richtiger Erkenntnisse negative Entwicklungen zu forcieren. Das gilt auf globaler Ebene ebenso wie innerhalb von Unternehmen und Organisationen.

 

Hakin9: Was bedeutet das nun für die IT-Sicherheit im Unternehmen?

 

Mario Linkies: Die Definition von Verantwortung und die Wahrnehmung von Verantwortung im Unternehmen sind zentrale Organisationsentscheidungen, die langfristig den Erfolg eines Unternehmens sichern. In der Systemforschung gibt es klare Hinweise dafür, dass komplexe offene Systeme durch die kleinste Abweichung von der Normalität zusammenbrechen können. Global agierende Unternehmen werden immer mehr zu äußerst komplexen Verflechtungen, die mit Hilfe von informationsverarbeitenden Systemen über Ländergrenzen hinweg operieren, kommunizieren, agieren und reagieren. Reaktionszeiten werden dabei immer kürzer, und so kommt der Vermeidung von Risiken (Risikomitigation) und der Kontrolle der Teilnehmer an den Prozesskreisläufen

(Identities) eine immer größere Bedeutung zu. Damit wird Risikomanagement ein grundlegendes Element der

erfolgreichen Unternehmensführung. Hierzu müssen die Verantwortungen definiert, die Risiken bekannt, und Kontrollmaßnahmen definiert sein. Durch die Anzahl der Einzelrisiken in komplexen Systemen, wie zum Bespiel die SAP-Systeme eines Unternehmens, an denen mehrere Tausend SAP-Benutzer weltweit arbeiten, wird eine manuelle Überwachung der Benutzeraktivitäten, der Benutzerrechte, der Freigabeprozesse, der Risikodefinitionen und der dazugehörigen Kontroll- und Sicherheitsmaßnahmen mit manuellen Teilprozessen und ohne

Automatisierungsunterstützung durch entsprechende Risikomanagementsoftware nicht mehr möglich. Dazu ist viel Überzeugungsarbeit nötig, um die Verantwortlichen von den Gefahren einerseits und der Notwendigkeit von substantiellen Sicherheitsmaßnahmen andererseits zu überzeugen.

 

Hakin9: Was macht die Durchsetzung der richtigen Sicherheitsmaßnahmen so schwierig?

 

Mario Linkies: Sicherheit ist ein zentrales Element der Kosten. Um notwendige Investitionen zu tätigen, müssen die Verantwortlichen nicht nur von den bestehenden Gefahren überzeugt werden, sondern auch vom Erfolg der Sicherheitsinvestition. LINKIES. Management Consulting führt jährlich eine umfangreiche globale Studie zu mehr als 100 EGRC-Lösungen, also Software im Bereich des Governance, Risk & Compliance durch. Ein Ergebnis

dieser Studie ist neben vielen positiven Entwicklungen die mangelnde Methodik, welche die meisten der IT-Werkzeuge aufweisen. Damit ist in der Regel dem Kunden überlassen, wie er die Software einsetzt. Hier beginnt aber die Komplexität. Sicherheit in der IT, in SAP-Systemen, beim E-Mail-Verkehr, in der Cloud ist sowohl technische Herausforderung, als auch Arbeit im funktionalen und Risikobereich. Die beteiligten Mitarbeiter und Berater müssen eine ganze Reihe von Themen verstehen und analysieren können. IT-Sicherheitsprojekte zum Beispiel im Identity Management, in der SAP-Berechtigungsverwaltung, im Prozessrisikomanagement sind also in aller Regel interdisziplinär und erfordern sowohl bei der Verantwortung, als auch in der strategischen Beratung und letztendlich internen Durchführung ein hohes Maß an Fachwissen, dass verschiedenste Bereiche tangiert. Einige wenige Spezialisten im Markt decken als Unternehmensberater dieses Fachwissen ab, aber die Verantwortlichkeiten in den Organisationen sind anders geregelt. Hier sind klare Themengebiete linear oder in Matrixstrukturen auf die Mitarbeiter verteilt. Entscheidungen im Bereich Sicherheit und Risikomanagement betreffen in der Regel die Fachbereiche, aber die IT spielt hierbei oftmals eine treibende, oder auch verhindernde Rolle. Auch sollten sich Unternehmen davor hüten, Entscheidungen auf die lange Bank zu schieben. Viele

Projekte scheitern bereits an der Bereitschaft, IT-Sicherheit und Risikomanagement als ernstes Thema zu betrachten. Die Gefahren werden auf den verschiedensten Verantwortungsebenen entweder unterschätzt, oder einfach ignoriert. Dabei nehmen das Ausmaß und die Schwere der externen und internen Angriffe zu. Das Ziel der Angreifer ist neben der persönlichen Bereicherung vor allem Sabotage, und in vielen Fällen Spionage. Das betrifft keineswegs nur kritische Infrastrukturen wie Bank und Finanzsystem, Telekommunikation, Stromversorgung und

Transport, sondern fast alle Branchen, deren Unternehmen und Produkte weltweit vertreten sind und über eine lokale Bedeutung hinausgehen.

 

Hakin9: Welchen Lösungsansatz verfolgen Sie?

 

Mario Linkies: Eine Abhilfe sind Positionen im Unternehmen, die das Gesamtgebiet in sich vereinen, wie Chief Security Officer (CSO) oder Chief Risk Officer (CRO), und die dann zentral Entscheidungen aus Sicherheitssicht forcieren können. Diese Personen sollten in jedem Fall mit weitreichenden Befugnissen ausgestattet sein, um auch im Eskalationsfall handlungsfähig zu sein. In der Praxis arbeiten diese eng mit dem jeweiligen Lenkungsausschuss zusammen, der zeitnah und spätestens zu Projektbeginn etabliert werden muss, damit die Entscheidungen nicht von Einzelpersonen abhängig gemacht werden. Sind diese Konstellationen nicht vorhanden, so ist neben einer strategischen Beratung durch erfahrene Fachleute die frühe Einbindung der Unternehmensleitung wesentlich für den Erfolg von Sicherheitsprojekten. Wesentlich für den Projekterfolg sind neben der Ganzheitlichkeit der Lösung, der Projektorganisation und der Leitungsunterstützung die Definition klarer Sicherheitsziele und Messkriterien, um sowohl die Projektstrategie richtig festzulegen, als auch die Ergebnisse transparent darstellen zu können. Ein Beispiel sind Berechtigungen im SAP-Umfeld. Die meisten SAP-Kunden haben Probleme im Berechtigungs-management und den damit einhergehenden Risiken. Mit unseren Lösungen können wir in der Regel nicht nur ungefähr 90%(!) der Komplexität des Berechtigungssystems reduzieren, sondern auch Funktionstrennungsrisiken und sensible Aktivitäten um die gleiche Zahl eliminieren, ohne dass die Benutzer davon etwas bemerken. IT- und praktische Lösungen müssen also sowohl langfristigen Erfolgskriterien genügen, als auch sogenannte Quick Wins, also schnelle Erfolge aufweisen, damit die Unterstützung für das Sicherheitsprojekt wächst. Zum Schluss müssen Erfolge auch kommuniziert werden. In diesem Zusammenhang vertrete ich auch die Auffassung, dass schwere Cyber-Angriffe und ernsthafte IT-Sicherheitsvorfälle den Behörden gemeldet werden müssen. Nur über Transparenz der tatsächlichen Vorfälle und die Annahme des Themas durch die verantwortlichen Manager lassen sich effektive und langfristig sinnvolle Risikomanagementsysteme etablieren, die dann auch einen positiven Kosten-Nutzen-Effekt haben. An technischer Unterstützung scheitern diese Vorhaben sicher nicht.

[ zurück]
Vorherige News
We use cookies to give you the best online experience. By using our website you agree to our use of cookies in accordance with our cookie policy. Learn more here.