:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Security als Digitalisierungshebel IT-Sicherheit als Erfolgskonzept für die digitale Transformation
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Beim Entwickeln ihrer Digitalisierungsstrategie sollten Unternehmen sieben Erfolgsfaktoren im Bereich IT-Security mit einbeziehen. Obwohl dieser Unternehmensbereich eine grundlegende Komponente digitaler Innovation darstellt, wird er in der Regel nicht als ihr strategischer Treiber angesehen.
Das folgende Konzept legt den Fokus auf die Rolle und Leistung der IT-Security im Rahmen der digitalen Transformation. Es beschäftigt sich mit den einflussreichsten Erfolgsfaktoren für Digitalisierung in Verbindung mit der IT-Sicherheit sowie deren Umsetzung. Angewandt auf Geschäftsprozesse können diese als wirksame Methode genutzt werden um:
- 1. eine Gap-Analyse für Ihre Digitalisierungsplanung durchzuführen, und
- 2. entsprechende Maßnahmen zu identifizieren um die so gefundenen Defizite zu beheben.
Beim Entwickeln ihrer Digitalisierungsstrategie besteht der wichtigste Schritt für Unternehmen darin, IT-Security zu einem wesentlichen Bestandteil Ihrer digitalen Strategie zu machen. Obwohl IT-Sicherheit eine grundlegende Komponente digitaler Innovation darstellt, wird er in der Regel nicht als ihr strategischer Treiber angesehen. Die folgenden sieben Erfolgsfaktoren können die digitale Transformation unterstützen.
1. Erfolgsfaktor: Agile Security
Agile Security ist eine fortlaufende, tief greifende und proaktive Methode um Assets auf einem mikro-segmentierten Level zu schützen. Das Konzept beginnt dabei mit den Menschen, der Technologie und den Prozessen, die eng mit den Geschäftsanforderungen abgestimmt sind - gefolgt von einer integrierten Operations Defense, Compliance, Informationsselektion und prozessfähigen Daten. Agile Security hilft nicht nur dabei, eine effizientere Cyber-Resilienz und -Verteidigung herzustellen und digitale Transformation zu fördern, sondern hat auch einen direkten Einfluss auf die Senkung von Kosten, die durch Datenpannen entstehen. Zudem gibt es durch eine insgesamt verbesserte Resilienz des Business einen zusätzlichen positiven Effekt.
:quality(80)/images.vogel.de/vogelonline/bdb/1881800/1881806/original.jpg "Agile Sicherheit ist eine kontinuierliche, umfassende und proaktive Methode zum Schutz von Vermögenswerten auf mikrosegmentierter Ebene. (relif - stock.adobe.com)")
Optimierung der Digitalen Transformation
Das Konzept der Agile Security
2. Erfolgsfaktor: Eine positive und robuste Unternehmenskultur, die bzgl. IT-Security sensibilisiert ist
Eine positive und robuste Unternehmenskultur impliziert, dass Mitarbeiterinnen und Mitarbeiter über die täglichen Cyber-Bedrohungen Bescheid wissen und die entsprechenden Gegenmaßnahmen selbstständig in ihre tägliche Arbeit integrieren. Das kann vor allem durch ein positives und belohnungsorientiertes Security Awareness Programm erreicht und vorangetrieben werden. Kontinuierliche Interaktion mit den Mitarbeiterinnen und Mitarbeitern sowie zielgruppengerechte Kommunikation ist dabei unabdingbar. Positive Verhaltensweisen werden belohnt, da dieser Ansatz erfolgreicher ist als negative Verhaltensweisen zu bestrafen.
:quality(80)/images.vogel.de/vogelonline/bdb/1889000/1889006/original.jpg "Security Awareness ist nicht nur eine Sache der IT. Eine enge Kooperation zwischen den Security-Teams und dem Business ist unabdingbar, um die Mitarbeiter für die IT-Sicherheit zu sensibilisieren. (putilov_denis - stock.adobe.com)")
Digitalen Wandel positiv und nachhaltig umsetzen
Security Awareness und Digitalisierung
3. Erfolgsfaktor: IT-Security-Talent mit Geschäftssinn
IT-Security-“Gurus” sind technisch sehr versiert. Leider gehört es in der Regel nicht unbedingt zu ihren Stärken, eine Vision zu entwickeln, die der User-Perspektive vollends Gerecht wird. Um diese Lücke zu schließen, müssen IT-Security-Führungskräfte damit anfangen business-orientiert bei ihrem Recruiting vorzugehen. Das bedeutet, dass IT-Security-Positionen sowohl IT-Security-Expertise als auch am Business orientierte Qualifikationen und das entsprechende Mind-set brauchen. Es wird immer offensichtlicher, dass nicht die Wahl der Technologien, sondern die Qualität des Tech Talents erfolgreiche digitale Transformation ausmacht (KPMG Studie).
:quality(80)/images.vogel.de/vogelonline/bdb/1895500/1895509/original.jpg "Nach ISACA besteht eine der größten Herausforderungen in der IT-Security darin, Mitarbeiter zu gewinnen und auch dauerhaft zu halten. (tomertu - stock.adobe.com)")
Rekrutierung in der IT-Security im Rahmen der digitalen Transformation
IT-Talent braucht Geschäftssinn
4. Erfolgsfaktor: State of The Art IT-(Security) -Kommunikation
Obwohl IT-Security-Projekte mit den Technologien von morgen arbeiten, werden für die Kommunikation dieser Projekte meistens noch die Kanäle und der Kommunikationsstil von gestern eingesetzt. Die Erfahrung lehrt uns jedoch, dass genau das ein entscheidender Faktor für den Erfolg von IT Projekten sein kann. Das impliziert jedoch, dass IT-Security-Services und Projekte mit Hilfe von professionellem Kommunikationsmanagement durchgeführt und von (IT) Kommunikationsexperten unterstützt werden müssen. Es bedeutet auch, dass IT-Kommunikation ein integraler Bestandteil von IT-Security-Projekten und -Services ist und dass IT-Security mit dem Kommunikationsbereich des Unternehmens zusammenarbeitet um die Kommunikationsmaßnahmen zu planen und durchzuführen. Aengenheyster/Doerr 2019 haben dazu eine ausführliche Arbeit inklusive Praxisanleitungen verfasst.
:quality(80)/images.vogel.de/vogelonline/bdb/1897400/1897473/original.jpg "IT-Security-Teams müssen Kommunikation zu einer ihrer Hauptaufgaben machen, um als starker Partner für die digitale Transformation wahrgenommen zu werden. (insta_photos - stock.adobe.com)")
Positionierung als starker Partner im Rahmen der digitalen Transformation
IT-Security braucht professionelle Kommunikation
5. Erfolgsfaktor: IT-Security-Rolle als Business Enabler / Partner
Obwohl das IT-Security-Department eine fundamentale Rolle bei digitalen Innovationen spielt, agiert es in der Regel immer noch im Hintergrund, als einfacher Service Provider für das Business. Um eine erfolgreiche digitale Transformation zu gestalten ist es jedoch essenziell wichtig, dass IT-Security seine Rolle als Business Partner und Business Enabler wahrnimmt. Diese Rolle sollte sich in der Organisationsstruktur des Unternehmens auch widerspiegeln: IT-Security sollte nicht länger nur als Cost Center betrachtet werden, sondern vielmehr als strategische und äußerst wichtige Funktion.
6. Erfolgsfaktor: Automation, ML, AI und Optimierung von Quantum Technologie
AI Technologien können sehr gut eingesetzt werden, um die große Menge an Daten zu verarbeiten, die ein Unternehmen täglich generiert. Mit der Hilfe von Machine Learning Algorithmen können bestimmte Muster identifiziert werden und praxisnahe Analysen zur Verbesserung der Business Performance, oder Informationen zu potentielle Risiken oder Chancen schnell verfügbar gemacht werden. Die zukunftsorientiertesten IT und Business Leader bereiten sich schon jetzt auf einen sprunghaften Anstieg der Quantum Technologien vor und planen bereits das Personal, die benötigten Qualifikationen und Projekte – sie erzeugen ein Verständnis dafür, wie Quantum Technologien dabei helfen können aktuelle Geschäftsprobleme zu lösen.
7. Erfolgsfaktor: Fokus auf in-house IT-Security-Ressourcen
Der letzte Erfolgsfaktor auf unserer Liste ist der Fokus auf IT-Security in-house Ressourcen. Das impliziert limitiertes Outsourcing von IT-Security-Services und den Fokus auf in-house Ressourcen und Expertise, d.h. ausschließlich Services und Prozesse, die keine zentrale strategische Relevanz besitzen, werden einem Outsourcing unterzogen.
Intervenierende Variablen
Die oben gelisteten Erfolgsfaktoren sollten als Orientierung dazu dienen, um eine digitale Transformation erfolgreich durchzuführen. Es ist jedoch offensichtlich, dass wir hier nicht über ein “one size fits all” reden. Es gibt eine Reihe von intervenierenden Variablen, die die Aussagekraft dieses Modells beeinflussen (horizontal dargestellt im Bild oben).
Die folgenden intervenierenden Variablen sollten bei der Entwicklung des „Digital Transfromation Framework“ in Betracht gezogen werden:
- Unternehmenskultur
- Unternehmensgröße
- Unternehmensstruktur
Digitale Transformation ist Unternehmenswandel und Unternehmenswandel verlangt nach einer flexiblen Unternehmensstruktur, die offen für Wandel ist. Wird das “Digital Transformation Framework” in einer streng hierarchischen Unternehmenskultur implementiert, die top-down orientiert und wenig kommunikativ ist, sind die Chancen des Erfolgs geringer als in einer Unternehmenskultur, die nach einer Matrix organisiert ist und aus einem kommunikativen und fluiden Netzwerk besteht.
Einige der Erfolgsfaktoren können möglicherweise nicht auf kleine und mittelständische Unternehmen angewandt werden, da sie schlichtweg nicht relevant oder vorhanden sind. Auf der anderen Seite kann es herausfordernd sein das Framework in einem großen, international operierenden Unternehmen anzuwenden, da hier viele Standorte und Stakeholder in den Change miteinbezogen werden müssen.
Eine Unternehmensstruktur, die IT-Security und Business erlaubt, auf Augenhöhe zu kooperieren und gemeinsame Sache zu machen begünstigt alle oben genannten Erfolgsfaktoren. Im Falle einer sogenannten “Silobildung” zwischen den Unternehmensbereichen ist die Implementierung unseres Frameworks wesentlich schwieriger.
Kurz gesagt: Um eine erfolgreiche und nachhaltige digitale Transformation zu erreichen ist insgesamt gesehen enorm wichtig, dass die Kluft zwischen IT-Security und dem Business geschlossen wird. Beide Unternehmensbereiche müssen als Partner agieren. Das kann erreicht werden, indem die Lücken in den Bereichen Agile Security, Security Awareness, Recruiting, Kommunikation sowie der Verwendung von AI und Quantum Technologien geschlossen werden und aus der in-house Expertise Nutzen gezogen wird.
Über die Autorinnen
Dr. Kim Miriam Dörr: Als Expertin für IT-Kommunikation mit dem Schwerpunkt auf Information Security berät Dr. Kim Miriam Dörr seit 10 Jahren Führungskräfte in DAX30 Unternehmen verschiedenster Branchen. In internationalen IT-Projekten setzt sie ihre Expertise ein, um Unternehmen bei ihrem erfolgreichen digitalen Wandel zu unterstützen. Frau Dr. Dörr besitzt einschlägige Erfahrung mit den internen Information Security Standards deutscher Top-Unternehmen.
Ema Rimeike: Ema Rimeike besitzt einen Master in Cybersicherheit und ist eine erfahrene C-Level Cybersecurity Sales Executive mit großen weltweiten Kunden, insbesondere in der DACH-Region. Zusammen mit anderen Sicherheitsexperten hat sie Quantum Cybersecurity Skills gegründet, um Unternehmen bei der Transformation ihres Risikomanagements und der Verbesserung der Sicherheitseffizienz zu unterstützen. Quantum Cybersecurity Skills bietet Unternehmen die Lösungen und Beratung, die erforderlich sind, um frühzeitige Geschäftsrisikoindikatoren zu generieren und die Eindämmung von Schwachstellen zu beschleunigen, indem die wichtigsten Bedrohungen für kritische Prozesse identifiziert werden.
(ID:47697669)
:quality(80)/images.vogel.de/vogelonline/bdb/1945100/1945176/original.jpg "Das IT-Risikomanagement ist als ein aktiv einzusetzendes Instrumentarium zur Unternehmenssteuerung anzusehen, das Firmen wettbewerbsfähig hält. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942654/original.jpg "Die Zukunft der Unternehmens-IT liegt in der Cloud, wie Zero Trust und SSE unterstreichen und die hybride Arbeitswelt fordert. (thodonal - stock.adobe.com)")