Sicher und agil Security und Privacy by Design

Autor / Redakteur: Martin Kuppinger / Stephan Augsten

IT-Sicherheit ist teuer und bringt keine Vorteile fürs Geschäft? Dieses alte Vorurteil gegenüber der Informationssicherheit gehört ein für alle Mal aus der Welt geschafft. Das genaue Gegenteil ist der Fall, insbesondere bei der Digitalen Transformation.

Firmen zum Thema

Wer erfolgreich und kostengünstig Dienste anbieten will, muss in der Lage sein, sie flexibel zu rekonfigurieren.
Wer erfolgreich und kostengünstig Dienste anbieten will, muss in der Lage sein, sie flexibel zu rekonfigurieren.
(Bild: Archiv)

Klar, IT-Sicherheit gibt es nicht umsonst. Aber sie allein auf den Faktor Kosten zu beschränken, ist extrem kurzsichtig. Leider führt das immer wieder dazu, dass Informationssicherheit insgesamt als lästiges Anhängsel bzw. Nachlese gesehen wird.

Tolle neue Business-Lösungen sollen her, Sicherheit hindert da doch nur, so der Gedanke vieler Führungskräfte in allen Unternehmensbereichen. Da können wir später immer noch dran denken. Vorsicht: Gerade in der Welt des Internet of Everyone, Everything and Everywhere ist diese Ansicht brandgefährlich.

Deutlich macht dies unter anderem auch das aktuelle Urteil zu Facebook und Safe Harbor. Wie es aussieht, wird die Entscheidung des Europäischen Gerichtshofs (EuGH), dass Daten bei ihrem Transfer von Europa in die USA als nicht sicher einzustufen sind, viele Unternehmen betreffen.

Mit Ausnahme des Sozialen Netzwerks Facebook, das die eigentliche Ursache des Rechtsstreits war. Dank vieler erstklassiger Juristen und Lobbyisten wird sich das Unternehmen wohl aus der Affäre ziehen und weitermachen können wie bisher.

Mehr Sicherheit, mehr Beteiligung

Die Aktivität der Nutzer geht in Deutschland aber offenbar zurück. Trotz der heute noch schieren Allgegenwart von Facebook: Ein Soziales Netzwerk ohne immer wieder neue Einträge aller Mitglieder droht über kurz oder lang einzugehen. Das haben andere Beispiele bewiesen.

Laut einer online-repräsentativen Umfrage will ein Viertel der 3.450 Befragten überhaupt keine Sozialen Medien mehr nutzen, 44 Prozent von ihnen geben als Grund für ihre Verweigerungshaltung die Sorge an, private Daten zu verlieren. Hätte Facebook mehr Geld in Security und Privacy by Design investiert als in Top-Anwälte, würden bestimmt mehr Menschen das Angebot wieder begeistert mit Inhalten befüllen. Sie bräuchten lediglich mehr Möglichkeiten, das eigene Sicherheitsniveau selbst bestimmen zu können.

Eine Lösung hierzu wäre das Konzept von Life-Management-Plattformen, über die ein Anwender seine persönlichen Daten im Web zuverlässig vor unerwünschten Zugriffen schützen kann. Es ist eben wie bei allem in der Online-Welt immer auch eine Frage des Vertrauens, der Sicherheit und der Nutzerfreundlichkeit.

Sicherheitsinfrastrukturen auf Anwendungsebene

Von der Information und Operational Technology (IT und OT) bis zum Internet of Things (IoT) existieren unzählige Angriffsflächen. Neben hohen Kosten können diese auch andere katastrophale Auswirkungen haben, wenn Kriminelle oder Spione sie erfolgreich attackieren.

Im Gegensatz hierzu reduzieren Application-Security-Infrastrukturen die Ausgaben. Sie fungieren als Bindeglied zwischen einer zentralisierten, standardisierten IT-Infrastruktur mit Identitäts- und anderen Sicherheitsdiensten auf der einen Seite und den Anwendungen auf der anderen Seite. Gleichzeitig machen sie das Entwickeln von Applikationen schneller und agiler: die Sicherheitsinfrastruktur lässt sich jederzeit ändern, aktualisieren und erweitern, ohne dabei die Applikationen selbst zu beeinflussen.

Wer künftig erfolgreich und kostengünstig Services anbieten will, muss in der Lage sein, sie flexibel zu rekonfigurieren, statt für jeden neuen Markt immer wieder neu programmieren zu müssen. Es ist letztlich deutlich günstiger, Security APIs (Application Programming Interfaces) für einzelne Funktionen zu konfigurieren, als Sicherheitsfeatures für jede einzelne Applikation programmieren und regelmäßig pflegen und warten zu müssen.

Ein Fehlen von Security und Privacy by Design wirkt sich vor allem negativ auf den Erfolg der Digitalen Transformation aus, in der sich alles um schnelle Innovationen, ständig neue Geschäftsbeziehungen und flexible Geschäftsmodelle dreht und alles mit allem vernetzt ist. Denn gleichzeitig stellen die Sicherheitsgesetze immer strengere Compliance-Anforderungen. Zudem sind sie weltweit fast überall anders ausgestaltet.

Legislative, Judikative und Exekutive für die Sicherheit

Diese Struktur lässt sich analog zu der Dreiteilung in Legislative, Judikative und Exekutive beschreiben. Die Gesetzgeber (Legislative) setzen heute ständig neue, schärfere und in globalem Maßstab unterschiedliche Regeln.

Wer als Unternehmer (Exekutive) nicht mit der Justiz (Judikative) in Konflikt geraten und teure, nicht nur monetäre, Strafen vermeiden will, trifft Vorsorge. Schließlich könnte auch der Ruf des Unternehmens unter den Augen einer kritischen Öffentlichkeit langfristig Schaden nehmen. Das Image ist in den Sozialen Netzwerken blitzschnell ruiniert.

Fazit: Wer sein Unternehmen auf Security and Privacy by Design trimmt, wird mit Sicherheit agiler. Software und vernetzte Gegenstände lassen sich schneller entwickeln und Geschäftsmodelle bei Bedarf rasch ändern. Damit ist die Einmalinvestition in Security und Privacy in kurzer Zeit amortisiert. Die Vorteile stellen sich schnell ein und bleiben auf Dauer bestehen.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:43704930)