Identitätsmanagement als Wegbereiter im Unternehmen Wie Sicherheitsexperten ihren Ruf als Blockierer loswerden

Autor / Redakteur: Barry McMahon / Peter Schmitz

Die Rolle der Sicherheitsteams in Unternehmen hat sich durch die Fernarbeit der letzten Monate stark gewandelt. Waren sie in der Vergangenheit vorrangig um die Früherkennung und das Abwehren von Bedrohungen bemüht, entwickeln sie sich in Zeiten von Remote Work zu Wegbereitern für eine einheitliche Sicherheitsstrategie in ihren Firmen.

Firmen zum Thema

Es ist an der Zeit, dass die Security-Experten ihren Ruf als Geschäftsblockierer loswerden und sich als Wegbereiter der Transformation präsentieren.
Es ist an der Zeit, dass die Security-Experten ihren Ruf als Geschäftsblockierer loswerden und sich als Wegbereiter der Transformation präsentieren.
(Bild: gemeinfrei / Pixabay )

Die digitale Transformation hat für 89 Prozent der Unternehmen in Europa Priorität, wie eine aktuelle IDC-Studie bestätigt. Zu Veränderungen auf organisatorischer Ebene hat das jedoch bislang kaum geführt. Erst Corona hat die Firmen zum Umdenken veranlasst. Viele ergreifen jetzt Maßnahmen, um sich auf künftige Störungen vorzubereiten – vor allem im Hinblick auf das sichere Arbeiten im Home Office und unterwegs.

Dazu gehört auch eine verstärkte Konzentration auf die operative Beweglichkeit, die jetzt und in Zukunft von entscheidender Bedeutung für Unternehmen sein wird. Sich agil aufstellen zu können, setzt jedoch einen kulturellen Wandel voraus: Jede Abteilung muss Verantwortung übernehmen und Veränderungen vorantreiben. Das gilt vor allem für Sicherheitsexperten, denn bei Veränderungen spielt das Risiko-Management eine besonders wichtige Rolle.

Laut IDC betrachtet jedoch noch immer ein Drittel (37 Prozent) der deutschen Manager das Thema Sicherheit als Innovationsblockade, Compliance-Hürde oder notwendigen Kostenpunkt. Das sind zwar knapp zehn Prozent weniger als noch vor zwei Jahren, trotzdem führt diese Einstellung nach wie vor zu einer negativen Reputation der Sicherheitsbeauftragten. Das zeigt auch eine weitere Zahl: 59 Prozent der deutschen Unternehmen versäumen es, ihre Sicherheitsexperten in die Planung neuer Geschäftsinitiativen einzubinden.

Was aber können die Sicherheitsverantwortlichen tun, um ihre Reputation zu verbessern und gleichzeitig die wachsenden operativen Herausforderungen zu bewältigen?

Bisheriger Fokus: Brandbekämpfung

Risiken sind wesentliche Bestandteile der Unternehmensführung. Kein Change-Prozess verläuft ohne Risiko. Genau das macht es aber so schwierig, die Sicherheitsexperten als Wegbereiter und Treiber der digitalen Transformation zu positionieren. Denn das widerspricht dem traditionell an sie gestellten Anspruch, alle Risiken zu „blockieren“. Daher fällt es den Sicherheitsteams der meisten deutschen Firmen schwer, ihren Geschäftswert über den Technologieeinsatz und die Bekämpfung von Bedrohungen hinaus zu demonstrieren.

Unternehmen von heute operieren auf globaler Ebene. Sie arbeiten mit Firmen auf der ganzen Welt zusammen und nutzen eine Vielzahl unterschiedlicher Technologien, mit denen die Produktivität und Effizienz gesteigert werden soll. Aufgrund der vielen verschiedenen Plattformen und dem damit verbundenen Wartungsaufwand ist aber häufig das Gegenteil der Fall. Erschwerend hinzu kommen Risiken durch die eigenen Mitarbeiter. Trotz der steigenden Zahl von Datenverstößen haben die meisten Arbeitnehmer in Deutschland ein recht fragwürdiges Sicherheitsverhalten. Das Wiederverwenden von Passwörtern auf verschiedenen Plattformen ist gang und gäbe. Und immer wieder werden Mitarbeiter Opfer von Phishing-Angriffen. Daher konzentrieren sich die Sicherheitsteams vorrangig auf die alltägliche „Brandbekämpfung“. Für langfristige Optimierungsprojekte im Rahmen der Business Transformation bleibt meist keine Zeit.

Aber was können Sicherheitsbeauftragte tun, um nicht als Geschäftsblockierer wahrgenommen zu werden? Wie können sie ihr Wirken proaktiv unter Beweis stellen?

Risiko-Management zur Priorität machen

Ein guter Ansatzpunkt besteht darin, sich auf die Bereiche zu konzentrieren, die beim Vorstand besonders angesehen sind. Dazu zählt laut IDC-Studie vor allem die Optimierung des Risiko-Managements: 36 Prozent der befragten Führungskräfte in Deutschland erwarten sich davon den größten Mehrwert. Die Einführung eines umfassenden Identitäts- und Zugriffsmanagements (IAM) ist daher eine gute Möglichkeit für das Sicherheitsteam, sich strategisch zu positionieren.

Um die IAM-Erfahrung für die Anwender so nahtlos wie möglich zu gestalten, stehen verschiedene Werkzeuge zur Verfügung. Entscheidend ist dabei eine eng verzahnte Sicherheitsumgebung, die bestimmte Schlüsselkomponenten umfassen sollte – darunter Single-Sign-On-Fähigkeiten (SSO), Multi-Faktor-Authentifizierung (MFA), Enterprise Password Manager (EPM) sowie Management-Dashboards. Im Zusammenspiel tragen diese Tools dazu bei, den potenziellen Schaden, der durch ein mangelndes Sicherheitsbewusstsein der Mitarbeiter entsteht, zu begrenzen.

Allerdings erhöht der Einsatz unterschiedlicher Tools die Komplexität und kann unter Umständen sogar kontraproduktiv sein. Um einen geschäftlichen Nutzen zu erzielen, empfiehlt es sich daher, die Lösungen unter einer Identität zu vereinheitlichen.

Vereinheitlichte Sicherheit dank IAM

Das bedeutet, dass Unternehmen ihre heterogene Sicherheitsinfrastruktur in einem ganzheitlichen Ökosystem integrieren und zentralisieren müssen. Mit diesem Ansatz lässt sich der Betrieb verbessern, was wiederum die Wartung erleichtert. So kann die IT durch das integrierte Konzept laut IDC-Studie 99 Tage im Jahr für Wartung und Verwaltung einsparen. Der größte Vorteil des einheitlichen Sicherheitsansatzes ist demnach die Mitarbeiterbindung, gefolgt von einer höheren Kosteneffizienz sowie von der Fähigkeit zur schnellen Reaktion auf Sicherheitsvorfälle.

Mit solchen Argumenten können sich die Verantwortlichen beim Vorstand besser Gehör verschaffen. Denn in einer integrierten Sicherheitsumgebung werden sich wiederholende Prozesse automatisieren, so dass sich das Security-Team auf anspruchsvollere Aufgaben konzentrieren kann. Natürlich bleiben Kostenreduzierung und operative Effizienz von zentraler Bedeutung, um die Auswirkungen auf das Business zu belegen. Aber sie sollten nicht die einzigen Argumente sein.

IT-Teams müssen Business-Sprache sprechen

Bei einem Best-of-Breed-Identity-Ansatz profitieren Unternehmen von Vorteilen wie einem effektiveren Risiko-Management und mehr Kosteneffizienz. Darüber hinaus können die Sicherheitsbeauftragten damit ihren Wert unter Beweis stellen, indem sie dem Vorstand die Vorzüge überzeugend vermitteln.

Dabei sollten sich die Experten nicht zu sehr auf technische KPIs wie die Menge der transportierten Daten oder die Anzahl der Systeme mit bekannten Schwachstellen konzentrieren. Vielmehr sollten sie sich auf KPIs stützen, die sich auf Geschäftsergebnisse beziehen. Mit Messgrößen zu Kostenreduktion, Personalauslastung, Risikominderung und Compliance können sie auf Vorstandsebene die größte Resonanz erzielen:

  • Kostenreduktion: Die Integration unterschiedlicher Identity-Tools in eine End-to-End- Plattform steigert die Kosteneffizienz und verbessert die Personalauslastung.
  • Risikominderung: Intuitive Zugriffsprozesse fördern ein richtlinienkonformes Verhalten und sorgen so für ein durchgehend höheres Sicherheitsniveau.
  • Compliance: Die Fähigkeit, nachzuverfolgen, wer Zugriff auf welche Anwendungen und Daten hat, unterstützt die Einhaltung gesetzlicher Vorschriften.

Das Thema Sicherheit muss strategisch betrachtet werden

Eine Bestandsaufnahme der gewonnenen Erkenntnisse wird den IT-Teams zeigen, welche Anwendungen sich für eine remote arbeitende Belegschaft bewährt haben und wie sich unnötige Risiken durch eine verbesserte Sicherheitsarchitektur verringern lassen. Damit Unternehmen ihr Wachstum wieder beschleunigen und sich agil aufstellen können, muss die digitale Transformation Wirklichkeit werden. Und das ist nur mit einer starken und einheitlichen Sicherheitslandschaft machbar.

Es ist an der Zeit, dass die Security-Experten ihren Ruf als Geschäftsblockierer loswerden und sich als Wegbereiter der Transformation präsentieren. Voraussetzung dafür sind proaktive Schritte, um das Sicherheitsbewusstsein im gesamten Unternehmen zu verbessern und um Zeit und Ressourcen freizusetzen, die für längerfristige Optimierungsprojekte benötigt werden. Um sich strategischer aufzustellen, müssen die Sicherheitsteams glaubwürdig auftreten und ihre Argumente in einer Sprache vorbringen, die auch auf der Vorstandsebene Gehör findet.

Über den Autor: Barry McMahon ist Senior Manager, Identitäts- und Zugriffsmanagement bei LogMeIn und Schöpfer von LastPass. LastPass ist Gold-Winner in der Kategorie Access-Management beim Security-Insider Readers' Choice Award 2020.

(ID:46956000)