Simon Keates, Business Development Director, EMEA bei Thales eSecurity, erläutert wie man eine effektive Verschlüsselungsstrategie am besten umsetzt und wie man die dazu notwendige Kommunikation mit der Führungsebene verbessert.
Lange Jahre hat man Verschlüsselung primär aus einem Blickwinkel heraus betrachtet: dem einer Belastung für Geschäftsprozesse. Teuer, komplex und von zweifelhaftem Wert. Wie sich die Dinge doch geändert haben. Nach wenigen Jahren (und nach Hunderten von hochkarätigen Datenschutzverletzungen mit wirtschaftlichen Schäden in Billionenhöhe) lassen sich Cyberbedrohungen nicht mehr ignorieren. Das ist auch auf den Vorstandsetagen angekommen. Neben den unmittelbaren wirtschaftlichen Folgen einer Datenschutzverletzung gibt es ein breit gefächertes Arsenal an weiteren, potenziell verheerenden Auswirkungen.
Diese reichen vom Informationsverlust über operationelle Folgen für die Geschäftstätigkeit eines Unternehmens, bis hin zum Druck seitens der Medien, einer potentiellen Rufschädigung und nicht zuletzt Auswirkungen auf die Kundenbindung oder regulatorische Konsequenzen.
Mit diesen Veränderungen hat sich die Natur der unternehmerischen Erfordernisse verändert. Unternehmensvorstände sind in zunehmendem Maße verantwortlich. Betrachtete man Dinge wie Verschlüsselung in der Vergangenheit gerne als „zu technisch“ für die Führungsebene, hat sich diese Sichtweise angesichts der Verantwortlichkeit im Falle einer Datenschutzverletzung deutlich geändert.
In den letzten Jahren haben wir einen starken Anstieg bei den gemeldeten und analysierten Datenschutzverletzungen beobachtet. Dieser Anstieg ist beides zugleich: Stimulans und Symptom um Cybersicherheit einen festen Platz auf der Vorstandsagenda zu verschaffen.
Grundsätzlich ist es positiv zu bewerten, dass mehr Datenschutzverletzungen auch gemeldet werden. Er wirft aber auch ein Schlaglicht auf die Kluft zwischen dem Erkennen des Problems und dem offensichtlichen Mangel an einer befriedigenden Lösung. Sind wir der Lösung dieses Problems inzwischen ein Stück weit näher gekommen? Und wenn nicht, was hält uns davon ab?
Das Dilemma der digitalen Transformation
Wir erleben gerade eine Vierte Industrielle Revolution: ein weitreichender globaler Umbruch bei dem „digital werden“ nicht mehr nur eine Option ist. Geschäftsmodelle sind (und werden) in einem bisher nie gekannten Ausmaß technologienbasiert, vernetzt und mobil. Wir befinden uns mitten in der digitalen Transformation. Eine Migration, die uns laut Prognosen der IDC-Analysten allein in diesem Jahr eine Summe von 1,25 Billionen Dollar kosten wird. Das sind bedeutsame Veränderungen. Parallel zu diesen Veränderungen läuft eine ebenso wichtige wie selten erzählte Geschichte im Hintergrund ab. Und die betrifft den Cybersicherheits-Imperativ auf den Vorstands- und Führungsebenen der Firmen und Konzerne.
Die Ergebnisse des 2019 Thales Data Threat Report-Global Edition legen offen, dass mit der digitalen Transformation, die in vielen Unternehmen bereits in vollem Gange ist, vertrauliche Daten häufig einem hohen Risiko ausgesetzt sind. Die überwältigende Mehrheit (97 %) der im Rahmen der Studie befragten IT-Experten ist sich einig: hinsichtlich der digitalen Transformation sitzen alle im gleichen Boot. Demgegenüber setzen allerdings nur weniger als ein Drittel der Befragten (30 %) eine Verschlüsselungsstrategie in ihrenm Unternehmen um. Ein signifikanter Befund, denn worin besteht heutzutage das wichtigste Kapital eines Unternehmens? In Daten und Informationen. Sensible Kundendaten, vertrauliche, finanzielle Informationen und andere proprietäre Daten, die es zu schützen gilt.
In vielen Firmen kommt noch etwas anderes hinzu. Im Rahmen der digitalen Transformation wandern die Daten aus wenn man so will „verriegelten Tresoren“ in Rechenzentren, in die Cloud oder in Edge-Technologien wie mobile Endgeräte. Die Netzwerkgrenzen sind längst verschwommen. Wie einst, Sicherheitslösungen am Perimeter einzuziehen und sich dann entspannt zurückzulehnen, diese Zeiten sind endgültig vorbei.
Die Rolle von Verschlüsselung
Es ist schwer vorstellbar, dass es noch Unternehmen gibt, die Verschlüsselung weiterhin als zu teuer, zu komplex oder als von zweifelhaftem Wert ansehen. Tatsächlich betrachten mehr und mehr führende Hersteller Verschlüsselung demgegenüber als Herzstück ihrer Cybersicherheitsbemühungen. Oder, zum Leidwesen einiger, müssen sie einräumen, dass sie besser schon zu einem früheren Zeitpunkt in Verschlüsselung investiert hätten. Nämlich bevor eine schwerwiegende Datenschutzverletzung die Geschäftstätigkeit empfindlich getroffen hat.
Was aber macht eine effektive Verschlüsselungsstrategie aus? Sie beginnt wie so vieles damit, ein Verständnis für die Problemlage zu entwickeln. Bevor man beginnt an einem bestimmten Punkt Kontrollen einzuziehen oder Daten quasi blindlings zu verschlüsseln, sollten Unternehmen ein Risikomanagement etablieren. Im Rahmen dessen werden die Risiken untersucht, denen ein Unternehmen potenziell ausgesetzt ist und an welchen Stellen.
Hat man erst ein Mal ermittelt, mit welchen Risiken man es zu tun hat, kann man anschließend daran gehen die Prozesse zu identifizieren, in denen man überwiegend mit vertraulichen Daten arbeitet oder mit Daten, die am ehesten von Verlust oder Diebstahl bedroht sind. Der nächste wichtige Schritt besteht darin ein Unternehmen „secure by design“ zu machen. Viel zu lange hat man Sicherheit als etwas betrachtet, was erst ganz zum Schluss berücksichtigt wird. Sozusagen als optionales „Extra“. Zukünftig wird es ganz normal sein, beim Aufbau eines Unternehmens seine Resilienz und Abwehrfähigkeit gegenüber Bedrohungen vom ersten Tag an mit zu bedenken.
Wenn Sie eine neue Anwendung entwickeln, haben Sie Sicherheit schon in der Planungsphase berücksichtigt? Stellen Sie sich vor, Ihr Unternehmen wächst. Welche Lösung haben Sie am Start um Daten zu verschlüsseln und umfassend zu schützen, auch dann, wenn die Zahl der Mitarbeiter und Systeme wächst? Wenn Ihr Unternehmen in irgendeiner Form die digitale Transformation durchläuft, haben Sie ausreichend berücksichtigt, welche Datenschutzrisiken mit diesem Umwandlungsprozess gerade für vertrauliche Daten einhergehen?
Und zuletzt hängt es entscheidend davon ab, dass die Vorstands- und Führungsebene nicht zum berühmt berüchtigten Flaschenhals wird. Die besten Strategien für Verschlüsselung und Cyber-Resilienz ruhen auf gut durchdachten Prozessen und zügig erteilten Freigaben. Beides unterstützt die betreffenden Geschäftsbereiche und macht deutlich wie und warum Datenschutz diesen hohen Stellenwert für die Geschäftstätigkeit eines Unternehmens hat. Am Ende des Tages lässt sich alles auf ein Grundverständnis von Verschlüsselung und eine dementsprechende Haltung auf der Führungsebene zurückführen. Deshalb ist die Rolle der Vorstands- und Führungsebene für die Cybersicherheit so immens wichtig.
Verschlüsselung, der beste Freund der Vorstandsetage
Die steigende Zahl der gemeldeten Datenschutzverstöße und die stetige Weiterentwicklung von Cyberbedrohungen zeichnet für Unternehmen ein düsteres Zukunftsbild. Längst ist klar: Cybersicherheit und Verschlüsselung sind als Themen auf der Vorstandsebene angekommen und können nicht länger ignoriert werden. Externe Angreifer sind ständig damit beschäftigt, neue Wege zu testen wie sie in Systeme eindringen können. Das mindeste, das Unternehmen tun sollten, ist den Angreifern das Leben schwerer zu machen. Aus Vorstandssicht spricht aber noch etwas für den Einsatz von Verschlüsselung. Sie garantiert nämlich gleichzeitig die Lebensfähigkeit eines Unternehmens und seiner geschäftlichen Aktivitäten.
Zweifelsohne gibt es für die Führungsebene noch einiges zu tun. Über allem sollte die Maßgabe stehen, die Problematik wirklich ernst zu nehmen, eine Kultur der Cyber-Resilienz im gesamten Unternehmen zu etablieren und das Thema auf eine befriedigende Art und Weise in den Griff zu bekommen. Das sind die Voraussetzungen für die Umsetzung der besagten Verschlüsselungsstrategie.
Der darin liegende Vorteil ist allerdings nicht zu unterschätzen: man schafft ein solides Fundament um sein Unternehmen und sämtliche Geschäftstätigkeiten umfassend vor unnötigen Bedrohungen zu schützen und gleichzeitig die Voraussetzungen für nachhaltiges Wachstum.
Simon Keates, Business Development Director, EMEA bei Thales eSecurity