Je komplexer, desto teurer

IT-Sicherheitsteams haben es selbst in den besten Zeiten nicht leicht und sind gezwungen, ein kompliziertes Katz- und Mausspiel zu betreiben. Einem Bericht des Weltwirtschaftsforums über globale Risiken im Jahr 2021 zufolge, werden die Dinge eher schlimmer als besser. Der Grund: Die von Unternehmen, Behörden und Privatpersonen ergriffenen Cybersicherheitsmaßnahmen werden zunehmend von der wachsenden Raffinesse der Cyberkriminellen übertroffen. Ein Teil des Problems besteht darin, dass die von Anbietern zur Verfügung gestellten Werkzeuge eher diffus arbeiten und jeweils nur einzelne Bereiche der Cybersicherheit abdecken.

Das Problem ist nicht unerheblich. Es betrifft sowohl die sogenannten „harten“ als auch die „weichen“ Kostenfaktoren. Die Ursache liegt in mangelnder Einheitlichkeit was die Teams der Sicherheitsexperten und die von ihnen eingesetzten Technologien unterschiedlicher Anbieter anbelangt. Etwas, das sich sogar auf die Personalkosten der Mitarbeiter auswirkt.

Die harten Kosten

IT-Sicherheitsverantwortliche haben es üblicherweise mit Anbietern zu tun, die versuchen, das gesamte Spektrum der Bedrohungslandschaft abzudecken. Inzwischen ist aber wohl jedem bewusst, dass sich die Bedrohungslandschaft ständig weiterentwickelt. Angreifer und Verteidiger arbeiten gleichermaßen daran, ihr Spiel zu verbessern und ihre Ziele zu erreichen. Die unterschiedlichen Technologien, die ein durchschnittliches Unternehmen einsetzt und die von verschiedenen Anbietern bereitgestellt werden, sind dabei Teil des Problems.

Sie integrieren das Identitätsmanagement im gesamten Unternehmen, und sie arbeiten dabei nicht selten Seite an Seite mit einem Dutzend weiterer Anbieter – jeder einzelne von ihnen mit seinen speziellen Sicherheitsanforderungen. Die damit verbundenen harten Kosten beruhen auf der Notwendigkeit Integratoren zu beschäftigen, um die Schnittstellen zwischen den Softwareintegrationen zu installieren, zu konfigurieren und zu pflegen. Und das in einem ohnehin angespannten Technologiemarkt. Laut Connecting Software entfallen von den 3,69 Billionen Dollar, die im Jahr 2020 weltweit für IT ausgegeben wurden, stolze 39 % allein auf Integrationskosten.

All diese Anbieter sind zudem gezwungen, ihre Produkte fortlaufend zu aktualisieren, um neuen Angriffsarten und Trends zu begegnen. Die Veränderungen müssen anschließend in das Gesamtpaket integriert werden. Wenn zusätzliche Lösungen mit einem Produkt integriert worden sind, für das gerade ein Update eingespielt wurde, müssen auch diese Lösungen angepasst werden. Für ein Global-2000-Unternehmen bedeutet ein derart komplexes Architekturmanagement einen finanziellen Aufwand in Millionenhöhe. Besorgniserregender ist jedoch, dass ein nicht korrekt integriertes System etwas noch Schädlicheres hervorbringt: Nämlich eine Schwachstelle, die ein Angreifer als potenziellen Einstiegspunkt missbrauchen kann.

Die weichen Kosten

Bei den Diskussionen zu Sicherheits- und Technologiefragen wird gerne übersehen, dass all diese Systeme von Menschen bedient werden. Wer Teil eines IT-Sicherheitsteams ist, gehört fast zwangsläufig zu dem Typus von Beschäftigten, der am häufigsten unter Stress leidet. Und über 75 % der CISOs sind der Ansicht, dass die Pandemie den berufsbedingten Stress noch weiter nach oben geschraubt und den Druck erhöht hat (genauso wie die Integrationskosten). In den letzten beiden Jahren hat sich in dieser Hinsicht nicht viel geändert.

Dieses Problem betrifft allerdings nicht nur die CISOs. Sicherheitsexperten sind aufgrund der Dauerbeanspruchung anfälliger für Burn-out und andere psychische Belastungen. Außerdem wird es immer schwieriger und teurer, überhaupt geeignete Sicherheitsexperten zu finden und im Unternehmen zu halten. Eine aktuelle Fortinet-Studie über die sogenannte Qualifikationslücke hat ergeben, dass 60 % der Unternehmen Schwierigkeiten haben, Mitarbeitende zu finden und 52 % damit kämpfen, qualifizierte Mitarbeiter zu halten. Ein klassischer Teufelskreis. Wenn die Probleme nicht gelöst werden, münden diese leicht in Erschöpfung, Stress und Burn-out. Das wiederum kann dazu führen, dass weitere Sicherheitsbedrohungen durch die Maschen schlüpfen. Unterschiedliche Sicherheitsanbieter bedeuten zudem unterschiedliche Verantwortliche – auch das kann zu erheblich mehr Schwachstellen führen.

Selbst Unternehmen, die sich die laufenden Integrationskosten leisten können, sollte daran gelegen sein, die Belastung ihrer Sicherheitsfachleute zu senken, die Mitarbeiterbindung zu stärken und die Teams angemessen zu unterstützen.

Unify to Identify – Was ein einheitliches Identitätsmanagement leistet

Wenn ein großes Unternehmen nicht die richtigen Mitarbeitenden einstellt, nicht auf die richtige Integration setzt und nicht gewährleisten kann, dass Zugangspunkte sicher sind, führt das potenziell zu erheblichen Verlusten. Das gilt in finanzieller Hinsicht, aber auch im Hinblick auf den Ruf des Unternehmens. Wer sich mit dieser komplexen Problemlage auseinandersetzen muss, wie das IT-Sicherheitsabteilungen tagtäglich tun, der läuft Gefahr, überfordert zu werden.

Eine Lösung kann aber niemals rein technischer Natur sein. Jedes Unternehmen ist auf eine Personalabteilung angewiesen, die sich der Komplexität bewusst ist und Hilfestellung leisten kann. Grundsätzlich sollte es darum gehen, die Komplexität von Technologiesystemen zu verringern. Das gelingt beispielsweise durch die Vereinheitlichung von Bereichen wie dem Identitätsmanagement. Mit einem Anbieter zusammenzuarbeiten, der seine Warnmeldungen über Identitäts-Management-Plattformen hinweg konsolidiert, löst bereits viele der hier angesprochenen Probleme. Gleichzeitig schafft man so die Voraussetzungen für ein wirtschaftlich gesünderes und sicheres Unternehmen.