Die Veränderungen der Corona-Pandemie werden in vielen Lebensbereichen ihre Spuren hinterlassen. Gerade in Zeiten von Shopping im Lockdown, Kontaktbeschränkungen und kontaktlosem Bezahlen werden die Einflüsse deutlich. Das betrifft auch die IT-Sicherheit.
Auch wenn wir irgendwann diese Pandemie „im Griff“ haben, es gibt nicht das normale Leben aus dem Frühjahr 2020. Müssen wir aber zwangsläufig Veränderung als Risiko sehen? Warum machen wir nicht Chancen daraus und gehen diese bewusst an.
In der Theorie klingt das immer super. Die Praxis sieht aber hier nicht immer so rosig aus. Jede Branche bastelt an ihren eigenen Lösungen und Geschäftsmodellen. Das Online-Shopping wird zum Erlebnis. Ganze IT-Landschaften werden darum gebaut und dass Shopping-Event schließt mit einem erfolgreichem Kauf und der anschließenden Online-Bezahlung ab. Damit das auch gut funktioniert, werden die Hürden klein gehalten. Der größte Ärger ist immer dann, wenn der Prozess hakt und der Kunde den Kauf abbricht – Desaster. Der Analyst weiß, der Kunde kommt nicht wirklich wieder und der Umsatz ist weg.
Fortschreitende Digitalisierung
Gleichzeitig finden aber in allen Lebenswelten ähnliche Prozesse statt. Die Automobilbranche macht das teilautonome Fahren zu einem Event mit direkter Verbindung in die Online-Welt. Das Gesundheitswesen führt neue Patientenmodelle mit direkter Anbindung an die Krankenkasse und die Arztpraxis ein. Die Kundenbindung elektrischer Haushaltsgeräte findet mittlerweile direkt in der heimischen Wohnung statt. Selbst die öffentliche Verwaltung geht mit dem Thema e-government an den Start.
Wie schön wäre es hier doch, wenn man mit einem einheitlichen Ansatz agieren würde. Denn alle Prozesse und Abläufe fließen mittlerweile in einem, meist mobilen, Endgerät zusammen. Macht nichts. Jede Firma hat Top-IT-Architekten und Entwicklerteams, unbegrenzten Kapazitäten für die IT-Sicherheit und einen guten Plan. Stop!
IT-Sicherheit als Kehrseite der Digitalisierung
Fachkräftemangel ist bereits jetzt ein Problem. Budget gibt es nur für das IT-Produkt, nicht für die IT-Sicherheit. Der „gute“ Plan muss sich aber auch mit den Plänen der anderen verzahnen, damit er gut bleibt. Also stehen wir im Wettbewerb um Talente, Ressourcen und Budgets. Ein Wettbewerb der keine Sieger kennt.
Hier sind andere Denkmuster angebracht. Eine gute Sicherheitsarchitektur basiert auf ganzheitlicher Planung. Wen wir ein Haus bauen, machen wir es doch nicht anders. Wir machen einen Plan, der Architekt verantwortet den Plan, der Statiker und alle Gewerke prüfen im weiteren Verlauf. Viele verschiedene Spezialisten arbeiten hier Hand-in-Hand. Das Fundament ist hier die Grundlage und das Dach der Abschluss.
IT-Sicherheit muss geplant werden
In IT-Projekten sieht das leider anders aus. Die Medizin-IT eines Krankenhauses beschafft ein neues Gerät. Nach der Lieferung bekommt die Krankenhaus-IT nur noch die Info und den Auftrag es in einem bestimmten Raum anschließen. „Geplante“ Sicherheitsarchitektur sieht anders aus.
Aber auch die Bankenbranche braucht hier andere Denkmodelle. Die Filiale wechselt in die Online-Welt und wird damit auch Bestandteil der SmartHome-Anwendungen. Das wird immer dann ein Problem, wenn die Schwachstelle im vernetzten Kühlschrank auf das Online-Banking durchschlägt und das Geld weg ist.
Sicherheit bedeutet mehr als nur Technik
Aber wer ist hier der Schuldige? Natürlich der Hacker, aber auch der Kunde, geht ja gar nicht anders. Der muss ja irgendetwas Falsch gemacht haben, die Bank kann doch gar nicht Schuld sein. Die Systeme sind grundsätzlich sicher, so lange, bis ein Mensch kommt und sie bedient.
Dass die Zwei-Faktor-Authentifizierung als Software-Zertifikat auf dem Laptop des Kunden hinterlegt wurde, ist doch nur eine Erleichterung in der Benutzerführung. Das muss der Kunde ja nicht in einer unsicheren Umgebung machen.
Aber genau diese Haltung verhindert die konsequente Ausnutzung der Chancen. Welcher Anwender, und am Ende sind wir alle irgendwo Anwender, hat ein Informatikstudium abgeschlossen, bevor er von der Couch sein Online-Banking macht.
Grundarchitektur der IT muss sicher sein
Wenn wir es hier hinbekommen, dass die Grundarchitektur der IT einen abgestimmten Sicherheitslevel erreicht und alle Branchen diesen Einhalten ist es am Ende des Tages egal, welchen Wissensstand der Endanwender hat und über welche Plattform der Kontakt stattfindet. Das erhöht nicht nur die Sicherheit, sondern auch die Akzeptanz und das Vertrauen und spart am Ende Ressourcen für alle.
Das ist auch für die Zukunft wichtig. Neben dem Klimawandel und der Nachhaltigkeit haben wir auch ein Generationsproblem. Aus meinem persönlichen Erleben (Enkelkinder) kommt da eine Generation von Nutzern auf uns zu, die eine Erwartungshaltung an die IT-Welt haben, die sich nur noch über die Funktionalität definiert.
Ist dieser Anspruch realistisch? Es ist machbar. Dazu gehört aber der Blick über den eigenen Tellerrand und das Verlassen der eigenen Komfortzone. Die Auseinandersetzung mit fremden Themen, der Einsatz von Ressourcen, der Wille sein Wissen zu teilen. Und am Ende diese ganzen Informationen in den eigenen Entwicklungsprozess einfließen zu lassen. Aber auch nur um dann wieder von vorne anzufangen.
Digitalisierung ist ein fortschreitender Prozess