Der mögliche Weg zur vertrauensvollen digitalen Institution besteht im Wesentlichen aus zwei Elementen.

1. Verfahren, welche über das Internet den Services anbieten müssen robust und sicher sein. Den im Kern geht es um die tatsächlich implementierte Sicherheit und auch um das gefühlte Vertrauen. Benutzer müssen sich online sicher fühlen, ohne Angst zu haben, dass sich die Benutzer an einer Aktivität beteiligen, die eine persönliche Gefahr für sie darstellt oder ihre Daten missbraucht werden könnten.
2. Ein abgestimmter Zeitrahmen (z. B. 1 bis 3 Jahre) für die technische Umsetzung der zu digitalisierenden Prozesse und die vorherige Erhebung der tatsächlichen Workflows und deren Schnittstellen. Denn nur hieraus lassen sich Use-Cases, Prioritäten, Migrationspfade und somit Architekturen ableiten. Das Potenzial, die Interaktion der Mitarbeiter für eine vertrauensvolle digitale und praktikable Infrastruktur zu gewinnen, ist zu wichtig und die Risiken das Vertrauen zu verlieren sind zu groß. An jedem Tag, an dem ein unsicherer Service betrieben wird, besteht das Potenzial für ein Ereignis, das Schäden für die Institution verursachen kann.

Mit den bereits vom Markt erhältlichen Lösungen besteht grundsätzlich die Möglichkeit bestehende Lösungen an die Bedürfnisse der Institution anzupassen und erfolgreich zu etablieren. Was ist jedoch grundsätzlich im Rahmen der Digitalisierung von Prozessen und Prozessketten zu beachten.

Seien wir ehrlich. Die aktuell implementierten Modelle für die Cybersicherheit in den Institutionen sind entweder grundsätzlich gebrochen oder mindestens nicht mehr zeitgemäß. Dies bedeutet jedoch auch, dass sich alle vom konventionellen Modell lösen müssen. Stattdessen müssen fortschrittliche Alternative, die auf einem präventionsorientierten Ansatz basieren gefördert werden. Denn nur der präventive Ansatz ermöglicht es, das Vertrauen in die digitale Welt zu erhalten. Welche Themenblöcke gehören aus meiner Sicht zu einem präventiven Ansatz:

• Automatisierung und Orchestrierung: Wir werden mit hoher Wahrscheinlichkeit Software zur Bekämpfung von Software benötigen. Insofern sich alleinig Menschen, sich gegen Maschinen stellen werden diese in naher Zukunft wenig bis gar keine Hebelwirkung mehr entfalten.
• Koordinierte und kooperierende Intelligenz: Der Informationsaustausch ist entscheidend für eine gemeinsame und sichere digitale Zukunft. Dies kann durch einen automatisierten Informationsaustausch zwischen den Security Operation Centers (SOC) innerhalb und außerhalb der Institutionen erreicht werden.
• Ein flexibles Sicherheitsmodell: Wir müssen die Fähigkeit entwickeln und etablieren, die besten und integrativsten Lösungen auszuwählen sowie bei Bedarf darauf zuzugreifen. Essentiell ist es aus meiner Sicht auf Cloud Computing und hybride Modelle zurückzugreifen, die einfach zu implementieren und wirtschaftlich zu betreiben sind.
• Architektur gedacht vom Notfall aus: In hoch komplexen digitalen Infrastrukturen können kleinste Fehler große Auswirkungen verursachen. Die Methodiken des Chaos-Engineering sowie die Entwicklung von Architekturen auf Basis der benötigten Service-Level-Parameter mit inkludierten Abhängigkeiten bei der Wiederherstellung bzw. dem Wiederanlauf können eine hohe Robustheit der Infrastruktur garantieren.
• Datenschutz: Datenschutz und Informationssicherheit verstärken sich gegenseitig. Wenn wir über Vertrauen sprechen bedeutet dies, dass wir über die Gewährleistung, dass die genutzten oder angebotenen digitalen Services sicher sind. Im Umkehrschluss bedeutet dies, insofern eine Lösung bereits im Rahmen der Softwareentwicklung auf die Einhaltung der Anforderungen aus dem Datenschutz achtet, sind die Themen Security-By-Design, Need-To-Know-Prinzip sowie Defence-In-Depth vollumfänglich inkludiert.

Wo sehe ich derzeit die größten Stolpersteine?

Um die Cybersicherheit zu verbessern, müssen die Hindernisse für Innovationen beseitigt werden. Die Verantwortlichen für Innovationen und Digitalisierung müssen zusammen mit den Betriebsverantwortlichen, dem Informationssicherheitsbeauftragten, den Datenschutzbeauftragten sowie den Betriebs- und Personalräten endlich und grundlegend mit den immensen Herausforderungen der Cybersicherheit befassen und sicherstellen, dass unser bisheriges Vorgehen uns nicht verlangsamt oder daran hindert, die notwendigen Veränderungen vorzunehmen. Wir müssen die Hindernisse für die Innovation im Bereich der Cybersicherheit beseitigen. So verfügen beispielsweise viele Institutionen noch immer über eine große Anzahl von Punktprodukten, die nicht miteinander verbunden sind oder in eine orchestrierte Infrastruktur aufgenommen werden können bzw. keine ausreichende Sicherheit gegen moderne Angriffsmethoden bieten.

In den meisten Fällen wiegen sich die Verantwortlichen für den Betrieb, die Informationssicherheit, die IT-Sicherheit, den Datenschutz und das Notfallmanagement in dem Glauben, dass ihre Institution geschützt ist, obwohl diese tatsächlich auf Grund der folgenden beispielhafte aufgeführten Gründe Lücken besitzt.

• veralteter Architektur
• stets nur nachträglich irgendwie intergierte Sicherheit
• sich auf ältere Technologien verlassen und auf Lösungen verzichtet die übergreifend funktionieren

Ein weiteres Innovationshemmnis ist, dass die meisten Institutionen die jüngsten Angriffe auf ihre Informationen meist linear betrachten und so auch handeln. Ein Beispiel für lineares Handeln ist, dass die DOS/DDoS und Phishing Angriffe von Jahr zu Jahr zunehmen und dies auch stets vom Informationssicherheitsbeauftragten so an die Geschäftsführung der Institution berichtet wird. Mit anderen Worten, die meisten Institutionen sehen das Problem als einen linearen Weg an, der einen linearen Lösungsansatz erfordert. Im Ergebnis geben diese etwas mehr Geld für Malware-Prävention aus, führen mehr Schulungen zu Sicherheitshygiene durch, lassen Mitarbeitende ihre Passwörter öfter ändern. Denn die letzten Jahre war dies eine einfache und billige die Möglichkeit dem Problem zu begegnen. Hieraus schlussfolgernd planen wir unsere Verteidigung auf der Grundlage der Tatsache, dass die Bedrohungen in geordneter Weise zunehmen. Dies ist jedoch falsch. Das lineare Denken über Bedrohungen und Feinde muss dem exponentiellen Denken weichen, denn das Tempo von Angriffen und den genutzten Angriffsmethoden beschleunigt sich, und zwar viel schneller, als Sicherheitsexperten es sich noch bis vorkurzen vorgestellt haben. Lineare Denkweise entspricht provokant ausgesprochen dem Glauben, dass autonome Fahrzeuge ein reiner Hype sind und nie kommen werden. Jedoch exponentielle Denker wissen, dass autonome Fahrzeuge bereits da sind und auch eingesetzt werden.

Was sind die nächsten Schritte aus Sicht der Informationssicherheit?

Um die Akzeptanz und Selbstverständlichkeit der Sicherheit bei den Benutzern von Anwendungen zu erhöhen, muss sich dringend darauf konzentriert werden die Benutzerfreundlichkeit zu verbessern. Denn die Benutzerfreundlichkeit und die frühe Integration von Sicherheitsanforderungen in die Entwicklung von Projekt- und Architekturanforderungen sowie Ausschreibungen sind ein weiterer Teil, der zur Verbesserung der Cybersicherheit in der Institution beiträgt. Diese Herangehensweise erfordert meist einen exponentiellen Mentalitätswandel bei allen Beteiligten in der Institution. Denn es reicht nicht aus, dass die etablierten Sicherheitsprotokolle theoretisch funktionieren, sie müssen dort funktionieren, wo sie wirklich gebraucht werden und dies erfordert ein gutes Verständnis des menschlichen Verhaltens, was bei organisatorischen Cybersicherheitsstrategien selten der Fall ist. Dies ist auch ein wichtiger Zeitpunkt, um in die Bildung, Sensibilisierung und Ausbildung im Bereich der Cybersicherheit zu investieren. Je mehr alle Mitarbeiter darüber wissen, wie Angriffe funktionieren, desto besser können diese ihre Auswirkungen im Rahmen der Planung, der Konzeption, der Inbetriebnahme, des Betriebes und der Notfallvorsorge mindern.