Wie gut sind Ihrer Meinung nach die Unternehmen beim Thema Security inzwischen aufgestellt? Werden genügend Vorkehrungen getroffen?
Ich denke diese Frage kann nicht mit Ja beantwortet werden, schon allein deshalb, weil „genügend“ nicht „genug“ sein kann. Speziell in großen Unternehmen sind Security-Projekte als Programm aufzusetzen, was leider noch zu wenig passiert. Was mir in vielen Unternehmen fehlt, ist ein Zielbild für eine umfassende Security und die GAP-Liste. Es werden oftmals einzelne Teilbereiche verbessert, ohne zu wissen, wo man auf der Reise steht. Man sieht den aktuellen Status auch an der Prognose vieler Analysten, dass Security in den nächsten Jahren als riesige Investitionsgröße gesehen wird. Allein daraus ist ersichtlich, dass noch nicht genügend Vorkehrungen getroffen wurden.
Wie sollte eine den aktuellen Bedrohungen gemäß Security-Strategie von Unternehmen aussehen? Welche Punkte müssen dabei besonders hervorgehoben werden?
Ich denke, die Formulierung „aktuelle Bedrohungen“ ist zu allgemein gefasst, weil unterschiedliche Strategien für die verschiedenen Bedrohungen notwendig sind. Nehmen wir die Social-Engineering-Bedrohung oder lateral-movement-Methode heraus, Stichwort Verschlüsselung, um Geld zu erpressen. Dabei geht es bekanntlich darum, dass der Angreifer letztlich einen administrativen Account übernimmt. Die Strategie muss sein, dass alle administrativen Accounts mittels Software disabled sind, wenn sie nicht verwendet werden und das Passwort stark ist und oft geändert wird. Das bezieht sowohl Maschinen-Accounts als auch administrative Benutzerkonten von internen und externen Spezialisten mit ein. Darüber hinaus sollte der Wirkungsbereich von diesen Accounts reduziert werden. Eine aus meiner Sicht vergleichsweise recht einfache Aufgabe. Trotzdem ist es für mich verwunderlich, wie wenig Unternehmen PAM (Privileged Access Management) vollständig gelöst haben.
Aufgrund der derzeitigen angespannten wirtschaftlichen Situation schieben viele IT-Leiter das Thema auf die lange Bank. Was würde Sie diesen IT-Leitern raten?
Es gibt mehrere Empfehlungen: Sucht Euch einen Externen, zu dem ihr Vertrauen habt und lasst Euch an der Hand nehmen. Sucht leicht auslagerbare Aufgaben und gebt sie außer Haus, damit die Keyplayer Zeit für Security haben. Versucht dem Management vor Augen zu führen, welchen Schaden eine Attacke anrichtet, dann bekommt ihr auch in wirtschaftlich schwierigen Situationen das notwendige Geld. Erstellt einen Plan, dann werdet ihr sehen, dass die wenigen Ressourcen viel engagierter die Einzelaufgaben erledigen. Security verbessernde Maßnahmen on top zu fordern, funktioniert nicht. Vielmehr muss für einen definierten Zeitraum eine Security-first-Strategie gefahren werden. Solche und ähnliche Empfehlungen gebe ich öfters ab.
Welche Produkte bietet ITdesign konkret an, um Unternehmen sicherer zu machen?
Infolge der fehlenden Mitarbeiter können wir nur wenige Bereiche besetzen. Deshalb fokussieren wir auf PAM (Privileged Access Management), IDM (Identity Management) und Security Analysen inklusive Umsetzung im Windows- und Linux-Umfeld. Zusätzlich beinhalten alle neuen Managed-Services-Verträge auch das Thema „stay secure“. Am besten funktionieren derzeit neben IDM mit Abstand PAM-Projekte. In dem Bereich gibt es aktuell sehr viele Anfragen.
"Es ist für mich verwunderlich, wie wenig Unternehmen PAM vollständig gelöst haben."
Zeit ist eine der Ressourcen, die immer knapper zu werden scheinen. Auch andere „nicht-technische“ Herausforderungen verzögern oft ein IT-Projekt. Was steht hinter der Organisationsentwicklung von ITdesign und wie kann diese Unternehmen dabei helfen, IT-Projekte erfolgreich zu meistern?
Wir haben unseren Kunden zugehört und dabei vernommen, dass IT-Projekte oftmals zu wenig auf die Anforderungen des Business abgestimmt sind. Dies wird immer mehr als Problem gesehen, das gelöst werden muss. Deshalb haben wir uns schon vor einiger Zeit dazu entschlossen, einen Unternehmensberater mit IT-Affinität an Bord zu holen, um diesen Schulterschluss anbieten zu können. Durch gezielte Fragestellungen und organisatorische Projektbegleitung steigern wir den Nutzen unserer Projekte für den Kunden nachhaltig. Projekte in Themengebieten wie DevOps, ITSM aber auch so banal anmutende IT-Themen wie „Umstieg auf M365“ werden oftmals gewonnen, weil wir nicht nur die technische, sondern auch die organisatorischen Aufgaben in solchen Projekten mitanbieten können.
Wie sieht die Strategie von ITdesign für 2023 aus?
Strategisch setzen wir einerseits auf die Wiederbelebung von Themenfeldern (z.B. New Work), die proaktiv Ideen für die Kunden bringen werden, um die adhoc-Entscheidungen in der Pandemie wieder zu funktionierende Einheiten zu formen. Andererseits werden wir unser Managed-Services-Angebot deutlich ausbauen. Wir sind in der Umsetzung unserer Strategie leider gebremst durch fehlende Ressourcen und die situative, kurzfristige Handlungsweise unserer Kunden.
Das vollständige Interview können Sie hier nachlesen.