Cybersicherheit und Entwicklung des Berufsbildes der IT-Leiter | Stormshield

Lange galt die IT-Abteilung einfach als Dienstleisterin für die Geschäftseinheiten. Heute ist sie eine der treibenden Kräfte bei der Digitalisierung von Unternehmen. Angesichts der zunehmenden Vernetzung besteht ihre Aufgabe inzwischen auch in Beratung, Schulung und Etablierung einer Kultur der Datenhygiene auf allen Ebenen. Sie spielt damit eine zentrale Rolle: Immer mehr steht auf dem Spiel, immer größer sind die Risiken im Zusammenhang mit der Cybersicherheit.

Computer einschalten, ins Internet gehen, Dokumente speichern - diese kleinen alltäglichen Handgriffe wären ohne die IT Ihres Unternehmens nicht möglich. Diese Abteilung kümmert sich um den IT-Park des Unternehmens - um Hardware und Software, um Anwendungen und Daten und die Infrastruktur für deren Speicherung, um Sicherheitskopien, Druckaufträge und Telekommunikation. Kurz: Dass Sie arbeiten und diesen Artikel heute im Büro lesen können, verdanken Sie der IT.

 

IT: eine strategische Aufgabe

Die IT-Abteilung stellt die Schnittstelle zwischen Mensch und Maschine bereit. Lange wurde sie nur als Lieferantin von IT-Dienstleistungen für die Geschäftseinheiten gesehen. Inzwischen ist sie eine der treibenden Kräfte bei der Digitalisierung von Unternehmen, die durch neue Anwendungen und Technologien vorangetrieben wird. Aufgrund dieser Entwicklung konnte dieser Schlüsselbereich am Schnittpunkt von Technik, Projektleitung, Management, Sicherheit und Strategie neue Aufgaben übernehmen und neue Kompetenzen an sich ziehen. „Es geht weniger um technische Kompetenzen als vielmehr um die Fähigkeit zur Kommunikation und zum Zuhören“, so Franck Nielacny, IT-Leiter bei Stormshield. „Man muss in der Lage sein, mit Leuten aus der Buchhaltung, der Logistik oder der Personalabteilung zu reden. Man muss ihre Arbeit und ihr Vokabular kennen. Kurz: Man muss sich als ihr Geschäftspartner verstehen. Das ist von grundlegender Bedeutung, weil die Leiter der Abteilungen mehr und mehr in die IT-Entscheidungen einbezogen werden.

Es geht weniger um technische Kompetenzen als vielmehr um die Fähigkeit zur Kommunikation und zum Zuhören.

Franck Nielacny, IT-Leiter bei Stormshield

Der IT-Leiter hat sich von einer operativen Führungskraft zu einer strategischen Figur entwickelt, die die großen Projekte des Unternehmens begleitet. „Mehr und mehr wird vom IT-Leiter erwartet, dass er über die neuesten technischen Entwicklungen auf dem Laufenden ist, die Bedürfnisse der Leiter der Geschäftseinheiten vorwegnimmt und beides harmonisch koordiniert“, unterstreicht Nielacny. „Zuvor musste die IT sich an der Geschäftsstrategie ausrichten. Durch den digitalen Wandel hat sich das umgekehrt“, so die Analyse von Frédéric Lau, Projektleiter am Cigref (Zitat hier).

Heute bereitet der IT-Leiter das Unternehmen von morgen vor und übernimmt nach und nach Aufgaben, die über die traditionelle IT als Schnittstelle zwischen Mensch und Maschine hinausgehen. Die wachsenden Herausforderungen an die Cybersicherheit der Unternehmen erfordern nicht nur entsprechende Lösungen, sondern auch das richtige Bewusstsein bei den Mitarbeitern. Die Aufgaben des IT-Leiters umfassen inzwischen auch Beratung, Schulung und Etablierung einer Kultur der Datenhygiene auf allen Ebenen des Unternehmens. Dafür braucht es auch einen guten Schuss Pädagogik. „So haben bei Stormshield alle Mitarbeiter eine weit entwickelte digitale Kultur und stehen Sicherheitsfragen sensibel gegenüber. Aber vollständigen Schutz vor Unfällen und Fehlern gibt es natürlich nicht. Daher müssen in Zusammenarbeit mit den IT-Sicherheits- und Personalabteilungen immer wieder Schulungen durchgeführt werden“, so Franck Nielacny.

Als IT-Leiter des CEA (Kommissariat für Atomkraft und alternative Energien) setzt Louis Arrivet stark auf Schulungen. „Die Wissenschaftler sind ein Völkchen für sich: Ihr Metier sind Stöbern und Forschen, Entwicklung und Innovation. Bisweilen kommen sie mit exotischen Protokollen daher, die sich nicht einfach so in ein gesichertes IT-System einbauen lassen. Ich habe eigene Teams, die die ganze Zeit über bei der CEA Schulungen durchführen“, so Arrivet. Weil bei der Cybersicherheit immer mehr auf dem Spiel steht, muss die IT-Abteilung vor allem für den Schutz des Unternehmens sorgen.

 

Cybersicherheit - die tägliche Sorge der IT-Leiter

Beim Stichwort Cybersicherheit denkt man vor allem an groß angelegte Hackerangriffe, Malware und mediale Sicherheitslücken. Doch das ist nur die Spitze des Eisbergs: Cybersicherheit dreht sich vor allem um das, was man nicht sieht.Cybersicherheit betrifft alle Mitarbeiter und alle Abteilungen des Unternehmens. Daher behandeln wir sie immer weniger nach dem Silo-Ansatz“, betont Nielacny. „Wir befassen uns Tag für Tag damit, indem wir die Vorrichtungen zum Schutz des Unternehmens überwachen, kontrollieren und auf den neuesten Stand bringen. Das ist die tägliche Arbeit der IT-Abteilung.

Ein Viertel bis ein Drittel unserer alltäglichen Maßnahmen betreffen die Cybersicherheit.

Louis Arrivet, IT-Leiter bei CEA

Louis Arrivet schätzt, dass ein Viertel bis ein Drittel der täglichen Maßnahmen die Cybersicherheit betreffen. „Alle unsere Projekte bekommen früher oder später einen Cybersicherheits-Aspekt - egal welche Anwendung wir entwickeln. Überlegungen zur Cybersicherheit spielen schon vor der Konzeptionsphase eine Rolle. Wenn ich mich mit einer Abteilung über ihre Anforderungen unterhalte, kommen Sicherheitsfragen schon im frühesten Projektstadium auf den Tisch. „Und jeder IT-Leiter weiß, dass er in diesen Fragen gehört wird. „Die Bedeutung der Cybersicherheit als eine der Aufgaben der IT-Abteilung nimmt exponentiell zu. Amerikanische Fachleute schätzen, dass schon jetzt 200 000 Experten für Cybersicherheit fehlen. Und in zehn Jahren werden es 500 000 sein“, so Emmanuel Dupont, Global Chief Security Officer bei oXya.

 

SaaS und neue Technologien - Herausforderungen für die IT-Leiter

Doch die Veränderungen der Sicherheitsparadigmen bei den IT-Abteilungen betreffen auch den Außenbereich des Unternehmens. Louis Arrivet ist seit 17 Jahren IT-Leiter und hat diese Entwicklung beobachtet: „Vor 20 Jahren ging es um die perimetrische Sicherheit. Man sprach damals von Datenverarbeitungsobjekten. Man baute Festungen und ging davon aus, dass die Mauern das Eindringen von Angreifern unmöglich machen würden. Inzwischen ist alles datenzentriert: Man hat verstanden, dass es nicht auf das Informationssystem ankommt, sondern auf die Informationen selbst. „ Entwicklungsarbeit findet nicht mehr auf dem Server im eigenen Haus oder auf der eigenen Hardware statt. Heute ist alles virtuell und ausgelagert. Man verwendet SaaS (Software as a Service); angetrieben wird diese Entwicklung auch durch die neuen Anwendungsmöglichkeiten. Kurz: Es öffnet sich etwas. Allerdings kommt es dabei auf die Bedingungen an. Die IT-Abteilung garantiert auch die Sicherheit der Daten des Unternehmens, die extern verarbeitet werden. Es ist in Ordnung, die technische Seite eines Systems über SaaS an externe Anbieter zu vergeben. Doch der Schutz der innerhalb dieses Systems gespeicherten Daten des Unternehmens darf niemals und unter keinen Umständen ausgelagert werden.

Auf diesem Gebiet ist alles in Bewegung. Der ganze Bereich verändert sich rasant. Aber an den Grundpfeilern wird nicht gerüttelt“, so Louis Arrivet. „Genau wie vor 20 Jahren besteht die Aufgabe der IT-Abteilung auch heute noch darin, die Informationssysteme des Unternehmens zu kontrollieren. Und daran wird sich auch morgen nichts ändern, selbst dann, wenn ganz andere Technologien aufkommen.

 

Und in Zukunft?

Blockchain, IoT, Cloud Computing, Serverless Computing, Machine Learning ... das Spielfeld, auf dem die IT-Abteilungen agieren, wird mit hoher Geschwindigkeit umgestaltet. „Ganz knapp ausgedrückt: Die Herausforderung ist die gleiche wie bei der Cloud: Die IT-Abteilungen müssen dafür sorgen, dass die ausgewählten Lösungen zuverlässig sind und zu den Anforderungen der Nutzer passen. Gleichzeitig müssen sie aber auch sicher genug sein und sich in das Informationssystem einfügen“, erklärt Franck Nielacny.

Ich wage mal die Prognose, dass die Unternehmen die SaaS-Anbieter dazu bringen werden, Infrastruktur und Software bei sich zu speichern, die Daten aber bei den Unternehmen zu lassen“, vermutet Louis Arrivet. Dienstleister müssen gewährleisten, dass die Unternehmen die Kontrolle über ihre Daten behalten und selbst entscheiden können, welche davon als sensibel eingestuft werden und welche sie teilen wollen. „Auch wenn man outsourct, muss man auf jeden Fall die Mechanismen verstehen und die Kontrolle behalten“, so Arrivet weiter. „Andernfalls setzt man sich großer Gefahr aus. Ein Unternehmen, das die Kontrolle übers eine Daten verliert, ist sehr verwundbar. Jede Unternehmensleitung wird auch morgen noch eine IT-Abteilung brauchen, die diese Kontrolle gewährleisten kann.

Das Gleiche gilt für die Künstliche Intelligenz. „Mit dem Aufkommen von Tools auf der Grundlage von KI und Machine Learning wird der Übergang von einem digitalen zu einem ‚menschlichen‘ Denkmodell nach Analogieschlüssen vollzogen. KI wird eine genauere Erkennung von Anomalien ermöglichen. Sie wird Szenarien erfinden, um auf Bedrohungen reagieren zu können“, meint Emmanuel Dupont. Und sie wird der IT-Abteilung Voraussagen ermöglichen. „Die IT-Abteilungen hinken immer ein bisschen hinterher. Oft reagieren sie nur. KI kann dem abhelfen“, so Emmanuel Dupont weiter. „Allerdings sind auch auf KI basierende Angriffe denkbar, die auf KI basierende Systeme ausschalten.

Wenn KI die IT auch effizienter und einfacher machen kann, so ist sie doch (noch) nicht in der Lage, die IT-Abteilungen zu ersetzen. „Deren Aufgabe wird es auch weiterhin sein, die Aufgaben einzelner Abteilungen (verkaufen, pflegen, produzieren oder ähnliches) mit einem Panel an Technologien zu verbinden, die Märkten und Unternehmen zur Verfügung gestellt werden“, so Franck Nielacny abschließend. „Für diese Verbindung werden auch weiterhin Menschen erforderlich sein.

Teilen auf

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Über den Autor
mm
Victor Poitevin Editorial & Digital Manager, Stormshield

Victor ist Digital Manager bei Stormshield. Er gehört zur Marketingdirektion und hat die Aufgabe, die Sichtbarkeit der Gruppe im Web zu verbessern. Websites, soziale Netzwerke, Blogs – das gesamte Ökosystem von Stormshield wird dafür herangezogen. Um die anderen digitalen Ambitionen der Gruppe umzusetzen, stützt er sich auf verschiedene Erfahrungen in einigen großen französischen und internationalen Konzernen sowie bei einer Publikationsagentur.