Jacob Lund / Shutterstock

Studienerkenntnissen zufolge sind in einem durchschnittlichen (Groß-)Unternehmen zwischen 40 und 80 separate Sicherheits-Tools im Einsatz. Wildwuchs dieser Art führt regelmäßig zu:

• Security-Datensilos,
• Integrationsproblemen,
• fortlaufendem Wartungs- und Konfigurationsaufwand, oder
• Alert-Müdigkeit.

Angesichts dieser Herausforderungen (und dem Marktpotenzial für entsprechende Lösungen) haben diverse Security-Anbieter Technologieplattformen aufgebaut – etwa Cisco, Crowdstrike, Fortinet, Microsoft, Palo Alto Networks und Trend Micro. Diese integrierten Produkt-Bundles aggregieren unterschiedliche Bereiche, unter anderem Cloud-, E-Mail-, Endpunkt- und Netzwerk-Sicherheit, SIEM und Threat Intelligence.

Von punktuellen Lösungen auf eine integrierte Architektur umzusteigen, mit einer zentralisierten Datenbank als Single Source of Truth – das dürfte vor allem CIOs ziemlich bekannt vorkommen. Schließlich mussten sie sich jahrelang mit dem Umstieg auf Enterprise-Resource-Planning (ERP) -Systeme herumquälen. Die Pannen, die den IT-Entscheidern dabei unterlaufen sind, respektive die Best Practices, die diesen teilweise verheerenden Erfahrungen entsprungen sind, können CISOs nutzen, um ihre eigene Platformization-Herausforderung (besser) zu stemmen.

ERP-Migrationslektionen

Leser, die sich schon länger mit Technologie beschäftigen, erinnern sich wahrscheinlich noch gut an die großen ERP-Migrationsinitiativen der 1990er-Jahre. Damals war es in großen Organisationen üblich, unabhängige Anwendungen für sämtliche Abteilungen zu betreiben – Finanzwesen, Lieferkettenmanagement, HR, Fertigung, und so weiter. Das führte zu uneinheitlichen Prozessen, isolierten Teams und dazu, dass keine zentrale Sicht auf das Business möglich war.

ERP-Systeme versprachen ein “zentrales Nervensystem” für das Unternehmen, das die Daten der einzelnen Abteilungen in einer einzigen, gemeinsamen Datenbank zusammenführen und einen Echtzeit-Überblick über die Unternehmensprozesse liefern sollte. Getrieben vor allem vom Y2K-Problem, setzte in der Folge das große ERP-Migrationsrennen ein.

In der Praxis auf eine ERP-Lösung umzusteigen, gestaltete sich allerdings weit weniger simpel. Eine zentrale Herausforderung waren dabei etwa inkompatible Datenformate, die umfassende ETL- und Datentransformations-Maßnahmen erforderten. Um das ERP an ihre jeweilige Branche und ihre organisatorischen Bedürfnisse anzupassen, mussten viele Unternehmen einen langwierigen, mühsamen Weg beschreiten. In einigen Fällen explodierten dabei sowohl die Kosten als auch der Zeitrahmen für die Implementierung. Weil der Fokus in der Folge vor allem auf dem Technologiewechsel selbst lag, vergaßen viele Unternehmen darüber, sich um die notwendigen organisatorischen Veränderungen zu kümmern. Beispielsweise die Mitarbeiter einzubinden, Prozesse anzupassen, oder diejenigen zu schulen, die das System bedienen sollen. Das zog vielerorts politische Konflikte und weiteres, damit verbundenes zwischenmenschliches Unheil nach sich.

Zwar hängt über den Köpfen von CISOs kein Damoklesschwert wie das Y2K-Problem. Aber auch viele Sicherheitsentscheider erwägen, im Zuge des Platformization-Trends auf eine integrierte Security-Plattform umzusteigen. In erster Linie, um die Sicherheit und die betriebliche Effizienz zu optimieren – oder, um Kosten zu senken. Mit Blick auf den letztgenannten Faktor ist anzumerken, dass manchmal auch ein Meeting mit dem CFO dafür sorgt, dass CISOs sich mit dem Thema Security Platformization auseinandersetzen (müssen).

Security Platformization meistern – 5 Tipps

In vielen Unternehmen ist eine Migration auf eine solche integrierte Sicherheitsplattform kurz- oder langfristig unvermeidlich. Angesichts dessen sollten CISOs die Fehler, die in Sachen ERP begangen wurden, sorgfältig analysieren und mit bewährten Best Practices planen. Hier einige Tipps, um das in der Praxis umzusetzen:

• Management-Support sichern und klare Führungsrolle einnehmen. Erfolgreiche ERP-Migrationen zeichnen sich durch klar definierte Geschäftsziele und engagierte Führungsteams aus. Ähnlich sollte es auch bei einer Security-Platformization-Initative nicht nur um begrenzte Sicherheits-Benefits oder monetäre Vorteile gehen. Auch CISOs ist zu empfehlen, einen Business Case zu erstellen, der aufzeigt, wie eine Sicherheitsplattform den Schutz geschäftskritischer Systeme verbessert und der Organisation mehr Resilienz verleiht. Sobald Vorstand und Führungskräfte an Bord sind, sind sie es, die die Umsetzung der Projektziele überwachen sowie Anreize für die Organisation und die Mitarbeiter schaffen sollten. CISOs sollten ihrerseits kontinuierlich über den Projektfortschritt kommunizieren – nicht nur aus technischer, sondern auch aus Business-Perspektive.
• Security-Team priorisieren – statt Technologie. ERP-Migrationen sind oft durch skeptische IT-Mitarbeiter erlahmt, die sich kurzsichtig auf ihre Lieblings-Technologien oder begrenzte Aufgabenbereiche fokussierten. Ähnlich zögerlich könnten einige Sicherheitsprofis reagieren, wenn es darum geht, sich von ihren bevorzugten Tools und gewohnten Tasks zu verabschieden. Diese Skeptiker müssen CISOs für sich gewinnen, indem sie sie wieder auf die übergeordnete Mission der Unternehmenssicherheit ausrichten – und ihnen sorgfältig vermitteln, wie eine Security-Plattform auf dieses Ziel einzahlt. Unterstützen Sie das Team mit den Services und Schulungen, die es für eine erfolgreiche Umstellung benötigt. Dafür empfehlen sich auch individuelle, beziehungsweise Team-Incentives. So können CISOs auch Karriereentwicklungsmöglichkeiten in ihre Platformization-Planungen einbeziehen.
• Mit Projektphasen planen und Big-Bang-Implementierungen meiden. Die Herausforderungen bei der ERP-Implementierung waren oft mit überambitionierten Projektzeitplänen verbunden. Die Folge: Verzögerungen, Kostenüberschreitungen und negativer Impact auf das Business. So konnte etwa der US-Süßwarengigant Hershey wegen einer ERP-Panne im Jahr 1999 seine Vertriebspartner nicht mehr mit Produkten beliefern – pünktlich zur Halloween-Saison. Verlorene Marktanteile, entgangene Umsätze und ein Absturz des Aktienkurses waren die Folge. Um so etwas zu verhindern und Mehrwert mit einem schrittweisen Ansatz zu realisieren, sollten Unternehmen eine Abhängigkeits-Map erstellen, um sämtliche Besonderheiten und Verbindungen der bestehenden (Security-)Architektur zu durchdringen. Definieren Sie den zukünftigen Zustand, einschließlich Daten und Workflows, und bestimmen Sie anhand dieser Informationen, wie und wo damit begonnen werden soll, Tools auszutauschen. Wichtig sind diesbezüglich zudem: ein Test- und Rollback-Plan, technische und geschäftliche Metriken sowie Reportings für das Management – für jede Phase des Projekts.
• Mit einer modernen Daten-Pipeline starten. Im Zuge ihrer ERP-Migrationen hatten viele IT-Teams mit inkonsistenten Daten zu kämpfen – etwa, in jedem System unterschiedliche Kundennummern und Rechnungsadressen. Das zog langwierige ETL-Prozesse nach sich, um die Zuverlässigkeit der Daten zu gewährleisten. CISOs vermeiden ähnliche Probleme, indem sie sich auf Daten-Pipelines fokussieren, um Datenqualität, -konsistenz und -Accessibility zu gewährleisten. Das kann dazu beitragen, Datensilos aufzubrechen und eine “Single Source of Cybersecurity Truth” zu schaffen. Eine skalierbare Daten-Pipeline kann zudem die Bereitstellung vertrauenswürdiger Daten für Analysen und Entscheidungsfindungsprozesse beschleunigen.
• Übergangszeit für Prozessänderungen nutzen. Allzu oft haben Unternehmen versucht, bestehende Geschäfts- und Technologieprozesse in neue ERP-Systeme zu zwängen, was zu komplexen Anpassungsorgien und politischen Scharmützeln führte. Um ein ähnliches Schicksal zu vermeiden, sollten CISOs die Plattformisierung als Gelegenheit nutzen, um ineffiziente und/oder manuelle Prozesse zu modernisieren, beziehungsweise zu automatisieren. Etwa mit Hilfe von SOAR oder KI-Funktionen. Suchen Sie nach Möglichkeiten, Sicherheitsengpässe in Geschäftsprozessen zu beseitigen. Prozesse neu zu gestalten, sollte einen essenziellen Part in der Planung, Prüfung und Umsetzung eines Platformization-Projekts einnehmen.

(fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.