Richard Bennett, Head of Accelerate & Advisory Services EMEA, VMware
Bei der Einhaltung regulatorischer Auflagen gilt der erste Gedanke möglicherweise nicht der Automatisierung, aber es besteht definitiv ein Zusammenhang. Erfolg setzt voraus, dass Unternehmen nicht – wie so oft – nur reagieren. Sie müssen immer einen Schritt voraus sein und neue Regeln und Bestimmungen fließend integrieren, um brancheninterne Fallstricke oder regionale Strafen zu vermeiden.
Stets alle neuen Bestimmungen einzuhalten, ist jedoch leichter gesagt als getan. Zwischen 2009 und 2012 wurden in den G20-Ländern mehr als 50.000 Bestimmungen für Unternehmen veröffentlicht. Dazu gab es allein im Jahr 2015 mehr als 50.000 Aktualisierungen dazu und es gibt keinerlei Anzeichen dafür, dass sich dies in Zukunft ändert. Aus Untersuchungen geht hervor, dass sich die regulatorischen Kosten für Finanzinstitutionen bis 2022 mehr als verdoppeln könnten. Dabei bereiten jedoch nicht allein die Anzahl der Regeln Kopfzerbrechen. Durch deren Umfang und Komplexität ist mitunter viel Zeit für die Umsetzung erforderlich. Ein gutes Beispiel hierfür ist die Implementierung von MiFID II. Diese neue Finanzvorschrift (die Investoren schützen und offene und faire Finanzmärkte gewährleisten soll) umfasst 30.000 Seiten und 1,7 Millionen Paragraphen und beansprucht damit ein extrem hohes Maß an Zeit und Ressourcen.
Komplexität der Compliance
Fest steht, dass die Komplexität von Unternehmen in den letzten Jahrzehnten zugenommen hat. Vor dem Hintergrund zunehmender internationaler Konkurrenz hat die Globalisierung in Unternehmen jeder Größenordnung Einzug gehalten. Dies ist auch darauf zurückzuführen, dass Unmengen von Daten in Informationen umgewandelt werden.
Die Digitalisierung von Unternehmen bedeutet aber auch, dass IT-Anwendungen nicht nur sehr sensible Daten erzeugen, wie beispielsweise in Banken und Krankenhäusern, sondern auch riesige Datenvolumen. Dies ist etwa bei ‚IoT Factories‘ der Fall, die jeden Monat mehrere Petabytes an Daten generieren. Damit sind große Herausforderungen verbunden, denn wie sollen Unternehmen Bestimmungen einhalten, wenn Daten einerseits von Menschen und andererseits von Maschinen erzeugt werden? Wie können beide Datenarten verarbeitet und integriert und dabei gleichzeitig Anwender und Verbraucherinformationen geschützt werden?
Dazu bedarf es der Fähigkeit, sich digital an die zunehmende Menge an Regeln, Standards und Prozessen anzupassen. Je höher die Innovationsrate, desto exponierter die Daten. Dies trifft umso mehr zu, wenn wir die Daten verstehen. Die nächste Generation von CISOs kann nur erfolgreich sein, wenn sie sich auf den Schutz von Kunden- und Anwenderinformationen konzentriert.
Eine Folge dieser globalen Datenrevolution und der zunehmend auf die Sicherheit von Verbrauchern und Kunden ausgelegten Gesetzgebung ist die Tatsache, dass Unternehmen unbeabsichtigt eine ganze Reihe internationaler regulatorischer Fronten geschaffen haben, an denen es nunmehr gilt, sich durchzusetzen. Dies wiederum führt dazu, dass auch erfahrenste IT-Verantwortliche Mühe haben, technologische Geschäftsstrategien zu entwickeln und aufrecht zu erhalten, die ebenso innovativ wie konform sind. Dieses sowohl regionale als auch internationale Bestreben scheint jedoch genau diese Kultur der Innovation, die durch Technologie erst möglich ist, im Keim zu ersticken.
Innovation und Compliance – kann das gut gehen?
Unternehmen sind sich durchaus bewusst, dass sie innerhalb ihrer Branche mit der Zeit gehen müssen, um wettbewerbsfähig zu bleiben, insbesondere, was Verbraucher-Feedback, betriebliche Effizienz und vor allem Innovation anbelangt. Gleichzeitig müssen sie sich kontinuierlich gegen Cyberangriffe schützen, Kundenbindung wahren und sich gegen die Konkurrenz durch Start-Up-Unternehmen durchsetzen, während sie außerdem darauf vorbereitet sein müssen, sich regulatorischen Änderungen anzupassen. Im Einzelhandel beispielsweise setzen Unternehmen alles daran, das Einkaufen für den Verbraucher einfacher zu gestalten. Für den Chief Information Security Officer (CISO) bedeutet dies, dass die neuen Funktionen und Technologien sicher sein und den zunehmenden digitalen Vorschriften entsprechen müssen, ohne dabei die Funktionalität der Anwendungen zu beeinträchtigen. Die meisten Technologieanbieter behaupten von sich, die DSGVO einzuhalten. Dies ist ein reales Beispiel dafür, dass eine Datenschutzstrategie wichtiger ist als ein einzelnes Compliance-Element.
Technologieanbieter sind sich dieser natürlichen Spannung jedoch bewusst. Compliance und Innovation werden vermutlich nie wirklich zusammenpassen. Ungeachtet der Sicherheitsauflagen können Vorschriften die Dynamik eines Unternehmens durchaus lahmlegen. Das ist in etwa so, als würde man gleichzeitig Gaspedal und Bremse betätigen.
Selbstverständlich müssen Unternehmen die Spielregeln einhalten, wie Beispiele aus der jüngsten Vergangenheit zeigen. So ist es 2015 bei TalkTalk zu einer schwerwiegenden Datenverletzung gekommen. Dem Unternehmen wurde von der ICO nicht nur ein Bußgeld in Rekordhöhe wegen fehlender Sicherheitsvorkehrungen auferlegt. Viel schlimmer waren die erhebliche Schädigung von Markenreputation und Image, wovon die Abwanderung von mehr als 100.000 Kunden unmittelbar nach dem Vorfall zeugt.
Neue Denkweise
Klar ist, dass ein Weg gefunden werden muss, der einerseits die Einhaltung regulatorischer Auflagen und andererseits flexible Geschäftsanwendungen sowie innovative Vermarktungspfade ermöglicht. Cyber-Hygiene (fünf Grundsätze rund um Unternehmensinformationen und ihren Wert) statt Cyber-Security ist eine Voraussetzung hierfür. Sicherheits-Updates nach einer Sicherheitsverletzung sind zwar eine natürliche Reaktion, jedoch ist das Kind bereits in den Brunnen gefallen. Angesichts der Tatsache, dass Automatisierung, maschinelles Lernen und künstliche Intelligenz auch Hackern zur Verfügung stehen, verliert eine reaktive Cyber-Security-Strategie, die nicht auf Cyber-Hygiene ausgelegt ist, zunehmend an Bedeutung.
Viele CISOs sind deshalb davon überzeugt, dass das Konzept der reaktiven Cyber-Security ausgedient und das Zeitalter der Cyber-Hygiene begonnen hat. Bei diesem Ansatz integrieren Unternehmen Sicherheit von Anfang an in die Architektur ihrer Produkte und Systeme. Allein durch die Vielzahl der eingeführten neuen Vorschriften wird deutlich, dass das punktuelle Beheben von Compliance-Brennpunkten langfristig nicht tragfähig ist und Unternehmen ihren taktischen Ansatz durch einen strategischen ersetzen müssen. Unternehmen sollten daher Partnerschaften mit Organisationen eingehen, die wissen, wie dieser Umstieg von auf Hardware basierender Sicherheit zu sicheren Software-Defined-Netzwerken gelingt.
Von Anfang an konform
Cyber-Hygiene basiert auf einem kontinuierlichen Plan und ist keine vorübergehende oder gar endgültige Lösung. Unternehmen müssen in der Lage sein, Compliance zu automatisieren und von Anfang an in ihre IT-Systeme zu integrieren. Auf diese Weise gelingt es, Ungewissheiten auszuschließen und sicher zu sein, dass alle Daten vorhanden und korrekt sind sowie einem potenziellen Audit standhalten.
Dieser konsistente Ansatz hat im Medienimperium Sky hervorragend funktioniert – und das Jahre vor der Einführung der DSGVO. Das Unternehmen musste keine speziell auf die DSGVO ausgelegte Strategie entwickeln, da es bereits über eine konsistente Datenschutzstrategie verfügte. Der ganzheitliche Datenschutzansatz auf Basis einer Cyber-Hygiene-Kultur hat sich also bewährt.
Dies zeigt, dass es sich in mehrfacher Hinsicht auszahlt, Compliance-Anforderungen frühzeitig in den Produkt- oder Service-Lebenszyklus zu integrieren. Zum einen verringert sich das Risiko etwaiger Strafzahlungen, zum anderen sparen Unternehmen viel Zeit durch den Wegfall von Nachbesserungen. Unternehmen können es sich eigentlich gar nicht leisten, nicht diesem Ansatz zu folgen.
Und das ist erst der Anfang. Gesetze werden zunehmend an die digitale Revolution angepasst und künstliche Intelligenz sowie maschinelles Lernen werden immer besser im Nachahmen menschlicher Hacker. Je mehr Daten wir erzeugen, desto wertvoller ist der Zugang zu ihnen. Unternehmen werden immer transparenter, während sich orts-, zeit- und geräteunabhängige Arbeitsweisen auf breiter Ebene durchsetzen. All das sind jedoch weitere Risikofaktoren, wenn es um Compliance und Vorschriften geht.
Unternehmen können sich nicht mehr auf ihren Lorbeeren ausruhen und damit begnügen, dass sie aktuell eingeführte Gesetze und Regeln formell erfüllen. Heute geht es darum, sich proaktiv auf sie vorzubereiten. Es geht um Integrität und Verantwortung. Und es geht um den gegenseitigen Respekt im Umgang mit persönlichen Informationen.
Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING und LinkedIn.