Wieland Alge
Frage: Stichwort "Endpoint Security" - Was hat man aus den Fehlern der vergangenen zehn Jahre gelernt?
Alge: Früher war man der Ansicht, dass jegliche IP-Kommunikation gut ist, die innerhalb des Unternehmens stattfindet. Externe Prozesse galten als böse und konnten mit der Firewall abgeschottet werden. Heute ist diese Grenze nicht mehr erkennbar. Jeder Laptop, jedes Programm und jeder Netzwerkanschluss stellt ein potenzielles Risiko dar.
Frage: Waren diese Bedrohungsszenarien nicht immer schon vorhanden? Oder hat sich einfach das Bewusstsein um diese Risiken verändert?
Alge: Das stimmt natürlich. Und daher sind wir mit dieser Denkweise auch gewaltig auf die Nase gefallen. Würmer-Epidemien wie Blaster oder Sasser haben ja nicht zum Zusammenbruch des Internet, sondern zum Zusammenbrechen firmeninterner Netzwerke geführt, eben weil jeder Einzelne im Unternehmen - ob wissentlich oder nicht - sich als potenzieller Bösewicht herausgestellt hat.
Frage: Wie findet man die richtige Balance zwischen Sicherheit und reibungslosem Infrastrukturbetrieb?
Alge: Das ist natürlich sehr schwierig. Die Security kann man nur in dem Maße hochdrehen, wie die Technologien dafür reif sind. Sonst wird man am Ende selbst zum störenden Täter, der die Unternehmenskommunikation behindert.
Frage: Sind hohe Sicherheitsbudgets der Schlüssel zum Erfolg?
Alge: Es hat sich gezeigt, dass sehr viele Unternehmen an der falschen Stelle investieren. Das bedeutet, dass diese wesentlich mehr Geld für wesentlich weniger Effizienz und Effektivität ausgeben. Gartner nennt dies ein Unterscheidungsmerkmal für reife und unreife Unternehmen. Dabei ist natürlich auch zu berücksichtigen, dass die wirtschaftlichen Entscheidungsträger im Normalfall nicht sehr technologieaffin sind.
Frage: Worin unterscheiden sich die Security-Anforderungen an KMU im Vergleich zu großen Unternehmen?
Alge: In Bezug auf Security und IT-Infrastruktur macht die Segmentierung in KMU und Großunternehmen überhaupt keinen Sinn. Das ist ein Begriff, der aus dem Massengutverkauf und nicht aus dem Technologie-Markt kommt. Ein Unternehmen mit 400 Mitarbeitern, das in vielen Ländern tätig ist, hat im Prinzip vergleichbare Anforderungen wie der 4.000-Mitarbeiter-Konzern mit 40 bis 50 Niederlassungen. Bei der Security ein abgespecktes, so genanntes Mittelstandsprodukt unter die Leute zu bringen, ist folglich komplett fahrlässig.
Frage: Sie haben bei der diesjährigen phion-Gipfelkonferenz "Best of need" als Schlagwort für die Vermarktung ihrer skalierbaren Lösung ausgerufen. Übersetzt heißt das: Weg von Einzelprodukten?
Alge: "Best of need" bedeutet für mich, dass zuallererst das Fundament stimmen muss. Es kann nicht sein, dass man sich als Kunde ständig mit Einzellösungen für spezifische Bedrohungen herumschlagen muss, die in Bezug auf die Infrastruktur des Unternehmens kaum unter einen Hut gebracht werden können. Die SAPs dieser Welt haben uns vorgemacht, dass man mit dem richtigen Fundament technologische Spitzen auch über Jahrzehnte hinweg absorbieren kann.
Frage: Warum sind die Security-Architekturen bisher an diesem Unterfangen gescheitert?
Alge: Weil die Entscheidungsträger im Vergleich zur SAP-Welt einfach anders sind. SAP wurde immer schon von Leuten mitentschieden und entwickelt, die wie Manager denken. Security-Verantwortliche können zwar gut mit IP-Paketen umgehen, aus rationalen Entscheidungsprozessen haben sie sich in der Vergangenheit aber eher ausgeklinkt. Letztlich hat das dazu geführt, dass man viel philosophiert und gestritten hat, ohne darüber nachzudenken, was und warum man etwas tut. Reife Unternehmen hingegen gehen aus rationalen Überlegungen heraus auch bei der Security bewusste Risiken ein. Das müsste normal sein.
Frage: Was schlagen Sie vor, um die Denkmuster bei der IT-Security den Entscheidungsprozessen bei betriebswirtschaftlicher Software anzugleichen?