"IT-Sicherheit muss als Prozess gelebt werden"

Interview: Karlheinz Pichler, Fotos: Rainer Hug

Herr Rohrer, wenn man sich die Schlagzeilen der letzten Wochen und Monate vor Augen hält, wonach etwa die Nato elektronische Angriffe aus dem Netz als gefährlicher einstuft als den allgemeinen Terrorismus, oder die BürgerInnen eines Staates bespitzelt und die Rechner von grossen Internet-Firmen von Regierungsstellen aus angezapft werden: Ist das Projekt der Informationssicherheit gescheitert?

Als erstes dementiere ich, dass das Projekt Informationssicherheit gescheitert ist. Die Abhöraktionen von Seiten Regierungsstellen sind seit langem ein offenes Geheimnis. Dank der Informationssicherheit wusste man, wer es ist, und woher sie kamen. Die „neue“ Herausforderung der Informationssicherheit ist, was mitunter auch eine Aufgabe von Identity & Access Management ist, die Information als gesprochenes Wort zu identifizieren, klassifizieren, um letztendlich je nach Klassifizierung die Verbreitung nach aussen zu unterbinden. Bei den elektronischen Informationen ist dies das „least privileged“ Prinzip – d.h. Informationen nur soweit den Mitarbeitern zur Verfügung stellen, wie sie auch tatsächlich zur Ausübung ihrer Tätigkeiten benötigen – darunter fällt auch das „gesprochene Wort“, worauf nun noch mehr geachtet werden muss bzw. die Gewichtung erhöht werden muss.

Wohin steuern wir gesellschaftlich, politisch und wirtschaftlich aus Sicht der Informationssicherheit hin? Wird es künftig noch eine Balance zwischen Privatsphähre und Überwachungsstaaat geben?

Um die Bilanz zwischen Privatsphäre und Überwachungsstaat zu erhalten sind Politik und Privatunternehmen gefordert, Transparenz zu schaffen und gemeinsam, Hand in Hand, Massnahmenpläne zugunsten der Informationssicherheit zu schaffen und zu erkennen, dass Informationssicherheit nicht bei der Technik endet sondern viel weiterreichender sein muss.

Der Bundesrat hat im Mai einen Umsetzungsplan zur Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) verabschiedet. Als wesentlich für die Reduktion von Cyber-Risiken bezeichnet dieser die Strategie das Handeln in Eigenverantwortung und die nationale Zusammenarbeit zwischen der Wirtschaft und den Behörden sowie die Kooperation mit dem Ausland. Diesen Handlungsbedarf deckt die Strategie mit 16 Massnahmen ab, die bis 2017 umzusetzen seien. Genügt dieser Umsetzungsplan aus Ihrer Sicht, um die Schweiz vor internationalen Cybergefahren zu schützen? Wie stehen Sie selber der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken gegenüber?

Die Handlungsfelder der Nationalen Strategie wurden meines Erachtens vollumfänglich ermittelt. Was die Massnahmen anbelangt, sollte hier wiederum die Transparenz zwischen Politik und Privatwirtschaft gewährleistet sein, gerade auch Hinsichtlich der Kooperation mit dem Ausland. Die Faktoren Least Priviledge, Segregation of Duties und Duly signed (Schwerpunkt Nachvollziehbarkeit), sollten hierbei tragend sein – nicht zuletzt gegenüber Kooperationen mit dem Ausland. Aber auch das Identity Management als gesamtes (organisatorisch wie auch technisch), sowie ein umfassendes Informationssicherheitsmanagement sind nicht ausser Acht zu lassen, um vor allem bei etwaigen Incidents nachvollziehen zu können, „who you are and where you are and where you come from“.

Ist die IPG selber auch in Gremien, Verbänden und Organisationen vertreten, um ihr Knowhow in Sicherheitsfragen ausserhalb ökonomischer Interessen der Allgemeinheit zur Verfügung zu stellen?

IPG als Organisation sowie die Mitarbeiter von IPG sind in zahlreichen Organisationen aktiv. Wir müssen aber mit unseren Mitteln haushälterisch umgehen und konzentrieren uns tendenziell auf Aktivitäten, die auch einen mittelbaren wirtschaftlichen Nutzen haben. IAM ist ja nicht nur Sicherheit, und mit unserem IAM-Portfolio besetzen wir nur eine „Nische“ im gesamten Sicherheitsthema. Um Gehör ausserhalb von IAM zu haben, sind wir zu klein und zu wenig breit aufgestellt.

Haben die allgemeinen Sicherheitsfragen auch Einfluss auf die Strategie eines privatwirtschaftlichen IT-Security-Anbieters wie IPG, oder konzentrieren Sie sich mit Ihrem Unternehmen ganz gezielt nur auf Einzelaufträge, die an das Unternehmen herangetragen werden?

Natürlich haben diese Sicherheitsfragen auch Einfluss auf unsere Strategie und die Themen, die wir bearbeiten. Die Sicherheitsfragen sind letztendlich auch Treiber für die Kundenprojekte. Die Kunden müssen oder wollen reagieren und damit werden wir als Brückenbauer, welche die organisatorische Ebene und auch die technische Ebene betrachten, mit diesen Fragen konfrontiert. Zudem orientiert sich unsere Strategie an einem ganzheitlichen Verständnis der Informationssicherheit, wir schauen also über den Tellerrand hinaus. Wir versuchen uns immer auf die gesamte Sicherheitspyramide auszurichten und somit letztendlich den Unternehmensrevisionen gerecht zu werden und Identity & Access Management als Bestandteil des Unternehmensrisikomanagements zu verankern. Gerade aus der Risikobetrachtung kommen Themen wie IAM und Social Media (welche Mitarbeiter sind in Social Media unterwegs, was sagen sie…) verstärkt auf. Federation ist ein brandaktuelles Thema und natürlich auch das Mobile Device Management oder Byod. Zugriffe steuern und Informationen schützen ist das eine, welche Information über welche Kanäle transportiert wird, ist das andere.

Unsere Leistungen umfassen Beratungen auf strategischer Ebene, die Umsetzung von organisatorischen Massnahmen wie die Gestaltung der Prozesse und die Optimierung der Aufbauorganisation und selbstverständlich auch die technische Umsetzung. Dazu gewinnt das Betriebsgeschäft zunehmend an Bedeutung. Wenn wir die IAM-Lösung und die Regelwerke betreiben, müssen wir uns ausnahmslos auf korrekte Prozesse abstützen und dürfen nur genehmigte Benutzer- und Berechtigungsmutationen ausführen. Also totale Transparenz und Nachvollziehbarkeit. Die Verantwortung bleibt aber beim Kunden, er muss die „Governance-Regeln“ definieren.

Die IPG ist personell gegenüber dem vergangenen Jahr um fast 100 Prozent gewachsen. Hat das Bedrohungsszenario derart Überhand genommen, dass der Bedarf nach Informationssicherheit quasi explodiert ist?

Die günstigen Marktgegebenheiten haben unser Wachstum sicherlich unterstützt. In den Anfängen unserer Geschäftstätigkeit waren Effizienzfragen und Einsparungspotenziale die Treiber für Identity & Access Management Vorhaben. Heute stehen die Anforderungen aus Governance, Risk und Compliance (GRC) als Treiber im Vordergrund. Zudem hat sich die Komplexität in der IT stark erhöht. Die Daten und Informationen sind zunehmend verteilt, auch ausserhalb des Unternehmens, und der Mitarbeiter hat mit Mobile-Devices ganz neue Werkzeuge im Einsatz.

In unserer IAM-Sensibilisierung sprechen wir heute mit weitaus mehr Anspruchsgruppen und Betroffenen als früher; denn IAM ist heute kein IT-Thema mehr sondern ein Unternehmensthema, das entsprechende Verankerungen in Strategien etc. findet.

Wir haben in den letzten Jahren aber auch konsequent an unserer Experten-Position gearbeitet und in vielen, erfolgreichen Projekten bewiesen, dass wir unser Handwerk verstehen. Das sind nicht die Früchte von wenigen Monaten oder Jahren sondern von einem nachhaltigen, von Leidenschaft getriebenen Engagement. Wir investieren laufend in die Entwicklung der Mitarbeiter und deren Kompetenzen, in ein umfassendes und einzigartiges Lösungsangebot und in die klare Markt-Positionierung.

Umso schöner ist es, wenn der Markt das honoriert und wir unsere Wachstumsziele verfolgen können. Am Ziel sind wir nicht, denn wir wollen nachhaltige Entwicklung für das Unternehmen!

Das Kernbusiness von IPG ist Identity und Access Management (IAM). Wo sehen Sie hier momentan die grössten Herausforderungen?

Da gibt es einige Themen. Ich bin der Meinung, dass die Mehrheit der Unternehmen, egal welcher Grössen und Branchen, nach wie vor die Grundlagen für ein wirkungsvolles IAM schaffen müssen. Auch wenn viele sagen, dass sie IAM betreiben, so fehlen wichtige Grundlagen wie z.B. eine IAM- Strategie oder eine IAM- Richtlinie. Ebenso müssen die zu einseitig auf die operativen Administrationsprozesse ausgerichteten Systeme verstärkt auf die Anforderungen aus GRC angepasst werden. Vielfach bedeutet das, dass die bestehenden Prozesse rund um das Benutzer- und Berechtigungsmanagement neu definiert und umgesetzt und die eingesetzten Produkte funktional erweitert werden müssen. Die Früheinsteiger sehen sich derzeit auch mit einer Veränderung der Anbieterlandschaft konfrontiert und müssen die Produktstrategien überdenken.

Nicht wenige Unternehmen sehen sich derzeit gezwungen, auf neue Technologien zu migrieren, was bei der Komplexität von IAM Lösungen ein sehr schwieriges und kostspieliges Unterfangen ist und die Mittel für die weitere Ausrichtung auf die Business-Anforderungen absorbiert. Ebenso beschäftigen sich die Unternehmen verstärkt mit Themen wie Federation, Privilegierters User Management und Mobilität. Und, wie eingangs erwähnt, müssen wir uns öffnen. Die Herausforderungen werden auch das gesprochene Wort in das Identiy & Access Management umfassen. Insgesamt werden wir wohl eher mit der Herausforderung einer steigenden und immer komplexeren Nachfrage umgehen dürfen.

Ist IAM nur ein Thema für Grossunternehmen oder wird IAM auch für KMUs zunehmend wichtiger. In verschiedenen Ländern fahren die Behören beispielsweise regelrechte Aufklärungskampagnen für KMUs, um sie bezüglich elektronischer Bedrohungen aus dem Schlaf zu reissen.

Sobald ein Unternehmen ein paar Mitarbeiter beschäftigt, betreibt es in irgendeiner Form auch Identitäts- und Zugriffsmanagement. Viele dieser Firmen suchen auch nach Möglichkeiten, IAM zu etablieren, weil durch Sensibilisierung auch die Ansprüche steigen. Gerade kleine Unternehmen oder Start-ups, die vielleicht die Konzerne der Zukunft sind, haben oft nur „Informationen“ als Werte, welche geschützt werden sollen. Es ist wichtig, das Sicherheitsbewusstsein auch auf Stufe KMU zu fördern, um somit die Informationssicherheit als Bestandteil entsprechend in der Firma zu positionieren.

Mit „Education & Workshops in IAM“ baut die IPG ein weiteres Standbein auf. Zielen Sie mit dieser Schiene auf die angesprochene Sensibilisierung ab? Was beinhaltet dieses neue „IPG-Produkt“ konkret und an welche Klientel richtet es sich?

Die Sensibilisierung ist sicher ein zentraler Aspekt unserer Education-Strategie. Education rundet unser Portfolio ab. Wir möchten unser Experten-Wissen auch ausserhalb klassischer Projekte vermitteln und den Unternehmen die Möglichkeit geben, schnell eine geballte Ladung Wissen zu den verschiedensten IAM-Themen zu bekommen. Wissen Sie, wie viele Kurse oder Ausbildungen es zu IAM gibt? Oder wie viel Literatur dazu zu finden ist. Das Angebot ist äusserst klein. Natürlich sind die Education-Angebote auch nicht ganz uneigennützig; wir erhoffen uns daraus natürlich auch den einen oder anderen Projektauftrag; je mehr der Kunde von einzelnen Themen versteht, desto schneller finden wir im Projekt eine gemeinsame Sprache. Damit können wir in den Projekten viel effizienter arbeiten. Wir werden verschiedene Schulungsangebote zu fachlichen Themen aber auch zu Produkten und Technologien anbieten. Zielgruppen sind sowohl interessierte Einzelpersonen als auch Unternehmen, für die wir auch gerne individuelle Ausbildungseinheiten ausarbeiten und durchführen.

Die Geschäftsprozesse und die Informatik verschmelzen immer mehr zu einer geschlossenen Einheit. Muss die IT-Sicherheit auch als Prozess angesehen werden, die direkt in diese Einheit von Business und IT implementiert ist?

Unbedingt. Die IT-Sicherheit als Teil der operationellen Risiken gehört in das Risikomanagement Framework eingebettet und als Prozess gelebt. Dabei müssen, wie im gesamten Risikomanagement, die Schnittstellen zu den Geschäftsprozessen identifiziert werden. Was eine integrierte IT-Sicherheit sowie Identity & Access Management zur Folge hat. Dann ist die IT „Mittel zum Zweck“, d.h. die IT hat die Geschäftsprozesse zu unterstützen resp. die IT bildet die Produktionsstrasse des modernen Unternehmens. Daher muss eine Verschmelzung erfolgen.

IPG hat seit kurzem „IAM as a Service“ im Portfolio. Zielen Sie damit auf die angesprochene Prozess-Integration von IAM? Wie entwickelt sich die Nachfrage nach IAMaaS allgemein und wie wird IAMaaS in der Praxis abgewickelt?

Mit IAMaaS wollen wir Unternehmen helfen, ein Identity & Access Management wirkungsvoll zu betreiben. Mit IAMaaS adressieren wir zwei Themen. Einerseits den schnellen Einstieg ins IAM mit „IAMnow“, welcher klassisch oder auf Basis einer „on-premise“ Lösung erfolgen kann. Basis bildet dazu ein weitgehend standardisiertes und vordefiniertes IAM-System. Mit unserer IAMnow-Lösung bieten wir eine Lösung mit integrierten Prozessen und Workflows, letztendlich Services für die Benutzer- und Berechtigungsadministration, wie sie in allen Unternehmen vorkommen. Ähnlich dem Gedanken der Nutzung von Office365. Mit IAMaaS adressieren wir aber auch die Betriebsfragen. Viele Unternehmen bekunden Mühe, ihre IAM-Infrastruktur langfristig mit ausreichend Know-how zu betreiben. Oder man sieht IAM nicht als Kernkompetenz und sucht einen Partner, der den IAM-Applikationsbetrieb (SaaS) wie auch die Operations, d.h. das Tagesgeschäft übernimmt. Hier haben wir mit unserem IAM-Operation-Team immer die passende Antwort auf die vielfältigen Interessen der Kunden.

Ein besonders sensibler Bereich, in dem die regionale und überregionale Vernetzung von sehr unterschiedlichen „Marktteilnehmern“ rapide wächst und die Sicherheitsansprüche damit immer wichtiger werden, ist der eHealth-Sektor. Wie beurteilen Sie die Befindlichkeit diese Marktes punkto Sicherheit aktuell und wie wichtig ist dieser Markt für die IPG als Anbieter?

Der eHealth Sektor ist sehr spannend und zeigt ein grosses IAM-Potenzial. Wir konnten bereits mehrere Spitäler für unsere Dienstleistungen und Lösungen gewinnen. Das bringt gerade den Spitälern enorme Vorteile, denn sie arbeiten mit Systemen wie den Klinikinformationssystemen oder Patientensystemen, für die es keine Standard-IAM-Lösungen gibt. Wir schaffen nun de-facto solche Standards.

Das elektronische Patientendossier wird noch viele Organisationen vor grosse Herausforderungen stellen. IPG ist fit, den Unternehmen zu helfen. Diese müssen aber frühzeitig das Thema IAM oder Federation in Angriff nehmen.

IPG verfügt seit kurzem auch über eine Niederlassung in Deutschland. An welchem Punkt stehen Sie da heute mit dem Auf- und Ausbau? Sind die Sicherheitsanforderungen in Deutschland vergleichbar mit denjenigen in der Schweiz? Wo setzen Sie in Deutschland inhaltlich aktuell die Akzente?

Die IPG GmbH geniesst heute grossen Stellenwert in der IPG-Strategie. Schon heute realisieren wir knapp ein Drittel der Umsätze in Euro, vornehmlich in Deutschland. Wir wollen näher an den Kunden und schrittweise die Leistungen mit den Mitarbeitern der GmbH erbringen. Dazu haben wir für Deutschland einen dedizierten Vertriebsverantwortlichen mit langjähriger IAM-Expertise eingesetzt und bauen nun schrittweise die „Delivery-Organisation“ auf. Deutschland wird ausschliesslich auf Verkauf und Services ausgerichtet sein. Angesichts der bestehenden Auftragslage gehen wir von einer Verdoppelung des Mitarbeiterbestandes in Deutschland aus.

Ich denke, die Anforderungen und Treiber unterscheiden sich nicht wesentlich, tendenziell ist der Compliance-Druck in Deutschland etwas grösser und die Anforderungen teilweise konkreter formuliert. Inhaltlich fokussieren wir uns derzeit auf den Ausbau unseres IAM-Consultings mit Themen wie IAM-Richtlinien und -Strategien, Prozessgestaltung und RBAC. Aber auch in der klassischen Lösungsimplementierung sind wir aktiv, teilweise auch im Auftrag der Hersteller.

Ein Blick in die Zukunft: Die Informationssicherheit allgemein scheint sich immer mehr zu einer Art Fass ohne Boden zu entwickeln. Wo sehen Sie als IAM-Spezialist künftig die grössten inhaltlichen und auch technischen Herausforderungen?

Künftig muss IAM noch stärker auf die bestehenden Unternehmensprozesse eingehen und sich an den Unternehmensrisiken orientieren. Dennoch; ein Fass ohne Boden würde ich die Informationssicherheit nicht nennen – es ist aber zu erwarten, dass die Gewichtung stärker auf das aktive Agieren und weniger auf Reagieren ausgelegt werden sollte – auch im Identity & Access Management. Dazu müssen wir uns einfach bewusst werden, dass wir künftig auch „Nicht-Menschliche-Identitäten“ verwalten müssen, Stichwort „Internet der Dinge“. Und wir müssen uns von Hürden befreien. Die Industrie hat es längst bewiesen – es lassen sich Standards weltweit durchsetzen. Wir sollten versuchen, die Systemintegrationen dank Standard-Schnittstellen zu vereinfachen. Die Basis ist eigentlich gelegt; es ziehen leider noch zu wenige mit.

ZUR PERSON
Marco Rohrer ist Experte für Identity & Access Management und Chief Executive Officer (CEO) der in Winterthur angesiedelten IPG AG. Er macht Beratungen und Expertisen zum Thema Identity & Access Management, insbesondere Strategie-Entwicklungen zur Umsetzung von Projekten für Identity & Access Management und Organisationsentwicklungen für den Aufbau von Rollenmanagement-Organisationen und -Prozessen.
Als Mitgründer der IPG AG ist er seit 2001 im Bereich Security, mit Spezialisierung auf Identity und Access Management / Role Based Access Control, tätig. Vor der Ernennung zum CEO war Marco Rohrer in verschiedenen Positionen bei IPG tätig, zuerst als Projektleiter für Identity- &-Access-Management-Projekte, dann als Leiter für den Bereich IAM und zuletzt als Leiter Verkauf.
Der 1978 geborene IPG-CEO ist Eidg. Dipl. Betriebsökonom FH mit der Studienrichtung Enterpreneurship sowie Vertiefungsstudien in Organisation und Marketing. Zudem hat sich Rohrer stetig im Bereich Verkauf, Marketing und Informatik weitergebildet.
Als Experte für IAM ist Rohrer zudem ein bekannter Referent und hat auch schon als Dozent an der Hochschule Rapperswil im Lehrgang Identity & Access Management das Spezialgebiet Role Based Access Control unterrichtet.
Der IPG-CEO ist verheiratet und hat zwei Söhne. Die Freizeit verbringt er gerne in der Natur mit vielfältigen Familien-/ Outdoor-Aktivitäten. Er ist begeisterter Koch und im Winter leidenschaftlicher Snowboard- und Skifahrer.

ZUR FIRMA
Die IPG AG mit Hauptsitz in Winterthur und Niederlassungen in Hamburg und Wien ist auf IAM (Identity & Access Management) spezialisiert und bietet Lösungen für den umfassenden Schutz von Benutzerdaten und Zugriffrechten an; dies für Unternehmen und Verwaltungen der gesamten Wirtschaft. IPG mit seinen Experten verfügt über grosses Knowhow in Themen wie „Role Based Access Control“, „Identity Management & Provisioning“, „Access Management and Single Sing On“, „Management von privilegierten Accounts“, „Identity Management as a Service“.
Mit „Education & Workshops in IAM“ baut das Winterthurer Security-Haus derzeit zusätzlich ein Standbein zur Know-how-Vermittlung im IAM-Bereich auf.