IT-Security – bitte kein Lametta mehr

Ich bin ein großer Fan des Pessimists-Archive-Podcasts. Jason Feifer berichtet mitreißend und überhaupt nicht angestaubt über die Geschichte des Widerstands gegen Veränderung.

Dinge, die heute eher konservativ und etabliert eingeordnet werden, waren bei der Einführung revolutionär und auch oft „vom Teufel“. So war der Walzer in den frühen 1800er-Jahren so skandalös wie später der Rock ’n’ Roll. Es haben sich sogar Menschen wegen der Ehrenhaftigkeit des Walzers duelliert. Kann gar nicht sein?

Ob etwas ernst genommen wird, sehe ich daran, ob jemand bereit ist, Geld dafür zu bezahlen. Und Security für SAP wird mittlerweile ernst genommen. Heute erlebe ich: Die Unternehmen sind bereit, etwas zu ändern.

Allerdings weiterhin nur so viel, dass es möglichst wenig am Etablierten ändert. Da werden dann neue SAP-Berechtigungen angefragt, die konfliktfrei sein und in das bestehende Konzept passen sollen. Doch das Konzept für den Betrieb lautet in der Regel, mit Menschenkraft Massenarbeit manuell zu erledigen.

Stumpf, fehleranfällig, langweilig und völlig austauschbar. Administratoren in Dutzenden von Unternehmen, die ich persönlich kennengelernt habe, arbeiten beim Thema IT-Security immer noch wie vor der Einführung des iPhones. Das war 2007.

Während nun in vielen Firmen vorne daran geschraubt wird, wie die Mitarbeiter und Kunden über hübsche neue Fiori-Oberflächen auf das SAP-System kommen, herrscht im Maschinenraum eine düstere und unheimliche Stimmung. Da wird nicht orchestriert und kontrolliert, da wird stumpf Kohle in das Feuer geschippt.

Hunderte von Rollen auf Front-End- und Back-End-Servern synchron zu halten, ohne in Konzepte und Werkzeuge für das Rollen- und Identity-Management zu investieren, ist – veraltetes Konzept.

Ein SAP-System zu betreiben, ohne ein Security-Monitoring etabliert zu haben, ist – veraltetes Konzept. Nicht in die systematische Ausbildung der Mitarbeiter hinsichtlich SAP Security zu investieren ist – Sie ahnen es schon – veraltetes Konzept.

Und das sind neue Mitarbeiter zunehmend nicht bereit zu akzeptieren. Warum auch, sie haben ja die Wahl – es gibt genügend Arbeitergeber, die dringend fachkundiges und motiviertes Personal suchen.

Wa­rum sollte ein junger Mitarbeiter sich dann auf stumpfe Jobs mit alten Konzepten einlassen? Wo er doch bei anderen Unternehmen Konzepte entwickeln und Tools konfigurieren kann, die für ihn die repetitive Arbeit erledigen?

In der „get in IT Studie 2017–2018“ heißt es:

„IT-Talente wollen innovativ arbeiten und Experten für ihr Fach werden.“

Wir haben hier also die verrückte Situation, dass Budget da ist, der Erfolg sich jedoch nicht einstellen wird. Weil ein nachhaltiges Security-Konzept immer noch von fachkundigem Personal betrieben werden muss. Und das hat keine Lust auf die „Früher war mehr Lametta“-Leier.

Es ist nicht so, dass irgendjemand etwas falsch gemacht hat. Wenn die SAP-Bestandskunden aber in der aktuellen Wirklichkeit sicher weiterexistieren wollen und nicht als Datenschleuder in den Schlagzeilen oder bei Betriebsgeheimnissen wie Rezepturen im Bankrott landen wollen, dann müssen auch Mitarbeiter gewonnen werden, die dabei helfen. Und die Unternehmen müssen auch akzeptieren, dass es mehr zu ändern gilt, als einmal „feucht durch das SAP-System zu wischen“.

In der Geschichte aller Innovationen gab es immer auch ein oder mehrere Personen, die sich nicht haben abbringen lassen von der Idee des Neuen. Auch wenn alle gemeckert, geunkt oder gebremst haben. Diesen einen muss es in jedem Unternehmen geben. Der geduldig die Vorteile des Neuen erklärt, ohne diejenigen zu brüskieren, die noch nach dem Alten streben.

Am Ende des Tages ist es wie beim Walzer: Die Jungen werden sich nicht abbringen lassen, weil sie die neue Welt verstehen und IT-Security so ernst nehmen, wie es heutzutage erforderlich ist.

Eben nicht, indem man manuell an Rollen rumschraubt oder Benutzer anlegt. Dafür entwickelt man ein Konzept und setzt auf etablierte Werkzeuge. Sodass man auch die Zeit hat, sich über neue Security-Risiken zu informieren, und Gegenmaßnahmen planen kann.