Führungskräfte-Rundtischgespräch: Die Rolle des CISO bei der digitalen Transformation

Von:

16. September 2021

Die Vorteile der digitalen Transformation sind enorm, doch sie bringt auch ganz neue Sicherheitsrisiken mit sich. Unternehmen erkennen zunehmend, dass sich ihre Angriffsfläche im Bereich der Cybersicherheit durch neue cloud, Mobil- und Datenbanktechnologien der nächsten Generation erheblich vergrößert hat. Da Angreifer ihre Taktiken weiterentwickeln und gezielt auf geschäftskritische Anwendungen abzielen, stehen CISOs vor einer noch größeren Herausforderung, wenn es darum geht, die Sicherheit ihrer Unternehmen zu gewährleisten.

Führungskräfte aus dem Bereich Cybersicherheit von Optiv, NightDragon, Levi Strauss & Co. und Onapsis trafen sich zu einem Rundtischgespräch, um die neuesten Sicherheitsmethoden zu erörtern, darunter die Risikobewertung von SAP- und ERP-Systemen, die Absicherung von ERP-Systemen und die Verringerung der Angriffsfläche.

Wir beobachten derzeit eine starke Verlagerung hin zu SaaS-basierten Anwendungen wie ERP-, CRM- und HR-Systemen. Können Sie als Führungskräfte der obersten Ebene erläutern, wie sich dieses Wachstum bei SaaS-Anwendungen auf Ihre Unternehmen auswirkt?

Steve Zalewski, ehemaliger CISO bei Levi Strauss & Co.: Die digitale Transformation bringt eine erhöhte Verantwortung mit sich, Unternehmen in die Lage zu versetzen, schnell zu scheitern, ohne dass dabei die Sicherheit versagt. Dies muss so geschehen, dass das Unternehmen nun besser in der Lage ist, Ressourcen zu nutzen, die nicht im IT-Bereich liegen. Das ist fast ein doppelter Schlag, denn ich muss nun etwas tun, das mir etwas fremd ist, und ich habe nicht unbedingt einen wichtigen IT-Partner, der mir dabei helfen könnte. Im Grunde läuft das auf das Risiko durch Drittanbieter hinaus. Wenn man sich SAP in der cloud ansieht, müssen wir Drittanbieter nutzen, um Dienste zur Sicherung des Unternehmens bereitzustellen, während dieses versucht, noch schneller voranzukommen.

Wie haben sich die Anwendungen der Organisationen, mit denen Sie zusammengearbeitet haben, in den letzten zwei Jahren weiterentwickelt und verändert?

Dave Dewalt, Gründer von NightDragon: Die letzten 12 bis 18 Monate waren eine wahre Katastrophe. Was ich unter anderem beobachtet habe, ist eine unglaubliche Trägheit bei der digitalen Transformation. In einem meiner Unternehmen cloud wir 95 % aller Anwendungen cloud – wir haben diese Anwendungen buchstäblich in die cloud, in eincloud , verlagert. Mit dieser beschleunigten Umstellung auf eine unglaublich dynamische Umgebung gab es ein kleines Sichtbarkeitsproblem, und einige unserer geschäftskritischen Anwendungen waren sogar ungeschützt. Die aktuelle Bedrohungslage ist derzeit sehr gefährlich.

Welche Maßnahmen können CISOs ergreifen, um sich darauf vorzubereiten?

Kevin Lynch, CEO von Optiv: Wir haben massiv in die digitale Transformation auf breiter Front investiert. Eine der Herausforderungen, vor denen wir standen, war, dass ERP eher als etwas Fernes betrachtet wurde, anstatt als entscheidend für die Behebung von Problemen und die Erstellung von Sicherheitsprofilen angesehen zu werden. Es ist an der Zeit, dies zu ändern und mit den bisherigen Vorgehensweisen zu brechen. Es ist an der Zeit, das Thema Sicherheit früher und intensiver in die Diskussion einzubeziehen. Es ist an der Zeit, geschäftskritische Anwendungen in Ihre Incident Response, Ihre Playbooks, Tabletop-Übungen usw. einzubeziehen. Es ist an der Zeit, die vertrauensbasierten Beziehungen zwischen Ihren SSO-Umgebungen, Ihrem Identitätszugang und Ihrer Identitäts-Governance zu betrachten und sicherzustellen, dass Sie diese wirklich robust gestalten – nicht nur im Gleichgewicht Ihrer Unternehmensinfrastruktur, sondern auch zwischen Ihren Anwendungen und der ERP-Umgebung, und dann tief in das ERP und die Anwendungen selbst einzutauchen.

Den Rest der Sitzung können Sie hier anhören.

Weitere Ressourcen

  • Als Marktführer im Bereich der Sicherheit geschäftskritischer Anwendungen ist Onapsis ein bewährter Geschäftspartner, den Sie an Ihrer Seite haben sollten. Erfahren Sie, wie wir Ihnen helfen können.
  • Sichern Sie Ihre geschäftskritischen Anwendungen. Hier sind fünf Gründe, warum Sie Funktionen zum Schwachstellenmanagement für SAP, Oracle und andere Unternehmenssysteme benötigen.
  • Was ist erforderlich, um die geschäftskritischen Anwendungen Ihres Unternehmens vor der drohenden Gefahr durch Ransomware zu schützen? Genau dieser Frage wollen SAP und Onapsis hier nachgehen.
Stichworte, , , , ,
Über den Autor

Maaya Alagappan

Maayaa Alagappan ist eine Marketingexpertin mit einem besonderen Schwerpunkt auf Datenschutz und Risikomanagement. Sie nutzt ihr Fachwissen im Bereich Cybersicherheit, um Strategien zu entwickeln, die nicht nur sensible Daten schützen, sondern auch das Vertrauen der Kunden stärken. Indem sie Sicherheitsmaßnahmen mit Marketingzielen in Einklang bringt, unterstützt Maayaa Unternehmen dabei, den Ruf ihrer Marke zu stärken und die Einhaltung gesetzlicher Vorschriften in einem zunehmend digitalen Marktumfeld sicherzustellen. Ihre einzigartige Kombination aus Marketing- und Cybersicherheitskenntnissen macht sie zu einer wertvollen Bereicherung bei der Entwicklung von Kampagnen, die sowohl Kundenbindung als auch Datenschutz in den Vordergrund stellen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen