Die wesentlichen IT-Trends 2022 – ein Ausblick
Die besonderen Herausforderungen der Jahre 2020 und 2021 führten zu zahlreichen Umwälzungen bei IT-Entwicklern, -Anbietern und -Anwendern. Dazu beigetragen hat sicherlich auch der weltweite, anfangs sehr überstürzte Switch ins Home-Office. Mittlerweile ist in diesem Bereich wieder Ruhe eingekehrt. Dementsprechend rücken zum Jahreswechsel 21/22 neue Themen in den Fokus. Diese beruhen einerseits auf den veränderten Rahmenbedingungen, andererseits aber auch auf der zunehmenden Komplexität von Systemen, Kanälen und Prozessen. Vier Mega-Trends im IT-Sektor sehen wir für 2022:
Least Privilege Principle
Im Fokus von IT-Sicherheitsbeauftragten standen bis noch vor ein paar Jahren hauptsächlich externe Bedrohungen von Netzen und Infrastrukturen. Aktuell kommt die Gefahr eher von innen – angesichts steigender Nutzung von Cloud, IoT und Mobile Work. Diese Entwicklung haben wir zwar mittel- und langfristig schon erwartet. Sie wurde aber durch Covid-19 mit Lichtgeschwindigkeit aus der Zukunft in die Gegenwart katapultiert. Das „Least Privilege Principle“ gilt bereits als Best Practice in der IT. Jetzt gewinnt es durch die zunehmende Dezentralisierung und Unübersichtlichkeit aber immer mehr an Bedeutung. Im Laufe der Zeit haben in vielen Unternehmen Mitarbeiter IT-Rechte und -Befugnisse „angehäuft“, die mit ihren aktuellen Aufgaben nichts mehr zu tun haben. Das Least Privilege Principle (PoLP) sagt aus, dass Menschen (und Maschinen) wirklich nur die Rechte erhalten, die sie auch tatsächlich brauchen. Auf diese Weise beugt man Fehler auf allen Ebenen des Unternehmens effektiv vor – unabhängig davon, ob sie absichtlich oder fahrlässig passieren. Dennoch sinkt nicht das Vertrauen in die Mitarbeiter, ihnen wird nur Verantwortung abgenommen, die sie nicht tragen können oder wollen.
IT-Sicherheit als Bringschuld des Arbeitgebers
IT-Verantwortliche in Unternehmen stehen schon lange in der Pflicht, den Angestellten eine sichere Arbeitsumgebung zu ermöglichen – insbesondere im Home-Office. Hier wurde aber oft und gerne die Verantwortung auf die „Tele-Arbeiter“ abgewälzt, Stichwort „Schulung und gut ist“. Der „DAU“ – der dümmste anzunehmende User – war in der IT bisher eine feste Größe. Schaffte man es nicht, eine Applikation „DAU-sicher“ zu schreiben, bestand jederzeit die Gefahr, dass sich durch eigentlich „unmögliche“ Fehlbedienungen das Programm ins Nirwana verabschiedete. Diese aus Anwenderperspektive doch sehr arrogante Sichtweise bringt uns längst nicht mehr weiter. Das Problem war und ist auch nicht der vermeintlich dumme und unbelehrbare User (gerne auch als „Human Error“, „Layer8″, FSVG“ oder „ID10T“ bezeichnet). Das Problem liegt eher im Fehlen verständlicher Tools, intuitiver Prozesse und anwendergerechter Weiterbildung. Daher sollten nicht nur passende Werkzeuge bereitgestellt werden, sondern der User auch von Beginn an als wichtiger und aktiver Part in die Sicherheitsstrategie miteinbezogen werden. Weiterhin geben ihm sinnvolle und regelmäßige Schulungen das Gefühl, Sicherheitsmitgestalter zu sein und nicht nur als Risiko-Faktor zu gelten.
Benutzerfreundliche Tools steigern die Nutzungswahrscheinlichkeit
Variantenreiche und generisch erzeugte Passwörter sind für die IT-Sicherheit ein absolutes Muss. Ihr regelmäßiger und vorschriftsmäßiger Einsatz scheitert aber nicht selten an den Usern, die sich die komplexen Zahlen- und Zeichenfolgen einfach nicht merken können. IT-Abteilungen müssen daher den Mitarbeitenden die richtigen Tools an die Hand geben, die sie bei der Generierung und Eingabe komplexer Passwörter entlasten. Abhilfe schafft hier ein Passwort Manager mit vereinfachter Benutzeroberfläche, die es Mitarbeitenden mit viel oder wenig IT-Erfahrung leicht macht, sich in der Software zurechtzufinden. Das System erkennt eine Anwendung und fügt automatisch das sichere Passwort ein. So können unternehmensweit sichere Passwörter sichergestellt werden und der Mitarbeitende wird bei der Verwaltung entlastet, was sich zusätzlich positiv auf die Effizienz im Unternehmen auswirkt. Solche IT-Tools drücken Usern keine Richtlinien auf, deren Komplexität sie überfordern, sondern berücksichtigen den „Human Factor“ durch hohe Usability.
Outsourcing von IT-Leistungen
Konzerne und internationale Unternehmen achten darauf, die Hoheit über ihre IT-Daten und Prozesse nicht aus der Hand zu geben – auch aufgrund zunehmend strengerer Compliance-Vorgaben. Dazu unterhalten sie in der Regel große und hervorragend ausgestattete IT-Abteilungen. Für KMU ist es aber 2021 und 2022 schlicht unmöglich, angesichts der sehr angespannten Lage am Personalmarkt das gesamte IT- und Sicherheitsaufgabenspektrum im eigenen Unternehmen abzubilden. Kompromisse verbieten sich aufgrund der enormen Bedeutung der IT-Sicherheit. Immerhin geraten jeden Tag mehr KMU in die Schusslinie von Cyber-Kriminellen. Daher überlegen immer mehr IT-Verantwortliche in kleinen und mittleren Unternehmen, welche Leistungen, welches Know-how unbedingt Inhouse bleiben müssen – und welche Services kostengünstiger und effektiver extern gehostet werden. Einen Managed Services Provider (MSP) einzubinden, kann durchaus eine gute Lösung sein. Ob sich die IT-Sicherheit aber eher durch eine leistungsfähige Software oder die Beauftragung eines MSPs erhöht, muss vorher genau geklärt werden.