IT-Sicherheit: Vom Kostenfaktor zur Wertschöpfung

Seucirty ConceptInformationstechnologie wird inzwischen ganz natürlich als Teil der unternehmerischen Wertschöpfung gesehen, eine Denkweise, die sich etabliert hat. So wird geplant und umgesetzt. IT-Sicherheit hingegen wird bei aller Einsicht in die Notwendigkeit vor allem unter dem Kostenaspekt betrachtet.

Ein Investment noch dazu, mit dem man Risiken bestenfalls senken und Schäden minimieren, aber nicht gänzlich vermeiden kann. Alle wesentlichen Informationsströme werden über Computersysteme abgewickelt. Sie sind verantwortlich dafür, dass Staat und Gesellschaft ebenso funktionieren wie kritische Infrastrukturen. Neben der eigentlichen Sicherheit und den wirtschaftlichen Interessen geht es also um die Betriebsfähigkeit von Infrastrukturen überhaupt. Unternehmen kämpfen in aller Regel mit zweierlei: immer komplexer werdenden Netzen und sinkenden oder doch wenigstens stagnierenden Budgets sowie fehlendem Fachpersonal. Kein Wunder, dass die meisten Firmen beim Thema IT-Sicherheit vor allem an die Kosten denken und nicht an Sicherheit als Teil der unternehmerischen Wertschöpfung.

Anzeige

Informationssicherheit und was sie wert ist

Generell nimmt IT-Sicherheit in verschiedenen Branchen einen unterschiedlich hohen Stellenwert ein. Etwa in Firmen, deren Geschäftsmodell ausschließlich auf E-Business ausgerichtet ist oder solche, die in erster Linien mit sensiblen Informationen zu tun haben, wie Banken, Versicherungen und Finanzdienstleister. Zugespitzt gilt das für Unternehmen und Geschäftsmodelle, die beides vereinen. Hier sind Vermögenswerte genauso unmittelbar betroffen wie Kundendaten. Der Schutz beider ist existenziell damit das Unternehmen überhaupt bestehen kann. Ähnlich verhält es sich bei den sogenannten kritischen Infrastrukturen. Aber auch die digitale Transformation, das Internet der Dinge und das industrielle Internet der Dinge stellen neue Fragen an die IT-Sicherheit. Wie will man Daten und Vermögenswerte schützen und gleichzeitig eine hohe Verfügbarkeit gewährleisten? Beispielsweise in Firmen der Logistikbranche eine der drängendsten Herausforderungen.

Die Sensibilität für Fragen der Informationssicherheit ist deutlich höher als vielleicht noch vor ein, zwei Jahren. Die im Frühjahr 2018 in Kraft tretende EU-Datenschutz-Grundverordnung tut ein Übriges. Das Dauerfeuer von schlagzeilenträchtigen Hackerangriffen, Datenschutzvorfällen, Ransomware- oder DDoS-Attacken hat aber auch eine ungeahnte Schattenseite hervorgebracht: eine Art von „IT-Security-Fatigue“. Gerade weil das Thema so komplex ist, weil es Geld und andere Ressourcen bindet und weil es, unabhängig davon wie viel man investiert, trotzdem niemals abgeschlossen ist. Zudem gibt es Firmen und ganze Branchen, in denen das Sicherheitsbedürfnis ohnehin nicht ganz so ausgeprägt ist wie in anderen. Und dann stellt sie sich gerne eine, eine gefährliche Müdigkeit, wenn es um Themen der IT-Sicherheit geht. Argumentativ legitimiert mit dem Blick auf die Kosten.

Dazu kommt: IT-Sicherheit bewegt sich trotz aller technologischen Fortschritte in einem Spannungsfeld mit potenziell wiederkehrenden Zielkonflikten, etwa dem zwischen zentraler Kompetenz und dezentraler Umsetzung. Selbst an der real existierenden Diskrepanz zwischen gefühlter und tatsächlicher Sicherheit hat sich in den letzten 10 Jahren nicht viel verändert. (Management-Handbuch IT-Sicherheit, Gründer/Schrey 2007)

Das belegte zuletzt die aktuelle, in Zusammenarbeit mit KPMG entstandene Lünendonk-Trendstudie „IT-Security und Risk Management 2016: Digitale Bedrohungsszenarien im Fokus von Business und IT“. Nur 37 % der Befragten berücksichtigen Sicherheit frühzeitig und umfassend in ihren Projekten, und 92 % gehen das ganze Thema immer noch überwiegend aus der technischen Perspektive an.

Zusammen genommen eher wenig geeignete Voraussetzungen um IT-Sicherheit als Teil der unternehmerischen Wertschöpfung zu betrachten. Die Wertschöpfungskette als solche wird durch eine Vielzahl eingebundener Partner und externer Dienstleister immer komplexer. Und damit die Anforderungen an die IT-Sicherheit. Dabei meint Wertschöpfung hier durchaus mehr als sichere Voraussetzungen zum Abwickeln bestimmter Geschäftsmodelle zu schaffen.

Werden wie in modernen Geschäftsumgebungen verschiedene IT-Infrastrukturen und Systeme nebeneinander genutzt um vielfältige Aktivitäten und Transaktionen abzubilden und miteinander zu verknüpfen, spielt das Identitätsmanagement eine zentrale Rolle (wer darf oder muss wann und wie auf welche Daten und Informationen zugreifen und wer nicht). (Royer, Denis, Ganzheitliche Bewertung von Enterprise Identity Management Systemen – Der Ansatz der Balanced Scorecard als taktisches Entscheidungsunterstützungsinstrument)

Enterprise Identity Management, kurz EIdM), versteht sich eben nicht als Ansammlung von Software-Produkten, sondern als Technologierahmenwerk. Eine Studie hat drei wesentliche Gründe identifiziert warum Unternehmen und Organisationen sich für ein solches Managementsystem entscheiden. Neben IT-Risikomanagement und Compliance ist die Wertschöpfung einer der drei genannten entscheidenden Treiber.

Wertschöpfung und Schutzziele – gehören zusammen

Unternehmen müssen sich zunächst die Frage stellen, welche Werte sie überhaupt schützen wollen. Die Analyse, aus deren Ergebnissen anschließend die Schutzziele abgeleitet werden, betreffen dabei sowohl die physische Sicherheit (wie etwa den Perimeterschutz, Zutrittskontrollen, Überwachungssysteme und so weiter) als auch die Cybersicherheit. Beide getrennt zu betrachten führt heutzutage ohnehin in das bekannte Abgrenzungsdilemma.

Auch zum Thema „Werte“ liefert die Lünendonk-Studie einen interessanten Beleg. Über die Hälfte der befragten Unternehmen haben keine Informationen dazu, wie viel ihre Daten und Prozesse im Falle eine Datenschutzverletzung wert sind. Folglich wissen sie nicht so ganz genau, was sie mit welchem Umfang eigentlich schützen sollen. Dazu kommt die schon erwähnte Trennung zwischen der zentralen Kompetenz und der dezentralen Umsetzung: Nur 27 % der Unternehmen beziehen die Fachbereiche mit ein, wenn es darum geht sich die notwendigen Informationen zum Wert von Daten zu beschaffen und das Risiko im Falle eines Datenschutzvorfalls einschätzen zu können.

Laut jüngsten Erhebungen des Branchenverbandes bitkom ist mehr als die Hälfte der Unternehmen in Deutschland in den letzten zwei Jahren Opfer von Datenklau und Wirtschaftsspionage geworden. Das entspricht einem Schaden von 55 Milliarden Euro pro Jahr. Dazu kommt der potenzielle Imageschaden. Wirtschaftsschutz hängt ebenfalls eng mit der unternehmerischen Wertschöpfung zusammen. Darauf hat Dr. Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV) bei der Vorstellung der Studie noch ein Mal explizit hingewiesen: „(…) Im Sinne eines ganzheitlichen und nachhaltigen Wirtschaftsschutzes gehören dazu nicht allein IT-bezogene Maßnahmen, sondern risikominimierende Pläne in den Bereichen Organisation, Personal und Sensibilisierung. (…)“.

Die Marktbedingungen sind entsprechend: Die weitaus meisten Unternehmen und Branchen, nicht zuletzt die ITK-Branche selbst, sehen sich durch die digitale Transformation einem verstärkten Verdrängungswettbewerb ausgesetzt. Wie kann man in diesem veränderten Wettbewerbsumfeld neue Kunden gewinnen und an sich binden oder neuartige Dienstleistungen entwickeln? Das ist mancherorts schon zu einer unternehmerischen Überlebensfrage geworden. Aber damit nicht genug. Denkt man neben der Lead-Generierung an Marketingaktivitäten, so sind diese im Internet ohne Analyse- und Auswertungstools oder sogenanntes Behavioural Tracking nicht mehr denkbar. Neben dem Telemediengesetz bringt die DSGVO Änderungen oder doch zumindest neue Interpretationsmöglichkeiten mit sich. Und dann sind da noch die Kryptowährungen. Die haben zwar vor einigen Monaten eher durch einen eklatanten Kursverfall auf sich aufmerksam gemacht, sie und die zugrundeliegende Blockchain-Technologie, sind aber sicherlich gekommen um zu bleiben. Fintech-Unternehmen und traditionelle Finanzdienstleistungsunternehmen sehen darin gleichermaßen viel Raum für Innovationen. Wobei die Euphorie nicht selten dazu führt, dass mit der neuartigen Technologie verbundene Risiken gerne übersehen werden. Kryptowährungen bringen beispielsweise ihre „eigene“ Malware mit, und für den Einzelnen tragen sie das Potenzial zum unumkehrbaren Daten-GAU in sich.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wertschöpfung mit Sicherheit

Das sind nur einige der Beispiele, die illustrieren wie eng IT-Sicherheit nicht nur den enger gefassten Datenschutz betrifft, sondern praktisch alle Prozesse einer modernen Wertschöpfungskette.

Insbesondere wenn Unternehmen auf der Basis neuer Technologien entsprechende Geschäftsmodelle entwickeln und umsetzen wollen. In den Daten liegt das intellektuelle Kapital des Unternehmens, und industrielle Systeme gehören zu den Schlüsselkomponenten der digitalen Wirtschaft. Sicherheit wird zu einem geschäftskritischen Faktor, weil bestimmte Prozesse und Services ein anderes als das traditionelle Verständnis von IT-Sicherheit zugrunde legen. Der Perimeter an der Netzwerkgrenze hat sich in das Innere von Unternehmen und Organisationen selbst verlagert. Egal, ob sich eine Firma so gut wie ausschließlich auf webbasierte Lösungen verlässt oder die Produktionskosten mit neuartigen Technologien senken möchte. Unabhängig davon, ob es sich um eine Cloud- oder On-Premises-Architektur (oder die hybride Mischung aus beiden) handelt, ob mobile Endgeräte im Rahmen eines BYOD-Konzepts gestattet sind – so oder so sind die traditionellen Grenzen inzwischen weitgehend aufgeweicht. In diesem Sinne sind Unternehmen gezwungen, Sicherheit sowohl unter den Aspekten Effizienz und Produktivität zu betrachten als auch unter dem Blickwinkel kritische Infrastrukturen, Wissenskapital und eigene Produkte zu schützen.

Manuel BohéManuel Bohé, Geschäftsführer Concepture

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.