Die Diskussion um die Chancen und Notwendigkeiten der Digitalisierung ist müßig geworden. Denn Unternehmen haben mittlerweile flächendeckend erkannt, dass sich nahezu niemand der Verantwortung entziehen kann, ohne dabei die sintflutartige Überschwemmung des digitalen Lebens- und Arbeitsstils nicht mit in die Strategie mit einzubeziehen. Aus diesem Grund wandelt sich die Diskussion nun mehr und mehr in die Ausgestaltung der Aktivitäten. Die Unternehmen versuchen mit viel Handlungseifer die teilweise versäumten Initiativen noch nachzuholen und teilweise im Intensivprogramm neue Technologien, Anwendungen und Apps für Mitarbeiter, Partner und Kunden ins Leben zu rufen.
Foto: ronstik - shutterstock.com
Zweifelsohne können alle notwendigen Initiativen sowie echte, anspruchsvolle Prozesstransformationen und neue Geschäftsmodelle nicht über Nacht entwickelt, umgesetzt und erfolgreich etabliert werden. Aber dennoch haben sich viele Unternehmen mittlerweile etwas von der erdrückenden Last des wachsenden Digitalisierungsdrucks freigeschaufelt. Doch leider wartet die nächste Hürde bereits einen Schritt weiter. Wie gelingt es den Unternehmen, auch die IT-Sicherheitskomponente mit der notwendigen Sorgfalt in die schnelllebige und innovationsgetriebene Zeit zu integrieren?
Produktinnovationen auf Kosten der IT-Sicherheit?
Gerade in Deutschland sind die Themen IT-Sicherheit, Compliance und Datenschutz von höchster Bedeutung. Viele der Studien und Eindrücke aus der Entscheider-Community haben bereits gezeigt, dass in allen Technologiefeldern den Themen IT-Sicherheit und Datenschutz stets die höchste Bedeutung im Rahmen der Ausarbeitung beigemessen wird. Ganz besonders in der Diskussion um Cloud Computing, insbesondere Public Clouds, wurde von vielen Entscheidern lange Zeit und teilweise zu Recht die Datenschutz- und Security-Karte gespielt, wenn es darum ging, sich dem Unausweichlichen noch einmal entgegenzustellen.
In den Unternehmen ist IT-Sicherheit aber auch dann immer so eine Sache, wenn Produkt- und Geschäftsverantwortliche in kurzer Zeit ein neues digitales Asset präsentieren müssen. Bewusst oder unbewusst werden wesentliche Komponenten, sorgfältige Penetrationstests oder die Einbindung der IT-Sicherheit schlichtweg vergessen oder zur Seite geschoben.
Foto: Crisp Research AG, 2017
Auch im Rahmen einer kürzlich durchgeführten empirischen Untersuchung, die Crisp Research in Kooperation mit der TÜViT veröffentlicht hat, wurde diese Hypothese überwiegend bestätigt. Denn gerade jetzt, wo die Gestaltungsmerkmale Produktperformance und User Experience ganz oben auf der Anforderungsliste stehen, hat die IT-Sicherheit oftmals das Nachsehen. So werden die Maßnahmen zur IT-Sicherheit und des Datenschutzes in den Hintergrund gerückt, wenn sie potenziell zu einem Konflikt führen und innerhalb der Prozesslogik oder User Experience zu Einbußen führen würden.
Über zwei Drittel der Entscheider gaben in der Untersuchung an, dass dies häufig oder gar immer der Fall ist, wenn ein solcher Konflikt droht. Dass es dabei meistens gar nicht zwingend an der IT-Sicherheit liegen muss, ist den meisten Entscheidern vielleicht auch gar nicht bewusst. Zumindest ist es fraglich, ob entsprechende IT-Sicherheitsmaßnahmen nachgeholt oder wieder aktiviert werden, wenn die Performance und User Experience erst einmal steht.
Kein digitales Produkt oder Service ohne IT-Sicherheit
Wollen die Unternehmen einen echten “Business Accelerator”, sprich ein langfristig erfolgreiches und leistungsstarkes digitales Produkt in den Markt bringen, ist die IT-Sicherheitskomponente jedoch unerlässlich. Die inkrementellen Innovationen und Produkte funktionieren meist in einem etablierten, sicheren Rahmen und sichern den Unternehmen schon heute wichtige Umsätze.
Zum Video: Security by Design - Schutz von der ersten Sekunde an
Für die innovativen Wachstumstreiber stellt sich aber immer häufiger die Frage, ob sie ein Strohfeuer werden sollen, oder wirklich das Geschäftsmodell nachhaltig beeinflussen und verbessern werden. Ohne IT-Security gehen die Unternehmen ein großes Risiko ein und haben auch eigentlich gar kein performantes Produkt geschaffen. Denn dazu gehört in jedem Fall die IT-Sicherheits- und Datenschutzkomponente.
Nicht nur um regulatorischen Anforderungen gerecht zu werden, sondern auch den Adressaten einen langfristigen Mehrwert zu bieten, müssen die Produkte und Services sowohl ausfallsicher als auch vor Angriffen und Datenverlusten geschützt sein. Jeder potenzielle Eingriff in die Produkte und Assets von außen stellt dies massiv in Frage.
Foto: Crisp Research AG, 2017
Um dies zu etablieren, sind erst einmal vielfältige Maßnahmen notwendig, welche die Unternehmen auch in weiten Teilen angenommen haben. So muss vor allem die gesamte Mitarbeiterlandschaft sensibilisiert und ausgebildet sein, die neuesten IT-Sicherheitsstandards zu kennen und auch umsetzen zu können. Das gilt entsprechend für das IT-Personal als ausführendes Organ (50 Prozent der Unternehmen sind hier aktiv), aber zunehmend auch für alle Mitarbeiter (35 Prozent), die immer mehr Berührungspunkte mit und Einflussmöglichkeiten auf die neuen digitalen Services besitzen. Darüber hinaus müssen natürlich auch die am besten geeignetsten und neuesten IT-Sicherheits-Tools eingesetzt werden (42 Prozent).
Damit kommen schon mal zwei wesentliche und vielleicht sogar die wesentlichsten Komponenten für eine erfolgreiche IT-Sicherheitskultur im Unternehmen zusammen. Die IT- und Security-Ausstattung ist immer das eine. Jedoch gilt der Faktor Mensch zu Recht als die maßgeblich beeinflussende Instanz, die über Erfolg oder Misserfolg der IT-Sicherheit entscheidet. Fehler gehören zum Alltag dazu. Diese jedoch organisatorisch, technologisch und durch eine gesteigerte Sensitivität zu den Themen IT-Sicherheit und Datenschutz zu minimieren, sollte das Ziel aller Unternehmen sein, nicht nur vor dem Hintergrund der drohenden Strafen, sondern auch im Sinne einer verantwortungsbewussten Geschäfts- und Innovationsstrategie.
Foto: Crisp Research AG, 2017
Security by Design - Referenzmodell für digitale Wertschöpfung
Ein Modell, welches dabei helfen kann, gezielt und zügig einen organisatorischen Wandel einzuleiten und IT-Sicherheit nicht mehr in den Hintergrund der Produktentwicklung rückt, ist Security by Design.
Security by Design besagt im Wesentlichen, dass IT-Sicherheitsmaßnahmen und -technologien schon unmittelbar bei der Produktentwicklung mit einbezogen werden. Somit werden die Produkte nicht schon hinsichtlich der Prozesslogik entwickelt und erste Prototypen oder MVPs erstellt, die erst im Nachgang einen IT-Sicherheitscheck erhalten und mit Maßnahmen angefüttert werden. Mit diesem Prozessverfahren werden von Beginn an und in jedem Projektschritt gleichwertig die IT-Sicherheitskomponenten mit einbezogen und so frühzeitig ein Teil des fertigen Produktes. So gibt es keine Kompromisse, sondern eine Co-Existenz zwischen Performance, User Experience und Security.
Dazu müssen noch mehr Instanzen beziehungsweise Verantwortungsbereiche gleichzeitig zur Produktentwicklung herangezogen werden. Dies sorgt aber auch im Optimalfall dafür, dass die IT-Sicherheitskultur im Unternehmen weiter reift und die Präsenz des Themas wieder stärker in den Vordergrund rückt.
In jeder Projektphase kommen so die jeweiligen Produktverantwortlichen und wenn nötig auch strategischen Entscheider hinzu, die gemeinsam mit den CISOs und deren Mitarbeitern an einer gemeinsamen Lösung arbeiten. Dies setzt sich dann auch in der Implementierungs-, Produktiv- und Optimierungsphase durch, wo nicht nur am Produkt, sondern folgerichtig auch an der IT-Sicherheit gearbeitet wird.
Security by Design (ebenso analog verwendet auch Privacy by Design) kann somit als maßgebende Leitlinie dafür sorgen, dass die Unternehmen schneller und ohne die Notwendigkeit der Kompromisse wertvolle und vor allem langfristig tragbare Innovationen erbringen können.
Aber auch für die Kernprobleme des derzeitigen Sicherheits- und Datenschutz-Diskurs können sie einen Ausweg bieten. Denn viele Unternehmen haben sich beispielsweise auch noch nicht mit den umfangreichen Maßnahmen zur EU-Datenschutzgrundverordnung befasst. Die Mehrheit sieht ein klares Problem in der Umsetzbarkeit, insbesondere aufgrund des sehr überschaubaren Zeithorizonts.