Neue Geschäftsmodelle, große Herausforderungen: Unternehmen, die einem nachhaltigen Wachstumspfad folgen wollen, müssen heutzutage zugleich eine adäquate IT-Sicherheitsstrategie entwickeln und implementieren. Eine bewusste Verbindung beider Aspekte ist der Schlüssel zum Erfolg im immer härteren Wettbewerb.

Cyber-Sicherheit im Wandel: In der eingefahrenen IT-Kultur, die in zahlreichen Unternehmen und Organisationen über Jahre hinweg etabliert war, wurden Sicherheitsstandards oftmals anhand der Anzahl der Sicherheitsvorfälle bewertet, die von der zuständigen IT-Abteilung jährlich bearbeitet wurden. Aus Sicht des Managements galt die Faustregel: Solange sich aus der IT niemand meldet, ist alles in Ordnung. Inzwischen hat sich allerdings gezeigt, dass Daten im Zuge der digitalen Transformation deutlich intensiver verwaltet, geschützt und wertgeschätzt werden können und sogar sollten. Anlass genug, der Frage nachzugehen, wie Unternehmen mit einem pragmatischen Ansatz einen aktiven Beitrag zur IT-Sicherheit während der datengetriebenen digitalen Transformation leisten können.

Traditionellen Security-Leitfäden mangelt es vielfach an Beispielen, um das Bewusstsein für Security innerhalb der Community zu schärfen, und zwar aufgrund des rasanten Innovationstempos in der IT-Landschaft. Derweil meistern erfolgreiche Innovatoren die Ungewissheit des Digitalisierungsprozesses und dessen Sicherheitsrisiken mit einem eher praktischen Ansatz, der auf der Regel „Fail fast, learn fast“ basiert. Auch die Anpassung der Sicherheitsstandards folgt dieser Denkweise: Sie nimmt Impulse aus der Praxis auf und nicht umgekehrt wie in anderen wissenschaftlichen Disziplinen. Beispiel Kryptographie: Anstatt mathematisch zu beweisen, dass ein Algorithmus sicher ist, akzeptiert die Community ein kryptographisches Schema und hält es für vertrauenswürdig, weil es sehr unwahrscheinlich ist, dass es in absehbarer Zeit geknackt werden könnte.

Die Praxis belegt den hohen Wert einer maßgeschneiderten Sicherheitsstrategie

Bei genauem Hinsehen fällt auf, dass Unternehmen mit „Asset Light“-Strategie die höchsten Renditen für Eigentümer und Investoren erzielen. Der Wirtschaftsautor Rado Kotorov bringt es in seinem Buch „Data-Driven Business Models for the Digital Economy” auf den Punkt, wenn er Daten als das „neue Rohöl“ definiert und die enorme Bandbreite neuer Möglichkeiten aufzählt, die durch sie freigesetzt werden können. Die beispielhafte Betrachtung realer Szenarien aus verschiedenen Branchenperspektiven verdeutlicht, welche Schlüsselrolle die IT-Sicherheit für die datengetriebene digitale Transformation spielt.

1.Beispiel Medizinbranche: Daten schaffen Mehrwert und lassen sich monetarisieren

Das kleine Start-up CheckPoint Cardio hat ein tragbares Gerät erfunden, das ständig Dutzende unbearbeiteter Signale mit Gesundheitsdaten wie EKG, Puls und Blutdruck an ein entferntes Zentrum sendet. Dort werden die Daten mit herzbezogenen Ereignissen korreliert, um in Echtzeit zu reagieren und plötzliche Todesfälle zu vermeiden. Dem Prozess liegt laut Ivo Datchov, CEO von CheckPoint Cardio, die Erkenntnis zugrunde, dass 50 Prozent der plötzlichen Todesfälle durch herzbezogene Erkrankungen verursacht würden und 80 Prozent davon vermeidbar seien.

Durch das Sammeln von Rohdaten können Leben in Echtzeit gerettet werden. Doch was würde passieren, wenn diese medizinischen Rohdaten in die falschen Hände geraten? Diese Art von Daten haben nicht nur einen geschäftlichen Wert, sondern müssen auch die strengen Vorschriften des Gesundheitswesens erfüllen, deren Verletzung schwere strafrechtliche Konsequenzen nach sich ziehen kann. Angesichts der Tatsache, dass Checkpoint Cardio letztlich für die Daten verantwortlich ist, ist es geradezu selbstverständlich, fortschrittliche Sicherheitstechnologien wie beispielsweise die clientseitige Verschlüsselung einzusetzen. Ziel muss es sein, jegliches Risiko der Einbindung von Drittanbietern auszuschalten, aber auch in Marketingkampagnen dafür zu werben und Kunden für die innovative Idee zu gewinnen.

2.Beispiel Social Media-Branche: Wiederverwendung von Daten für unterschiedliche Zwecke als eine echte erneuerbare Ressource

Facebook hat schon immer Informationen über Posts an externe Werbetreibende verkauft, die diese mit welcher Motivation auch immer weiterverkaufen konnten. Am Cambridge-Analytics-Skandal lässt sich ablesen, wie eng Sicherheit und Datenschutz miteinander verwoben sind. Im Ergebnis haben die Folgen des Skandals den Ruf des Unternehmens schwer belastet. Nach dem Vorfall hat das Unternehmen seine Herangehensweise an die DSGVO-Compliance in allen technischen und organisatorischen Belangen geändert – inzwischen eine unumgehbare Sicherheitsanforderung an das Unternehmen, um das werbebasierte Geschäft erfolgreich aufrechtzuerhalten.

3.Beispiel Finanzbranche: Daten für personalisierte Angebote

In der Finanzdienstleistungsbranche erwarten die Verbraucher zunehmend ein vollständig personalisiertes Angebot von ihren Finanzdienstleistern. Je mehr kontextualisierte Daten das Unternehmen von seinen Kunden sammelt, desto einfacher ist es, Antworten zu geben oder den Service zu verbessern. In diesem Fall würde ein traditionelles Datenspeichersystem, das den Best Practices in puncto Sicherheit und Datenschutz folgt, sehr gut funktionieren. Zugleich suchen die Unternehmen kontinuierlich nach neuen Möglichkeiten, ein vergleichbares, aber alternatives Schema zu implementieren, beispielsweise mithilfe der Blockchain-Technologie. Allein der Marketingeffekt der Maßnahme hätte das Zeug dazu, das Geschäft anzukurbeln. Als Bumerang-Effekt einer solchen Maßnahme droht indes, dass eine Hype-Technologie in Wirklichkeit viele Probleme im Kontext von Sicherheit und Datenschutz verschleiern könnte.

Die drei Beispiele verdeutlichen, wie datengetriebene Sicherheit neue Umsatzpotenziale eröffnen kann. Dennoch fehlt vor allem alteingesessenen Unternehmen das Bewusstsein dafür. Eine Forschungsumfrage der Cambridge University zeigt einen der drei Hauptgründe, warum Daten immer noch nicht als Vermögenswert betrachtet werden: „71 Prozent der Befragten stimmten zu, dass es Probleme mit der Datenqualität und -integrität gibt, die die Umsetzung eines datengesteuerten Geschäftsmodells schwierig oder unmöglich machen, da die Benutzer jenen Anwendungen, die falsche Informationen liefern, schnell den Rücken kehren“. Begründen lässt sich dies mit dem hohen Wert von Vertraulichkeit, Integrität und Verfügbarkeit, die zusammen das Fundament eines jeden Enterprise-Security-Programms bilden und im Verantwortungsbereich des Steering Boards liegen.

Gute Perspektiven für agile Unternehmen mit wirksamem IT-Sicherheitskonzept

Schon in den frühen 2000er Jahren erklärte John Chambers, damals CEO von Cisco, dass dynamische Unternehmen, also diejenigen, die sich schneller an Kundenbedürfnisse anpassen können, einen Wettbewerbsvorteil haben. Als er 2018 in den Ruhestand ging, verkündete er grimmig vor 25.000 Anwesenden: „40 Prozent der Unternehmen in diesem Raum wird in zehn Jahren leider keine sinnvolle Existenz mehr beschieden sein.“ Chambers fügte außerdem hinzu, dass „70 Prozent der Unternehmen versuchen, ihre eigene Digitalisierung voranzutreiben, aber nur 30 Prozent Erfolg damit haben.“

Ein Fokus dieser 30 Prozent mit erfolgreicher Digitalisierung liegt auf dem Thema Datensicherheit mit folgenden Verantwortlichkeiten: Der CEO ist der entscheidende Treiber des gesamten Digitalisierungsprojekts und zugleich die Person, die letztendlich für den Erfolg oder Misserfolg vor dem Steering Board und den Investoren verantwortlich ist. Derweil berichtet der CIO oder CTO an den CEO und ist für den Business-as-Usual IT-Betrieb während aller Phasen des Projekts verantwortlich. Der CISO schließlich berichtet an den CEO, nicht nur an den CIO, und ist für unvorhergesehene IT-Bedrohungen verantwortlich, die während oder nach Umsetzung des Digitalisierungsprojekts auftreten.

In puncto Sicherheit weist der Verantwortungsbereich des CISO zwei interessante Eigenschaften auf: Rechenschaft und Unvorhersehbarkeit. Denn unabhängig davon, wie gut die Ingenieure und Sicherheitsbeauftragten eines Unternehmens ausgebildet sein mögen, sollte Sicherheit eine Angelegenheit sein, für die jeder im Unternehmen mitverantwortlich ist. Um diese Mentalität auf alle zu übertragen, sollte das Thema Sicherheit vonseiten des Managements aktiv durch Boni und Belohnungen incentiviert werden. Dies würde zum Beispiel den Spirit der Ingenieurteams mit Blick auf das Thema Sicherheit erhöhen. Ansonsten droht es, lediglich als zusätzliche Last angesehen zu werden, die dem bestehenden Workload noch on top hinzugefügt wird. Wandelt sich diese Perspektive, besteht die Chance, dass die IT-Ingenieure Sicherheit nicht nur als eine von oben diktierte Checkbox-Aufgabe sehen, sondern als einen echten Mehrwert für das Unternehmen zum Schutz der wichtigsten Vermögenswerte, des Geschäfts und letztlich des guten Rufs.

Zentrale Aspekte der Datensicherheit werden zwar von allen als obligatorisch erachtet, aber nur selten als wichtigste Enabler für die digitale Transformation selbst erkannt. Kaum verwunderlich – ist eine solche Unsichtbarkeit doch in vielen anderen Branchen gängig. Als anschauliche Belege dafür, dass Sicherheit der einzig gangbare Weg ist, damit ein Unternehmen zukunftsfähig durchstarten kann, dienen die angeführten Beispiele aus der Praxis. An ihnen lässt sich nachvollziehen, dass eine kleine Änderung in der Denkweise zu großen Änderungen am Umsatz führen kann. Insofern lohnt es sich auf jeden Fall, sich mit dem Thema zu beschäftigen.

A version of this article was originally published in Wirtschaftsinformatik & Management

Bookmark