Roland Berger rät

Digitalisierte Unternehmen brauchen umfassende Sicherheit

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Dass heutige Cyber-Risiken nicht mehr nur die technische IT-Infrastruktur betreffen, sollte inzwischen bekannt sein. Die Unternehmensberater von Roland Berger haben fünf Aspekte ausgemacht, die bei der Umsetzung einer ganzheitlichen IT-Sicherheit eine entscheidende Rolle spielen.

Je digitalisierter Prozesse und Produkte werden, desto stärker sind Unternehmen den Gefahren aus dem Cyberspace ausgesetzt. Das betrifft zunehmend auch Branchen wie die Automobil-, Konsumgüter-, Chemie- oder Luftfahrtindustrie. Um Daten und Infrastruktur adäquat zu schützen, bedarf es daher immer mehr Ressourcen. Zu diesem Ergebnis kommt die neue Studie von Roland Berger Strategy Consultants mit dem Titel "Cyber-Security: Managing threat scenarios in manufacturing companies".

"Hackerangriffe zu bewältigen ist sehr problematisch, da oft verschiedene Bereiche der Wertschöpfungskette eines Unternehmens gleichzeitig angegriffen werden", erklärt Roland Berger-Partner Manfred Hader. Klassische IT-Sicherheitsbereiche hätten aber meist nur die Business IT im Blick, wie etwa Kommunikationssysteme oder Geschäftsanwendungen. Firmen sollten daher die Problematik der Cyber Security ganzheitlich angehen, so Hader.

Eine ganzheitliche IT-Sicherheitsstrategie verhindert zwar nicht, dass Angriffe stattfinden - sie verhindert aber meist ihren Erfolg.
Eine ganzheitliche IT-Sicherheitsstrategie verhindert zwar nicht, dass Angriffe stattfinden - sie verhindert aber meist ihren Erfolg.
Foto: Roland Berger Strategy Consultants

Mit dem in der Studie vorgestellten "Roland Berger Cyber Security Approach" sollen Unternehmen den Überblick über die Bedrohungslage zurückgewinnen und vorhandene Strukturen, Prozesse und Systeme stetig weiterentwickeln, um bestehende Sicherheitssysteme kontinuierliche an die möglichen Bedrohungen anzupassen. Eine wichtige Rolle spielt die Übertragung klassischer ISMS (Informationssicherheits-Management-Systeme) auf Nicht-IT-Bereiche und die Sensibilisierung der Mitarbeiter.

Fünf Schritte zur Security-Strategie

Damit es gar nicht erst soweit kommt, dass Unternehmen einen erfolgreichen Angriff beklagen müssen, empfehlen die Berater fünf wesentliche Faktoren zu berücksichtigen:

  • Ziele und Prioritäten setzen: In jedem Unternehmen sind viele mögliche Angriffspunkte vorhanden. Diese gilt es zu identifizieren und anschließend auch zu priorisieren - seien es sensible Daten, Systeme, Produkte, Prozesse, Know-how, Prozesswissen oder Patente. Diese Aufgabe muss durch das Management erfolgen.

  • Mögliche Bedrohungsszenarien definieren: Im zweiten Schritt sollten Firmen für die kritischen Bereiche, die Schutz benötigen, mögliche Bedrohungsszenarien bestimmen und bereits vorhandene Schutzmaßnahmen eruieren.

  • Potenzielle Schäden bestimmen: Welcher Schaden droht, wenn ein Angriff Erfolg hat? Ist dieser objektiv bezifferbar? Was ist mit möglichen Reputationsschäden?

  • Handlungsoptionen vergleichen: Welche Risikolücken sind akzeptierbar - wo liegen die Kosten für die Absicherung über dem Nutzen? Anhand dieser Kosten-Nutzen-Analyse werden bestimmte Sicherheitskonzepte definiert.

  • Cyber Security in der gesamten Wertschöpfungskette verankern: Unternehmen sollten bereichsübergreifende Security planen. Auch die Mitarbeiter sind frühzeitig mit einzubeziehen und sollten über mögliche Attacken offen informiert werden.

Roland Berger weist darauf hin, dass auch die Stakeholder mit in die Security-Überlegungen einzubeziehen sind. Sowohl Geschäfts- als auch Privatkunden entscheiden zunehmend nach dem Status des Datenschutzes. Wie steht es um die Security-Strategie meines Anbieters? Wie um die meines Zulieferers? Auch Versicherungen erhöhen ihr Engagement sowohl mit spezifischen Cyberschutz-Produkten als auch beim generellen Blick auf Industrierisiken.

Die Studie "Cyber-Security: Managing threat scenarios in manufacturing companies" können Sie bei Roland Berger auf der Website herunterladen.