Digitalisierung, Datenschutz, Sicherheit & Mitarbeiter

Security by Design - Schutz von der ersten Sekunde an



Maximilian Hille ist Analyst des IT-Research- und Beratungsunternehmens Crisp Research. Seine inhaltlichen Schwerpunkte sind Cloud Computing, Social Collaboration und Mobile Innovations.
Security by Design ist eine Möglichkeit, wie Unternehmen zügig und mit klaren Vorgaben die IT-Sicherheit in die bestehenden und neuen IT-Assets bringen können. Dabei geht es vor allem um einen kulturellen Wandel.
  • Mit den immer intensiveren Digitalisierungsbestrebungen der Unternehmen werden täglich neue digitale Produkte und Services entwickelt. Sie sollen den Unternehmen das Wachstum der nächsten Jahre und die Wettbewerbsfähigkeit sichern.
  • IT-Sicherheit und Datenschutz sind insbesondere in Deutschland hochsensible Themen, die im Rahmen des Innovationsdrucks und immer kürzerer Going-Live-Zeiten bisweilen in den Hintergrund gerückt werden.
  • Für die Einhaltung regulatorischer Anforderungen, aber vor allem auch der Langfristigkeit der neuen Produkte und Innovationen, muss IT-Sicherheit noch stärker ein Teil der neuen digitalen Produkte und Services werden.

Die Diskussion um die Chancen und Notwendigkeiten der Digitalisierung ist müßig geworden. Denn Unternehmen haben mittlerweile flächendeckend erkannt, dass sich nahezu niemand der Verantwortung entziehen kann, ohne dabei die sintflutartige Überschwemmung des digitalen Lebens- und Arbeitsstils nicht mit in die Strategie mit einzubeziehen. Aus diesem Grund wandelt sich die Diskussion nun mehr und mehr in die Ausgestaltung der Aktivitäten. Die Unternehmen versuchen mit viel Handlungseifer die teilweise versäumten Initiativen noch nachzuholen und teilweise im Intensivprogramm neue Technologien, Anwendungen und Apps für Mitarbeiter, Partner und Kunden ins Leben zu rufen.

Für die Autoindustrie gehört Security by Design schon länger zum Standard in der Produktentwicklung. Aber sehen das Hersteller in anderen Branchen genauso?
Für die Autoindustrie gehört Security by Design schon länger zum Standard in der Produktentwicklung. Aber sehen das Hersteller in anderen Branchen genauso?
Foto: ronstik - shutterstock.com

Zweifelsohne können alle notwendigen Initiativen sowie echte, anspruchsvolle Prozesstransformationen und neue Geschäftsmodelle nicht über Nacht entwickelt, umgesetzt und erfolgreich etabliert werden. Aber dennoch haben sich viele Unternehmen mittlerweile etwas von der erdrückenden Last des wachsenden Digitalisierungsdrucks freigeschaufelt. Doch leider wartet die nächste Hürde bereits einen Schritt weiter. Wie gelingt es den Unternehmen, auch die IT-Sicherheitskomponente mit der notwendigen Sorgfalt in die schnelllebige und innovationsgetriebene Zeit zu integrieren?

Produktinnovationen auf Kosten der IT-Sicherheit?

Gerade in Deutschland sind die Themen IT-Sicherheit, Compliance und Datenschutz von höchster Bedeutung. Viele der Studien und Eindrücke aus der Entscheider-Community haben bereits gezeigt, dass in allen Technologiefeldern den Themen IT-Sicherheit und Datenschutz stets die höchste Bedeutung im Rahmen der Ausarbeitung beigemessen wird. Ganz besonders in der Diskussion um Cloud Computing, insbesondere Public Clouds, wurde von vielen Entscheidern lange Zeit und teilweise zu Recht die Datenschutz- und Security-Karte gespielt, wenn es darum ging, sich dem Unausweichlichen noch einmal entgegenzustellen.

In den Unternehmen ist IT-Sicherheit aber auch dann immer so eine Sache, wenn Produkt- und Geschäftsverantwortliche in kurzer Zeit ein neues digitales Asset präsentieren müssen. Bewusst oder unbewusst werden wesentliche Komponenten, sorgfältige Penetrationstests oder die Einbindung der IT-Sicherheit schlichtweg vergessen oder zur Seite geschoben.

Crisp Research AG
Crisp Research AG
Foto: Crisp Research AG, 2017

Anmeldung zum Systemhauskongress CHANCEN

Auch im Rahmen einer kürzlich durchgeführten empirischen Untersuchung, die Crisp Research in Kooperation mit der TÜViT veröffentlicht hat, wurde diese Hypothese überwiegend bestätigt. Denn gerade jetzt, wo die Gestaltungsmerkmale Produktperformance und User Experience ganz oben auf der Anforderungsliste stehen, hat die IT-Sicherheit oftmals das Nachsehen. So werden die Maßnahmen zur IT-Sicherheit und des Datenschutzes in den Hintergrund gerückt, wenn sie potenziell zu einem Konflikt führen und innerhalb der Prozesslogik oder User Experience zu Einbußen führen würden.

Über zwei Drittel der Entscheider gaben in der Untersuchung an, dass dies häufig oder gar immer der Fall ist, wenn ein solcher Konflikt droht. Dass es dabei meistens gar nicht zwingend an der IT-Sicherheit liegen muss, ist den meisten Entscheidern vielleicht auch gar nicht bewusst. Zumindest ist es fraglich, ob entsprechende IT-Sicherheitsmaßnahmen nachgeholt oder wieder aktiviert werden, wenn die Performance und User Experience erst einmal steht.

Kein digitales Produkt oder Service ohne IT-Sicherheit

Wollen die Unternehmen einen echten “Business Accelerator”, sprich ein langfristig erfolgreiches und leistungsstarkes digitales Produkt in den Markt bringen, ist die IT-Sicherheitskomponente jedoch unerlässlich. Die inkrementellen Innovationen und Produkte funktionieren meist in einem etablierten, sicheren Rahmen und sichern den Unternehmen schon heute wichtige Umsätze.

Für die innovativen Wachstumstreiber stellt sich aber immer häufiger die Frage, ob sie ein Strohfeuer werden sollen, oder wirklich das Geschäftsmodell nachhaltig beeinflussen und verbessern werden. Ohne IT-Security gehen die Unternehmen ein großes Risiko ein und haben auch eigentlich gar kein performantes Produkt geschaffen. Denn dazu gehört in jedem Fall die IT-Sicherheits- und Datenschutzkomponente.

Nicht nur um regulatorischen Anforderungen gerecht zu werden, sondern auch den Adressaten einen langfristigen Mehrwert zu bieten, müssen die Produkte und Services sowohl ausfallsicher als auch vor Angriffen und Datenverlusten geschützt sein. Jeder potenzielle Eingriff in die Produkte und Assets von außen stellt dies massiv in Frage.

Crisp Research AG
Crisp Research AG
Foto: Crisp Research AG, 2017

Um dies zu etablieren, sind erst einmal vielfältige Maßnahmen notwendig, welche die Unternehmen auch in weiten Teilen angenommen haben. So muss vor allem die gesamte Mitarbeiterlandschaft sensibilisiert und ausgebildet sein, die neuesten IT-Sicherheitsstandards zu kennen und auch umsetzen zu können. Das gilt entsprechend für das IT-Personal als ausführendes Organ (50 Prozent der Unternehmen sind hier aktiv), aber zunehmend auch für alle Mitarbeiter (35 Prozent), die immer mehr Berührungspunkte mit und Einflussmöglichkeiten auf die neuen digitalen Services besitzen. Darüber hinaus müssen natürlich auch die am besten geeignetsten und neuesten IT-Sicherheits-Tools eingesetzt werden (42 Prozent).

Damit kommen schon mal zwei wesentliche und vielleicht sogar die wesentlichsten Komponenten für eine erfolgreiche IT-Sicherheitskultur im Unternehmen zusammen. Die IT- und Security-Ausstattung ist immer das eine. Jedoch gilt der Faktor Mensch zu Recht als die maßgeblich beeinflussende Instanz, die über Erfolg oder Misserfolg der IT-Sicherheit entscheidet. Fehler gehören zum Alltag dazu. Diese jedoch organisatorisch, technologisch und durch eine gesteigerte Sensitivität zu den Themen IT-Sicherheit und Datenschutz zu minimieren, sollte das Ziel aller Unternehmen sein, nicht nur vor dem Hintergrund der drohenden Strafen, sondern auch im Sinne einer verantwortungsbewussten Geschäfts- und Innovationsstrategie.

Crisp Research AG
Crisp Research AG
Foto: Crisp Research AG, 2017