„Wir versuchen hier, die digitale Zukunft zu gestalten, und die Sicherheit nimmt uns jede Flexibilität.“ So beklagen in unserer Beratungspraxis viele Projektverantwortliche ihr Dilemma bei der digitalen Transformation.
Klar, die vielfältigen Chancen einer intelligenten Digitalisierung der Geschäftsprozesse sind schnell erkannt: Der Kontakt mit Lieferanten und Kunden kann noch enger geführt werden. Medienbrüche werden aufgehoben. Prozesse werden effizienter.
Aber: Die eingesetzte IT spielt für das Gelingen der Digitalisierung im Unternehmen nur eine Nebenrolle. Im Vordergrund aller Überlegungen sollten die Informationen stehen, die nach der Transformation automatisiert erzeugt, verarbeitet und übertragen werden sollen. Denn in der Regel fallen riesige Datenmengen an. Diese gilt es nicht nur intelligent zu nutzen, sondern auch gut zu sichern.
Erst implementieren, dann Daten schützen – dieser Ansatz scheitert
Digitalisierungsvorhaben sind oftmals herausfordernd und komplex. Da ist es verlockend, erst mal das Projekt ans Laufen zu bringen, sich also zunächst auf die wertschöpfenden digitalen Lösungen zu konzentrieren und sich erst danach um die leidige Datensicherheit zu kümmern. Doch dieser pragmatisch erscheinende Ansatz endet nach unserer Erfahrung nicht selten in einem Desaster.
Werden Datenschutz und Cybersicherheit erst gegen Ende des Projekts bedacht und lediglich als Problem der IT verstanden, verzögert sich die Inbetriebnahme oft enorm. Das nachträgliche „Sichermachen“ der Lösungen nimmt in der Regel viel Zeit in Anspruch, mit der niemand gerechnet hat, und kostet häufig um ein Vielfaches mehr.
Außerdem schreiben DSGVO und Bundesdatenschutzgesetz vor, dass geeignete Konzepte zur Informationssicherheit schon in der Designphase eines Digitalisierungsprojekts nachgewiesen werden („Privacy by Design“) und auch die Geschäftsprozesse in ihrer Funktionalität datenschutzkonform ausgelegt werden („Privacy by Default“). Andernfalls drohen Bußgelder. Noch gewichtiger sind gerade bei Familienunternehmen die Risiken eines Vertrauensverlusts und möglicher Schäden für den guten Ruf.
Datenschutzbeauftragte mit „Blockierer“-Image
Angesichts der zahlreichen, folgenschweren Fallstricke im Cyber-Umfeld stoßen nicht spezifisch ausgebildete Projektleiter und Führungskräfte an ihre Grenzen. Die Datenschutz- und IT-Sicherheitsbeauftragten wiederum sind oftmals eher technisch orientiert und stark auf die Fragestellungen innerhalb der IT-Architektur fokussiert.
Sie stellen – aus ressortbezogener Perspektive nachvollziehbar – häufig maximale Sicherheitsanforderungen. Das kann dazu führen, dass Innovationen zu schnell als unsicher abgelehnt und dadurch Chancen vergeben werden. Sicherheitsfachkräfte gelten dann leicht als „Blockierer“ und „Verhinderer“.
So werden Sicherheitsbeauftragte zum Geschäftspartner
Für die Herausforderungen der digitalen Transformation bedarf es folglich eines neuen Rollenverständnisses und neuer Wege der Zusammenarbeit zwischen Projektverantwortlichen und Sicherheitsfachkräften im Unternehmen. Ziel ist eine kontinuierliche und verlässliche Projektpartnerschaft mit gemeinsamer Verantwortung für den Projekterfolg.
Daraus ergeben sich drei zentrale Anforderungen an die künftigen Sicherheitsexpertinnen und -experten als Business-Partner:
- Die Strategie des Unternehmens verstehen und diese in der Sicherheit umsetzen. Dazu tauschen sich die Sicherheitsexpertinnen und -experten als proaktive Sparringspartner mit allen Abteilungen aus und bringen sich mit Lösungsmöglichkeiten ein. Sie richten ihr Handeln an Maximen der Machbarkeit und Wirtschaftlichkeit aus und schaffen Flankenschutz für die Geschäftschancen von morgen – als Möglichmacher statt als Verhinderer.
- In der Begleitung der Projekte frühzeitig mögliche Stolperfallen und Bedrohungen erkennen. Sie analysieren Chancen und Risiken aus dem Umfeld hinsichtlich ihrer Relevanz für das Unternehmen. Sie helfen den Projektteams zu verstehen, wo sich eventuelle organisatorische und technische Bedrohungen sowie Schwachstellen in ihrem Vorhaben verbergen könnten, und weisen rechtzeitig auf erforderliche Maßnahmen hin. So gewährleisten sie eine angemessene Compliance, ohne die strategischen Prioritäten des Unternehmens aus den Augen zu verlieren.
- Ein bedarfsgerechtes Managementsystem betreiben und in einem konstruktiven Verhältnis zur Geschäftsführung stehen. Sie kommunizieren auf Augenhöhe mit der Geschäftsführung in wechselseitigem Vertrauen über Cyberchancen und Aspekte des Datenschutzes oder der Informationssicherheit im Unternehmen. Ein geeignetes Managementsystem z.B. nach ISO 27001 stellt die Wirksamkeit der Sicherheitsmaßnahmen organisatorisch sicher. Die Sicherheitslage im Unternehmen wird transparent, um gemeinsam frühzeitig die richtigen Maßnahmen zu ergreifen.
Die Sicherheitsexpertinnen und -experten sind somit von Anfang an in Projekte und Entscheidungen einzubeziehen, über die Grenzen des klassischen IT-Ressorts hinaus.
