Praktisch alle Unternehmen fokussieren sich heute auf ihre Digitalisierungsstrategie. Bei der Schwester der Digitalisierung – der IT-Security – sehen die meisten aber immer noch lieber weg. Ein fataler Fehler, der Kopf und Kragen kosten kann. Nur wer auch den weniger schönen Seiten der digitalen Vernetzung ins Gesicht schaut, kann aktiv dafür sorgen, dass die «hässliche Schwester» zur unwiderstehlichen Wonder Woman der digitalen Transformation wird.
An welcher Stelle Ihrer Prioritätenliste steht die digitale Transformation in Ihrem Geschäft? Ganz oben, wie bei den meisten Verantwortlichen in Schweizer Firmen? Aber selbst wenn die Digitalisierung an sich für Sie nicht höchste Priorität hat, dürfte es kaum mehr einen Unternehmensentscheid geben, in den sie nicht auf die eine oder andere Art hineinspielt. Wie immer Sie die Chancen der modernen Informations- und Kommunikationstechnologien auch nutzen, jemanden sollten Sie dabei auf keinen Fall vergessen: «die hässliche Schwester der Digitalisierung».
So hat nämlich der CIO des Versicherungskonzerns Allianz, Ralf Schneider, letzthin provokativ die Security bezeichnet. Er wollte damit dem Publikum einer Tagung klarmachen, dass die Digitalisierung nicht nur zahllose Business-Opportunitäten eröffnet, sondern auch zum existenziellen Risiko werden kann, wenn die Security vernachlässigt wird. Und das tun laut dem erfahrenen IT-Manager leider allzu viele. Sie schauen lieber über die möglichen Gefahren hinweg und wundern sich dann, wenn die Risiken irgendwann als unentrinnbarer Abgrund vor ihnen auftauchen.
Mit dem Begriff «Schwester» betont Schneider aber noch etwas anderes: Die Digitalisierung und die Security sind unzertrennbar miteinander verbunden. Ohne IT-Security keine Industrie 4.0, kein Internet of Things (IoT), keine As-a-Service-Business-Modelle, keine nahtlose Partnerintegration, keine arbeitenden Kunden, keine Sharing Economy und kein weltweites Team-Working. Jeder Schritt in Richtung digitale Transformation löst automatisch Security-Fragen aus, die beantwortet werden müssen. Ob man das will oder nicht.
Und diese Fragen stellen sich nicht nur den Informatik- und Systemverantwortlichen. Sie sind Chefsache. Denn die Security betrifft mit der Funktionsfähigkeit der geschäftskritischen Prozesse, dem Risikomanagement und der Compliance Kernaufgaben der Geschäftsführung. Die Daten von Kunden, Maschinen, Prozessen, Produkten und Innovationen müssen von unerlaubten Zugriffen und vor Verlust geschützt werden. Wie schnell das Risiko zum Abgrund werden kann, machen die jüngsten Wanna-Cry- und Petya-Ransomware-Attacken nur allzu deutlich.
Das heisst allerdings nicht, dass sich das Management mit den technischen und architektonischen Details der IT-Security auseinandersetzen muss. Seine Aufgabe ist es, sicherzustellen, dass qualifizierte Verantwortliche und Spezialisten die erforderlichen Massnahmen ergreifen ‒ und dass sie dafür auch die notwendigen Mittel erhalten. Zudem muss die Geschäftsführung die kritischen Assets definieren, die besonders geschützt werden müssen. Sie muss festlegen, welche Ausfallzeiten für welche Prozesse tolerierbar sind und welche Daten unter keinen Umständen in falsche Hände geraten dürfen.
Diese Herausforderungen sind dabei alles andere als trivial, sondern benötigen die Erarbeitung eines umfassenden Sicherheitskonzepts, das sich an immer neue Situationen anpassen lässt. Im Gegensatz zur Absicherung in der herkömmlichen analogen Welt, die über Jahrzehnte komplett durchstrukturiert worden ist, befindet sich nämlich die digitale Sicherheit parallel zur digitalen Transformation der Unternehmen in einem dauernden Wandel. Entsprechend mehrschichtig und flexibel wird heute auch die IT-Security aufgebaut. Statt einer einzelnen, möglichst hohen und dicken Mauer wird ein gestaffeltes Abwehrdispositiv errichtet, dass akute Gefahren schnell erkennen, isolieren und ausmerzen kann.
Dazu kommt eine weiterer entscheidender Security-Bereich, auf den das Management einen massgeblichen Einfluss hat: Sicherheit bedingt nicht nur modernste Technologien, sondern auch eine entsprechende Firmenkultur. Das Management muss diese vorleben und deren Stellenwert Nachdruck verleihen. Eine erfolgreiche Digitalisierungskultur im Unternehmen muss zusätzlich zum kreativen Innovationsgeist immer auch ein gesundes Security-Bewusstsein hochhalten. Diese Führungsaufgabe ist umso wichtiger, als aller Digitalisierung zum Trotz der Mensch nach wie vor das grösste Sicherheitsrisiko darstellt.
Am Ende ist es wie in den alten Märchen. Hässlich ist die Schwester jeweils nur, weil sie stiefmütterlich behandelt wird. Mit der ihr gebührenden Aufmerksamkeit verwandelt sich Aschenputtel in eine Prinzessin. Genauso kann das Management dafür sorgen, dass die «hässliche» IT-Security zur unwiderstehlichen Wonder Women des Unternehmens wird, die nicht nur alle Angreifer abprallen lässt, sondern die Erfolgsbasis für die digitale Transformation des Unternehmens legt und ein nachhaltiges Kundenvertrauen schafft.