Sicherheit ist für Entscheider ein Randthema

Beratung kostet Geld und produziert keine greifbaren Ergebnisse. Allein durch Beratung wurde noch kein Sicherheitsrisiko minimiert. Warum bietet Sicherheitsberatung also einen nachhaltigen Mehrwert für Unternehmen?

Eine von PwC im Jahr 2018 durchgeführte Untersuchung stellte fest: (IT-)Sicherheit ist kein Thema für das Top-Management. In wenigen Fällen wurde in DAX- und MDAX-Unternehmen einem Vorstandsmitglied die Verantwortlichkeit für das Thema „Sicherheit“ (oder im Speziellen Cyber Security) zugeordnet [1]. Die Folge: Sicherheit (und hier im Allgemeinen „Sicherheit“) findet bei Entscheidungen nicht statt. Dies deckt sich auch mit den eigenen Ergebnissen der Untersuchung zweier Fallstudien im Hochrisikoumfeld. Grundlage waren diverse Interviews über alle Managementebenen hinweg. Sicherheit ist ein Thema, das am Tisch der Entscheider nur dann thematisiert wird, wenn man dort an die Tür klopft.

Diese Tatsache hat – ohne Bewertung der Ursachen – konkrete Folgen für das Tagesgeschäft der Sicherheitsverantwortlichen. Sie lösen ihre Probleme auf der operativen Ebene. Bei der Umsetzung von technischen Projekten betrachten sie die funktionalen Bedürfnisse von Lösungen. Eine ganzheitliche Betrachtung bleibt in der Regel aus.

Sicherheit brauch Drauf- und Durchblick

Ein konkretes Beispiel: Im Rahmen des Neubaus eines Rechenzentrums wurden durch den künftigen Nutzer und seine verantwortliche Stelle für Informationssicherheit hohe Anforderungen an die Verfügbarkeit und Vertraulichkeit definiert. Am Ende des Projektes war eine Zertifizierung geplant, die für ein Rechenzentrum dieser Art herausragend wäre. Das Projektbudget war am Ende der Entwurfsplanung bereits deutlich überschritten. Eine Umsetzung des Projektes wurde unwahrscheinlich. Mit einem dicken Rotstift wurden Maßnahmen gekürzt. Der künftige Nutzer war frustriert. Die Planungskosten und -dauer stiegen.

Bereits zu Beginn des Projektes war jedoch offensichtlich, die Anforderungen des Nutzers basierten auf einer „nice to have“-Mentalität. Konkrete Vorgaben seitens des Managements (oder von anderen Stakeholdern) gab es nicht. Risikoanalysen waren nicht vorhanden. Service Level waren nur sporadisch vereinbart. Logischerweise legten die Verantwortlichen auf operativer Ebene die Messlatte lieber höher, als sich später für Ausfälle und Sicherheitsprobleme verantworten zu müssen.

Dieses Beispiel zeigt: Sicherheit kann nicht nur „unten“ stattfinden. Sicherheit ist kein allgemeingültiger Zustand. Die Verantwortlichen für Sicherheit brauchen Zielvorgaben, um ihre Aufgabe wirtschaftlich sinnvoll umsetzen zu können. Die logische Konsequenz ist, dass jedes Sicherheitsprojekt ein gemeinsames Verständnis voraussetzt: Was soll erreicht werden? Hier muss auch das Management Stellung beziehen, denn nur auf oberster Ebene sind genügend Informationen vorhanden, um die Erwartungen aller Interessensparteien (der Stakeholder) zu verstehen. Auf der anderen Seite wissen die Sicherheitsverantwortlichen auf operativer Ebene wesentlich mehr über die Herausforderungen aus Sicht der Sicherheit, wie die nachstehende Abbildung zeigt.

Die Technik steht am Ende

Sicherheitsverantwortliche sind erfahrungsgemäß lösungsorientiert. Sie wollen bestehende Probleme aus der Welt schaffen, um nicht selbst für Störungen und Vorfälle verantwortlich zu sein. In der Praxis begenen sie identifizierten Risiken deshalb schnell mit technischen Lösungen. Für unklare Zutrittsregeln ist eine Zutrittskontrollanlage die Lösung. Einbruchrisiken wird mit einer Einbruchmeldeanlage (EMA) begegnet. Gleiches trifft für große Organisationen in größerem Rahmen zu. Dabei spielt es keine Rolle, ob Technik das zugrundeliegende Probelm wirklich löst. Der erste Ansprechpartner für die Problemlösung ist oftmals ein lokaler Produktanbieter (z. B. ein Errichter für EMA).

Die Umsetzung der Lösung ist technisch in den meisten Fällen unproblematisch. Betrachtet man das Gesamtsystem endet die Risikominimierung aber auch mit der technischen Umsetzung. Prozesse, wie Wartung, Alarmierung oder Intervention werden nicht betrachtet. In mittelständischen Unternehmen ist es nicht selten, dass im bei Auslösung der EMA der Geschäftsführer eine SMS erhält. Ist das ein nachhaltiger Interventionsablauf?

Im Ergebnis einer solchen Maßnahme, ist zwar eine Schwachstelle geschlossen (keine Einbruchüberwachung) aber mindestens eine neue geschaffen (unzureichende/unwirksame Intervention), nur eben an einer anderen Stelle. Ein Mehr an Sicherheit ist nicht erreicht und das trotz Investitionen. Das Abstellen von Sicherheitsrisiken sollte also nicht mit der technischen Umsetzung beginnen, auch wenn diese offensichtlich scheint.

Beratung betrachtet die Ursachen und Auswirkungen gleichermaßen

Beratung setzt genau hier an. In der Beratung geht es nicht in erster Linie darum, welche technische Lösung, wie umgesetzt werden soll. Hier unterscheidet sich Beratung auch von Planung. Sicherheitsberatung versucht die Ursachen der Schwachstelle zu verstehen und schafft Lösungen, die den Gesamtprozess betrachten. In vielen Fällen sind Kunden, insbesondere das Management, überrascht, wie umfangreich ein Projekt nun ist. Anders als es aktuell Praxis ist, in der Manager Budgets für Einzelmaßnahmen freigeben, müssen die Herausforderungen offen diskutiert und gemeinsame Lösungen erarbeitet werden, die einen Mehrwert für die gesamte Organisation bieten.

Ein weiterer Aspekt der  Sicherheitsberatung sind die Auswirkungen von Sicherheitsmaßnahmen. Neue Sicherheitstechnik und veränderte Prozesse betreffen in der Regel andere Mitarbeiter in der Organisation. Eine Zutrittskontrolle mit strengeren Zutrittsregeln kann beispielsweise Wegezeiten verlängern. Diese Auswirkungen müssen in die Betrachtung einbezogen werden. Zum einen entstehen zusätzliche Kosten (die der Erreichter der Zutrittskontrollanlage nicht berücksichtigt). Zum anderen müssen die Mitarbeiter auf die Veränderung vorbereitet werden. Auch hier wird klar: Sicherheit ist ein Querschnittsthema und bedarf der Unterstützung des Managements.

Auf der anderen Seite kann eine solide Analyse der Schwachstellen und eine darauf aufbauende Risikoanalyse zu anderen Lösungen führen, als zunächst gedacht. Erst am Ende des Beratungsprozesses steht die Definition von technischen Maßnahmen. Und erst hier ist es sinnvoll mit Planern oder Errichtern ins Gespräch zu kommen.

Besser in Beratung als in die falsche Lösung investieren

Die vorstehenden Gründe zeigen deutlich, dass Beratung bei der Lösung von Sicherheitsproblemen einen entscheidenden Vorteil bietet: Der Mehrwert für die eigene Organisation steht im Vordergrund. Sicher, Berater erzeugen Konzepte und Papier. Letzteres ist bekanntlich geduldig. Beratung bewahrt die Organisation aber davor Geld in die falschen oder in unzureichende Lösungen zu investieren. Es ist günstiger im Rahmen überschaubarer Beratungskosten festzustellen, wie umfangreich eine Lösung ist und ggf. einen mittelfristigen Umsetzungsplan zu entwickeln, als kurzfristig eine technische Lösung zu schaffen, die auch langfristig keinen Mehrwert schafft.

Sie wollen ganzheitliche Lösungen für Ihre Sicherheitsprobleme finden? Sprechen Sie mich an!

 

 [1] PwC. (2018). 21. PwC Global CEO Survey. [online] Zu finden unter: https://www.pwc.de/de/ceosurvey2018.html (aufgerufen am 16 Jan. 2019).

    Kontakt aufnehmen

    3 + 6 =