Im heutigen Beitrag von KRISENSICHER – dem Blog rund um Organisationale Resilienz in der Polykrise geht Rico Kerstan der Frage nach, welchen Mehrwert eine Sicherheitsberatung für ein Unternehmen macht.

Beratung kostet Geld und produziert keine greifbaren Ergebnisse. Allein durch Beratung wurde noch kein Sicherheitsrisiko minimiert. Warum bietet Sicherheitsberatung also einen nachhaltigen Mehrwert für Unternehmen?

Eine von PwC im Jahr 2018 durchgeführte Untersuchung stellte fest: Sicherheit ist kein Thema für das Top-Management. In wenigen Fällen wurde in DAX- und MDAX-Unternehmen einem Vorstandsmitglied die Verantwortlichkeit für das Thema Sicherheit“ oder im Speziellen Cyber Security zugeordnet.

Die Folge: Sicherheit findet bei Entscheidungen nicht statt. Dies deckt sich auch mit den eigenen Ergebnissen der Untersuchung zweier Fallstudien im Hochrisikoumfeld. Grundlage waren diverse Interviews über alle Managementebenen hinweg. Sicherheit ist ein Thema, das am Tisch der Entscheider nur dann thematisiert wird, wenn man dort an die Tür klopft.

 

Sicherheit braucht Drauf- und Durchblick

Diese Tatsache hat – ohne Bewertung der Ursachen – konkrete Folgen für das Tagesgeschäft der Sicherheitsverantwortlichen. Sie lösen ihre Probleme auf der operativen Ebene. Bei der Umsetzung von technischen Projekten betrachten sie die funktionalen Bedürfnisse von Lösungen. Eine ganzheitliche Betrachtung bleibt in der Regel aus.

Ein konkretes Beispiel: Im Rahmen des Neubaus eines Rechenzentrums wurden durch den künftigen Nutzer und seine verantwortliche Stelle für Informationssicherheit hohe Anforderungen an die Verfügbarkeit und Vertraulichkeit definiert. Am Ende des Projektes war eine Zertifizierung geplant, die für ein Rechenzentrum dieser Art herausragend wäre.

Das Projektbudget war am Ende der Entwurfsplanung bereits deutlich überschritten. Eine Umsetzung des Projektes wurde unwahrscheinlich. Mit einem dicken Rotstift wurden Maßnahmen gekürzt. Der künftige Nutzer war frustriert. Die Planungskosten und -dauer stiegen.

 

Operativ Verantwortliche legen Messlatte lieber höher

Bereits zu Beginn des Projektes war jedoch offensichtlich, die Anforderungen des Nutzers basierten auf einer Nice to have-Mentalität. Konkrete Vorgaben seitens des Managements oder von anderen Stakeholdern gab es nicht. Risikoanalysen waren nicht vorhanden. Service Level waren nur sporadisch vereinbart. Logischerweise legten die Verantwortlichen auf operativer Ebene die Messlatte lieber höher, als sich später für Ausfälle und Sicherheitsprobleme verantworten zu müssen.

Dieses Beispiel zeigt: Sicherheit kann nicht nur unten stattfinden. Sicherheit ist kein allgemeingültiger Zustand. Die Verantwortlichen für Sicherheit brauchen Zielvorgaben, um ihre Aufgabe wirtschaftlich sinnvoll umsetzen zu können.

Die logische Konsequenz ist, dass jedes Sicherheitsprojekt ein gemeinsames Verständnis voraussetzt: Was soll erreicht werden? Hier muss auch das Management Stellung beziehen, denn nur auf oberster Ebene sind genügend Informationen vorhanden, um die Erwartungen aller Interessensparteien und Stakeholder zu verstehen. Auf der anderen Seite wissen die Sicherheitsverantwortlichen auf operativer Ebene wesentlich mehr über die Herausforderungen aus Sicht der Sicherheit.

 

Die Technik steht am Ende

Sicherheitsverantwortliche sind erfahrungsgemäß lösungsorientiert. Sie wollen bestehende Probleme aus der Welt schaffen, um nicht selbst für Störungen und Vorfälle verantwortlich zu sein. In der Praxis begegnen sie identifizierten Risiken deshalb schnell mit technischen Lösungen. Für unklare Zutrittsregeln ist eine Zutrittskontrollanlage die Lösung. Einbruchrisiken wird mit einer Einbruchmeldeanlage (EMA) begegnet.

Gleiches trifft für große Organisationen in größerem Rahmen zu. Dabei spielt es keine Rolle, ob Technik das zugrundeliegende Problem wirklich löst. Der erste Ansprechpartner für die Problemlösung ist oftmals ein lokaler Produktanbieter wie ein Errichter für EMA.

Die Umsetzung der Lösung ist technisch in den meisten Fällen unproblematisch. Betrachtet man das Gesamtsystem endet die Risikominimierung aber auch mit der technischen Umsetzung. Prozesse wie Wartung, Alarmierung oder Intervention werden nicht betrachtet. In mittelständischen Unternehmen ist es nicht selten, dass im bei Auslösung der EMA der Geschäftsführer eine SMS erhält. Ist das ein nachhaltiger Interventionsablauf?

 

Beratung betrachtet Ursachen und Auswirkungen

 Im Ergebnis einer solchen Maßnahme ist zwar eine Schwachstelle geschlossen: keine Einbruchüberwachung. Aber mindestens eine neue geschaffen: eine unzureichende und unwirksame Intervention. Aber eben an einer anderen Stelle. Ein Mehr an Sicherheit ist nicht erreicht und das trotz Investitionen. Das Abstellen von Sicherheitsrisiken sollte also nicht mit der technischen Umsetzung beginnen, auch wenn diese offensichtlich scheint.

Beratung setzt genau hier an. In der Beratung geht es nicht in erster Linie darum, welche technische Lösung wie umgesetzt werden soll. Hier unterscheidet sich Beratung auch von Planung. Sicherheitsberatung versucht die Ursachen der Schwachstelle zu verstehen und schafft Lösungen, die den Gesamtprozess betrachten.

 

Umfang von Projekten überrascht oft

 In vielen Fällen sind Kunden, insbesondere das Management, überrascht, wie umfangreich ein Projekt nun ist. Anders als es aktuell Praxis ist, in der Manager Budgets für Einzelmaßnahmen freigeben, müssen die Herausforderungen offen diskutiert und gemeinsame Lösungen erarbeitet werden, die einen Mehrwert für die gesamte Organisation bieten.

Ein weiterer Aspekt der Sicherheitsberatung sind die Auswirkungen von Sicherheitsmaßnahmen. Neue Sicherheitstechnik und veränderte Prozesse betreffen in der Regel andere Mitarbeiter in der Organisation. Eine Zutrittskontrolle mit strengeren Zutrittsregeln kann beispielsweise Wegezeiten verlängern. 

Diese Auswirkungen müssen in die Betrachtung einbezogen werden. Zum einen entstehen zusätzliche Kosten, die der Errichter der Zutrittskontrollanlage nicht berücksichtigt. Zum anderen müssen die Mitarbeiter auf die Veränderung vorbereitet werden. Auch hier wird klar: Sicherheit ist ein Querschnittsthema und bedarf der Unterstützung des Managements.

 

Besser in Beratung als in die falsche Lösung investieren

 Auf der anderen Seite können eine solide Analyse der Schwachstellen und eine darauf aufbauende Risikoanalyse zu anderen Lösungen führen, als zunächst gedacht. Erst am Ende des Beratungsprozesses steht die Definition von technischen Maßnahmen. Und erst hier ist es sinnvoll mit Planern oder Errichtern ins Gespräch zu kommen.

Die vorstehenden Gründe zeigen deutlich, dass Beratung bei der Lösung von Sicherheitsproblemen einen entscheidenden Vorteil bietet: Der Mehrwert für die eigene Organisation steht im Vordergrund. Sicher, Berater erzeugen Konzepte und Papier. Letzteres ist bekanntlich geduldig. 

Beratung bewahrt die Organisation aber davor Geld in die falschen oder in unzureichende Lösungen zu investieren. Es ist günstiger im Rahmen überschaubarer Beratungskosten festzustellen, wie umfangreich eine Lösung ist und gegebenenfalls einen mittelfristigen Umsetzungsplan zu entwickeln, als kurzfristig eine technische Lösung zu schaffen, die auch langfristig keinen Mehrwert schafft. 

Rico Kerstan ist der Gründer und Geschäftsführer der KR Krisensicher Risikoberatung GmbH. Im Blog KRISENSICHER schreibt er unter anderem über Krisenmanagement, Cybersecurity, Informationssicherheit und die Arbeit in Krisenstäben.  

 

Kontakt aufnehmen

8 + 10 =

Wir benutzen technisch notwendige Cookies um die Funktionsfähigkeit unserer Webseite zu gewährleisten und die Nutzerfreundlichkeit der Webseite zu verbessen. Klicken Sie auf den Button für mehr Informationen.