Neue Wege gehen – Security by Design vereint Digitalisierung, Datenschutz, Sicherheit & Mitarbeiter

  • Mit den immer intensiveren Digitalisierungsbestrebungen der Unternehmen werden täglich neue digitale Produkte und Services entwickelt und sollen den Unternehmen das Wachstum der nächsten Jahre und die Wettbewerbsfähigkeit sichern
  • IT-Sicherheit und Datenschutz sind insbesondere in Deutschland hochsensible Themen, die im Rahmen des Innovationsdrucks und immer kürzerer Going-Live-Zeiten bisweilen in den Hintergrund gerückt werden
  • Für die Einhaltung regulatorischer Anforderungen, aber vor allem auch der Langfristigkeit der neuen Produkte und Innovationen, muss IT-Sicherheit noch stärker ein Teil der neuen digitalen Produkte und Services werden
  • Security by Design ist eine Möglichkeit, wie Unternehmen zügig und mit klaren Vorgaben die IT-Sicherheit in die bestehenden und neuen IT-Assets bringen können - dabei geht es vor allem um einen kulturellen Wandel

Die Diskussion um die Chancen und Notwendigkeiten der Digitalisierung ist müßig geworden. Denn Unternehmen haben mittlerweile flächendeckend erkannt, dass sich nahezu niemand der Verantwortung entziehen kann und “business as usual” macht, ohne dabei die sintflutartige Überschwemmung des digitalen Lebens- und Arbeitsstils nicht mit in die Strategie mit einzubeziehen. Aus diesem Grund wandelt sich die Diskussion nun mehr und mehr in die Ausgestaltung der Aktivitäten. Die Unternehmen versuchen mit viel Handlungseifer die teilweise versäumten Initiativen noch nachzuholen und teilweise im Intensivprogramm neue Technologien, Anwendungen und Apps für Mitarbeiter, Partner und Kunden ins Leben zu rufen.

Zweifelsohne können alle notwendigen Initiativen und echte, anspruchsvolle Prozesstransformationen und neue Geschäftsmodelle nicht über Nacht entwickelt, umgesetzt und erfolgreich etabliert werden. Aber dennoch haben sich viele Unternehmen mittlerweile etwas von der erdrückenden Last des wachsenden Digitalisierungsdrucks freigeschaufelt. Doch leider wartet die nächste Hürde bereits einen Schritt weiter. Wie gelingt es den Unternehmen, auch die IT-Sicherheitskomponente mit der notwendigen Sorgfalt in die schnelllebige und innovationsgetriebene Zeit zu integrieren?

Produktinnovationen auf Kosten der IT-Sicherheit?

Gerade in Deutschland sind die Themen IT-Sicherheit, Compliance und Datenschutz von höchster Bedeutung. Viele der Studien und Eindrücke aus der Entscheider-Community, auch von Crisp Research, haben bereits gezeigt, dass in allen Technologiefeldern den Themen IT-Sicherheit und Datenschutz stets die höchste Bedeutung im Rahmen der Ausarbeitung beigemessen wird. Ganz besonders in der Diskussion um Cloud Computing, insbesondere Public Clouds, wurde von vielen Entscheidern lange Zeit und teilweise zu Recht die Datenschutz- und Security-Karte gespielt, wenn es darum ging, sich dem Unausweichlichen noch einmal entgegenzustellen.

In den Unternehmen ist IT-Sicherheit aber auch dann immer so eine Sache, wenn Produkt- und Geschäftsverantwortliche in kurzer Zeit ein neues digitales Asset präsentieren müssen. Bewusst oder unbewusst werden wesentliche Komponenten, sorgfältige Penetrationstests oder die Einbindung der IT-Sicherheit schlichtweg vergessen oder zur Seite geschoben.

Auch im Rahmen einer kürzlich durchgeführten empirischen Untersuchung, die Crisp Research in Kooperation mit der TÜViT nun veröffentlicht hat, wurde diese Hypothese überwiegend bestätigt. Denn gerade jetzt, wo die Gestaltungsmerkmale Produktperformance und User Experience ganz oben auf der Anforderungsliste stehen, hat die IT-Sicherheit oftmals das Nachsehen. So werden die Maßnahmen zur IT-Sicherheit und des Datenschutzes in den Hintergrund gerückt, wenn sie potentiell zu einem Konflikt führen und innerhalb der Prozesslogik oder User Experience zu Einbußen führen würden. Über zwei Drittel der Entscheider geben hier an, dass dies häufig oder gar immer der Fall ist, wenn ein solcher Konflikt droht. Dass es dabei meistens gar nicht zwingend an der IT-Sicherheit liegen muss, ist den meisten Entscheidern vielleicht auch gar nicht bewusst. Zumindest ist es fraglich, ob entsprechende IT-Sicherheitsmaßnahmen nachgeholt oder wieder aktiviert werden, wenn die Performance und User Experience erst einmal steht.

Nur mit IT-Sicherheit ist ein digitales Produkt oder Service leistungsstark und tragfähig

Wollen die Unternehmen einen echten “Business Accelerator”, sprich ein langfristig erfolgreiches und leistungsstarkes digitales Produkt in den Markt bringen, ist die IT-Sicherheitskomponente jedoch unerlässlich. Die inkrementellen Innovationen und Produkte funktionieren meist in einem etablierten, sicheren Rahmen und sichern den Unternehmen schon heute wichtige Umsätze.

Für die innovativen Wachstumstreiber stellt sich aber immer häufiger die Frage, ob sie ein Strohfeuer werden sollen, oder wirklich das Geschäftsmodell nachhaltig beeinflussen und verbessern werden. Ohne IT-Security gehen die Unternehmen ein großes Risiko ein und haben auch eigentlich gar kein performantes Produkt geschaffen. Denn dazu gehört in jedem Fall die IT-Sicherheits- und Datenschutzkomponente. Nicht nur um regulatorischen Anforderungen gerecht zu werden, sondern auch den Adressaten einen langfristigen Mehrwert zu bieten, müssen die Produkte und Services sowohl ausfallsicher als auch vor Angriffen und Datenverlusten geschützt sein. Jeder potentielle Eingriff in die Produkte und Assets von außen stellt dies massiv in Frage.

Um dies zu etablieren, sind erst einmal vielfältige Maßnahmen notwendig, welche die Unternehmen auch in weiten Teilen angenommen haben. So muss vor allem die gesamte Mitarbeiterlandschaft sensibilisiert und ausgebildet sein, die neuesten IT-Sicherheitsstandards zu kennen und auch umsetzen zu können. Das gilt entsprechend für das IT-Personal als ausführendes Organ (50 Prozent der Unternehmen sind hier aktiv), aber zunehmend auch für alle Mitarbeiter (35 Prozent), die immer mehr Berührungspunkte mit und Einflussmöglichkeiten auf die neuen digitalen Services besitzen. Darüber hinaus müssen natürlich auch die am besten geeignetsten und neuesten IT-Sicherheits-Tools eingesetzt werden (42 Prozent).

Damit kommen schon mal zwei wesentliche und vielleicht sogar die wesentlichsten Komponenten für eine erfolgreiche IT-Sicherheitskultur im Unternehmen zusammen. Die IT- und Security-Ausstattung ist immer das eine. Jedoch gilt der Faktor Mensch zu Recht als die maßgeblich beeinflussende Instanz, die über Erfolg oder Misserfolg der IT-Sicherheit entscheidet. Fehler gehören zum Alltag dazu. Diese jedoch organisatorisch, technologisch und durch eine gesteigerte Sensitivität zu den Themen IT-Sicherheit und Datenschutz zu minimieren, sollte das Ziel aller Unternehmen sein, nicht nur vor dem Hintergrund der drohenden Strafen, sondern auch im Sinne einer verantwortungsbewussten Geschäfts- und Innovationsstrategie.

Security by Design - Referenzmodell für echte digitale Wertschöpfung

Ein Modell, welches dabei helfen kann, gezielt und zügig einen organisatorischen Wandel einzuleiten und IT-Sicherheit nicht mehr in den Hintergrund der Produktentwicklung rückt, ist Security by Design.

Security by Design besagt im Wesentlichen, dass IT-Sicherheitsmaßnahmen und -technologien schon unmittelbar bei der Produktentwicklung mit einbezogen werden. Somit werden die Produkte nicht schon hinsichtlich der Prozesslogik entwickelt und erste Prototypen oder MVPs erstellt, die erst im Nachgang einen IT-Sicherheitscheck erhalten und mit Maßnahmen angefüttert werden. Mit Security by Design werden von Beginn an und in jedem Projektschritt gleichwertig die IT-Sicherheitskomponenten mit einbezogen und werden so frühzeitig ein Teil des fertigen Produktes, sodass es keine Kompromisse, sondern eine Co-Existenz zwischen Performance, User Experience und Security gibt.

Dazu müssen noch mehr Instanzen beziehungsweise Verantwortungsbereiche gleichzeitig zur Produktentwicklung herangezogen werden. Dies sorgt aber auch im Optimalfall dafür, dass die IT-Sicherheitskultur im Unternehmen weiter reift und die Präsenz des Themas wieder stärker in den Vordergrund rückt.

In jeder Projektphase kommen so die jeweiligen Produktverantwortlichen und wenn nötig auch strategischen Entscheider hinzu, die gemeinsam mit den CISOs und deren Mitarbeitern an einer gemeinsamen Lösung arbeiten. Dies setzt sich dann auch in der Implementierungs-, Produktiv- und Optimierungsphase durch, wo nicht nur am Produkt, sondern folgerichtig auch an der IT-Sicherheit gearbeitet wird.

Security by Design (ebenso analog verwendet auch Privacy by Design) kann somit als maßgebende Leitlinie dafür sorgen, dass die Unternehmen schneller und ohne die Notwendigkeit der Kompromisse wertvolle und vor allem langfristig tragbare Innovationen erbringen können.

Aber auch für die Kernprobleme des derzeitigen Sicherheits- und Datenschutz-Diskurs können sie einen Ausweg bieten. Denn viele Unternehmen haben sich beispielsweise auch noch nicht mit den umfangreichen Maßnahmen zur EU-Datenschutzgrundverordnung befasst. Die Mehrheit sieht ein klares Problem in der Umsetzbarkeit, insbesondere aufgrund des sehr überschaubaren Zeithorizonts.

Welche Möglichkeiten Security und Privacy by Design-Modelle darüber hinaus bieten, was das Internet of Things und Industrie 4.0 damit zu tun haben und wie die IT-Sicherheitsorganisationen der Unternehmen in Deutschland derzeit und zukünftig aufgestellt sein werden, lesen Sie in unserem Report “Security by Design - Die Rolle von IT-Sicherheitsstrategien in der Digitalisierung” zum kostenlosen Download hier.

Mehr zu den Themen Cloud Computing Compliance Datenschutz Digitalisierung IT-Sicherheit Public Cloud Security

Share on:


Über den Autor:

Senior Analyst & Mobile Practice Lead

Maximilian HilleMaximilian Hille ist Analyst und Mobile Practice Lead des IT-Research- und Beratungsunternehmens Crisp Research AG. Maximilian Hille ist verantwortlich für Marktforschungsinitiativen und Beratungsprojekte maßgeblich in den Bereichen Mobile Business und Enterprise Mobility. Zuvor war Maximilian Hille Research Manager in der „Cloud Computing & Innovation Practice“ der Experton Group AG.
Weiterhin ist er Produkt Manager des Research-Web-Dienstes Crisp Analytics. Seine Fokusthemen sind Mobile User Experience, Mobile Application Performance, mobile Development Platforms, Enterprise Mobility und Mobile Collaboration.
Maximilian Hille ist Juror bei den Global Mobile Awards 2017.