Cybersicherheit braucht Digitalisierung … oder andersherum?

bei

 / 8. October. 2021

Eine erfolgreiche Digitalisierungsstrategie von Unternehmen braucht eine angemessene Cybersicherheit. Daraus lässt sich ableiten, dass eine Cybersicherheitsstrategie eine digitale Cybersicherheitsstrategie sein muss, sich am Geschäftsmodell und Digitalisierung ausrichten muss. Und weil die Dynamik der Digitalisierung hoch ist, ist die Verbindung dieser zwei Themenbereiche umso wichtiger.

Das Bundeskriminalamt hat in ihrer Sonderauswertung im Rahmen der Corona-Pandemie die Beschleunigung der Nutzung digitaler Dienste hervorgehoben.

„Die Gesellschaft weicht im Zuge der Corona-Krise vermehrt auf die digitale Welt aus – ein perfekter Nährboden für Cyberkriminelle.“ (BKA, Cybercrime in Zeiten der Corona-Pandemie, 30. September 2020). Die zunehmende Digitalisierung erfordert als logische Konsequenz, kontinuierlich und besser auf Cyberangriffe vorbereitet zu sein.

Diese Entwicklung zeigt, dass der Ansatz, Cybersicherheit und Digitalisierung zu verknüpfen sinnvoll und erfolgversprechend ist. Damit wird Cybersicherheit aus der Expertennische herausgeführt, ganz so, wie immer deutlicher wird, dass Digitalisierung ebenfalls kein reines Expertenthema sein darf. Diesen Gedanken konsequent weitergedacht, bedeutet es vielmehr, dass eine Haltung gegenüber der Cybersicherheit in Unternehmen gebraucht wird, die Cybersicherheit als Teil des Business versteht und nicht als Tradeoff zum Business – Cybersicherheit ermöglicht Digitalisierung.

Denn so, wie Digitalisierung ein kontinuierlicher Prozess ist, ist auch Cybersicherheit ein Aufgabenfeld, welches Unternehmen stetig weiterentwickeln müssen. Ein „Fertig“ wird es weder in der Digitalisierung noch in der Cybersicherheit geben – es sind Daueraufgaben.

Es lassen sich weitere Verbindungen zwischen den Anforderungen an eine Organisation für erfolgreiche Digitalisierung und für erfolgreiche Cybersicherheit ziehen. So entsteht eine verstärkende Wechselwirkung zwischen Cybersicherheit und Digitalisierung.

Aspekte der Digitalisierung

Beispielhaft soll die Studie des Instituts der deutschen Wirtschaft für Anforderungen der Digitalisierung herangezogen werden. In der Studie (IW, Digitalisierung und mitarbeiterorientierte Führung, 2020) werden drei Megatrends für Digitalisierung aufgezeigt.

  1. Zeitliche und räumliche Flexibilität von Beschäftigten
  2. Automatisierung, Informatisierung und künstliche Intelligenz
  3. Veränderung, Verantwortung, Vertrauen in der Führung

Veränderte mobilere Arbeitsformen sorgen für einen höheren Grad an Handlungsfreiheit und daraus resultierend für mehr Selbstkontrolle und -steuerung, möglicherweise aber auch für eine zunehmende Verunsicherung. Dies zusammen mit der fortschreitenden technologischen Entwicklung sorgt für veränderte Kompetenz- und Aufgabenbereiche. Insbesondere sind Veränderungsbereitschaft und Kreativität erforderlich, um die Innovationskraft von Unternehmen aufrechtzuerhalten und auf sich verändernde Marktentwicklungen schnell und angemessen reagieren zu können. Innovation entsteht durch ausprobieren und Mut, verbunden mit einer konstruktiven Fehlerkultur, in der Fehler frühzeitig erkannt werden und eine korrigierende Reaktion erfolgt.

Überträgt man diese Konsequenzen auf die Anforderungen für Cybersicherheit, so wird deutlich, dass Cybersicherheits-Kompetenz bei jedem einzelnen wichtig ist. Bei der zunehmenden Handlungsfreiheit ist es erforderlich, mögliche Risiken und Grenzen einschätzen zu können, also in der Lage zu sein, Dinge kritisch zu hinterfragen. Digitalisierungskompetenz und Cybersicherheitskompetenz haben also ähnliche Anforderungen, in der eigenverantwortliches Handeln einen wichtigen Teil ausmacht.

Die veränderte Rolle von Experten

Welch herausragende Rolle Daten in der Digitalisierung und für die Gesellschaft spielen, wird in der Datenstrategie der Bundesregierung deutlich. „Daten bilden die Grundlage der digitalen Gesellschaft. Mehr Daten innovativ, verantwortungsvoll und gemeinwohlorientiert zu nutzen, kann das Zusammenleben in Deutschland, in Europa und in der Welt bedeutsam verbessern und natürliche Ressourcen schützen.“ (Die Bundesregierung, Datenstrategie der Bundesregierung, 27. Januar 2021)

Das Aufgabengebiet der Cybersicherheit stützt sich auf den Schutzbedarf von Daten und Geschäftsprozessen, somit lässt sich aus der Datenstrategie ein Auftrag für Cybersicherheit ableiten.

Dabei steht die Rolle von Cybersicherheitsexperten veränderten Rahmenbedingungen gegenüber, die auch Einfluss auf das Aufgabengebiet haben. Die Herausforderung ist, Unternehmen bestmöglich zu schützen und die zuvor beschriebenen Anforderungen der Digitalisierung zu ermöglichen. Der verwendete Begriff der Security Awareness, zu Deutsch Sicherheitsbewusstsein, muss weitergedacht werden. Es ist vielmehr eine Sicherheitskultur erforderlich, mit der Cybersicherheit zu einem Teil der Unternehmenskultur wird. Cybersicherheitsexperten stehen vor der Herausforderung dies zu fördern und sich selbst mit dem Geschäftsmodell auseinanderzusetzen. Dazu gehört, dass mit Hilfe von Sicherheitstechnologie ein starkes Fundament geschaffen wird, das dafür sorgt, dass das Arbeiten unter geschützten Bedingungen stattfinden kann. Für das, was Sicherheitstechnologie nicht abdecken kann, ist es erforderlich für Beschäftigte in Unternehmen einen Rahmen zu bieten, in dem die zunehmende Handlungsfreiheit, Selbstkontrolle und -steuerung geschützt möglich sind. Und zu dem Rahmen gehört, Beschäftigte durch Ausbildung, Beratung und Unterstützung zu befähigen, sicherheitsbewusst und sicherheitskompetent die jeweiligen Aufgaben im Unternehmen wahr zu nehmen.

Cybersicherheit als unternehmerische Verantwortung

Die Aufgabe der Cybersicherheit als Haltungsthema zu verstehen, macht deutlich, dass es eine Aufgabe des Unternehmens an sich und aller Beschäftigten ist. Dahinter stehen Werte, mit denen Unternehmen ihre Verantwortung für das Unternehmen, für Beschäftigte, Kunden und Geschäftspartner wahrnehmen können. Das ergibt als weitere Folgerung, dass das Aufgabengebiet der Cybersicherheit ein Teil der digitalen unternehmerischen Verantwortung darstellt. Dies wird in der bereits zitierten Datenstrategie der Bundesregierung deutlich und explizit hervorgehoben:

„Alle Akteure der Datengesellschaft stehen in der Verantwortung, Vertrauen zu schaffen und zu befördern. Wir wollen eine digitale Zukunft gestalten, der die Menschen vertrauen können. Dabei ist es unser Ziel, dass die Menschen durch rechtliche Regelungen und technische Maßnahmen geschützt werden und aufgeklärt agieren können: Selbstbestimmt und kompetent, unabhängig und sicher.“ (Die Bundesregierung, Datenstrategie der Bundesregierung, 27. Januar 2021)

Diese strategische Perspektive findet sich ebenfalls in der Cybersicherheitsstrategie für Deutschland wieder.(Bundesministerium des Innern, für Bau und Heimat, Entwurf Cybersicherheitsstrategie für Deutschland 2021, Juni 2021)

Die darin verankerten drei Leitlinien

  1. „Cybersicherheit als eine gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und Gesellschaft etablieren
  2. „Digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft stärken“
  3. „Digitalisierung sicher gestalten“

ergänzen die Datenstrategie nahtlos und stellen die gesellschaftliche Bedeutung von Cybersicherheit heraus. In der Cybersicherheitsstrategie werden konkrete Handlungsfelder aufgezeigt, die sich in die Cybersicherheitsstrategie von Unternehmen übertragen lassen. Für Unternehmen können aus diesen Handlungsfeldern Schwerpunkte für eine digitale Cybersicherheitsstrategie abgeleitet werden, beispielsweise in den drei folgenden Schwerpunkten

  1. Sicheres und selbst bestimmtes Handeln in einer digitalisierten Umgebung
  2. Gemeinsamer Auftrag von Fach- und Technologiebereichen
  3. Leistungsfähige und nachhaltige Cybersicherheitsarchitektur

In diesen Schwerpunkten gehen die in diesem Artikel beschriebenen Anforderungen an Cybersicherheit und Digitalisierung auf. Wenn Unternehmen diese in ihrer Cybersicherheitsstrategie verankern, so unterstützt eine erfolgreiche Umsetzung sowohl Digitalisierung als auch die Geschäftsentwicklung. Anhand der beiden referenzierten Strategiepapiere „Datenstrategie“ und „Cybersicherheitsstrategie“ wird die gegenseitige Abhängigkeit von Digitalisierung und Cybersicherheit überdeutlich, es erscheint nur logisch diese beiden Strategien in Verbindung zu nutzen.

Zusammenfassend bedeutet Cybersicherheit erfolgreich zu gestalten somit, dass sie in derUnternehmenskultur verankert wird und insbesondere ein Thema des Top-Managements ist.

  1. Als Thema aller Beschäftigten, nicht nur – aber auch – von Cybersicherheitsexperten.
  2. Als unternehmerische Verantwortung, als ein Business Thema und als Business-Unterstützungsfunktion.
  3. Als Daueraufgabe, die kontinuierlich weiterentwickelt werden muss.

 

Über den Autor / die Autorin:


Ralf Kleinfeld , Dipl.-Inf. und MBA, verantwortet seit 2013 die Aufgabe der Informationssicherheit bei der OTTO (GmbH & Co KG). Er versteht Informationssicherheit als Haltung und unternehmerische Verantwortung, die bei jeder Lösung angemessen und von Beginn an integriert mitgedacht werden muss.