Das Thema Security gilt als eine der größten Herausforderungen bei der Umsetzung der digitalen Transformation in Unternehmen. Dabei spielt auch eine Rolle, dass das Business oftmals die Security übersteuert und deren Einflussbereich stark einbremst.

Die Digitalisierung im Unternehmen stellt die Organisation und die bisherigen Prozesse der IT auf den Kopf. Eine grundlegend neue Weichenstellung für Geschäftsmodelle, Organisation und Kompetenzen ist angesagt. Die These von Marcus Beyer, Advisory Lead Resilient Workforce bei DXC, müsste in den Security-Abteilungen der Unternehmen einschlagen wie ein Blitz: „Im digitalisierten Unternehmen vollzieht sich ein Paradigmenwechsel in der Beziehung zwischen IT Security und Business. Künftig wird nicht mehr die IT den Mitarbeitern sagen, was sie tun dürfen und mit welchen Werkzeugen sie umgehen müssen. Vielmehr wird das Business den Ton angeben und von der IT die entsprechende Umsetzung und Absicherung einfordern“.

Es geht also um nicht weniger als einen Wandel im Selbstverständnis der IT und ihren vorrangigen Aufgaben.

 

Verschleppte Entwicklung

Obwohl diese Entwicklung sowohl Geschäft, als auch Selbstverständnis der Security völlig umkrempeln wird, lässt es die Betroffenen bislang kalt. Entweder ist die Botschaft noch nicht angekommen oder sie wird schlichtweg ignoriert. Vielleicht werden auch die brisanten Folgen verkannt, die es hat, wenn die Sicherheit in den Unternehmen nicht mehr zeitgemäß aufgestellt ist.

Zwar führen laut der DXC-Studie „Digitale Agenda 2019“ 71 Prozent der Unternehmen in Deutschland, Österreich und der Schweiz Digitalisierungsprojekte durch, allerdings schreiten diese nur schleppend voran. Als größter Hemmschuh entpuppt sich dabei das Thema Security: Es fehlt den Unternehmen unter anderem an geeigneten Sicherheitsstrategien und Verhaltensvorgaben für die Mitarbeiter.

 

Standalone IT-Sicherheit?

Um die Security-Bremse bei den Digitalisierungsprojekten zu lösen, empfiehlt es sich, den Fokus in Transformationsprojekten auf das Thema Sicherheit zu legen, dieses im Unternehmen stark zu verankern und vielleicht auch neu zu denken. Dabei umfasst IT-Sicherheit weit mehr, als nur die Absicherung von Infrastruktur und Endgeräten. Im Rahmen der digitalen Transformation werden vor allem auch Themen wie Business Continuity und Datenintegrität immer wichtiger.

„Hierbei geht es darum, das Unternehmen vor Risiken zu schützen und es strategisch so aufzubauen, dass es resilient und auf Krisenfälle vorbereitet ist, die mit der Fortführung des Geschäftsprozesses zu tun haben“, erklärt Marcus Beyer.

Dazu empfiehlt der Experte an erster Stelle eine Herauslösung der Security aus der IT: „Die Informationssicherheit muss als Stabsstelle im Unternehmen gut vernetzt sein und auf Augenhöhe mit ihren Stakeholdern agieren“, sagt Beyer. Weil das Business die digitale Transformation vorantreibt, wird die Informationssicherheit schnell zum Befehlsempfänger. Sie wird den Auftrag erhalten, die vorgegebenen Anforderungen sicher zu machen. Oft verliert sie sogar ihr Veto- und Mitspracherecht, was bislang viele Projekte zum Stillstand brachte. Wenn man nicht aufpasst und gegensteuert, werden ihr die Macht und die Mitgestaltungsmöglichkeiten schnell abgenommen“, analysiert der DXC-Experte.

 

„Sie dürfen nicht mehr Bedenkenträger sein“

Ein Beispiel aus Beyers Beratungspraxis macht deutlich, wo der Paradigmenwechsel im unternehmerischen Alltag aufschlägt: Ein mittelständischer Maschinenbauer hat im Rahmen der digitalen Transformation einen Future Workplace eingerichtet. Beim Testteam kam dabei die Frage auf, ob auch sensible Daten wie Entwicklungen, die noch nicht durch ein Patent geschützt sind, in die Cloud gestellt werden dürften. Schließt der CISO das aus, wird das Team das Projekt nicht annehmen, weil das Thema unpatentierte Daten nahezu die Hälfte der Mitarbeiter betrifft. Die Geschäftsleitung wird sich indes darüber wundern, warum die Mitarbeiter die Cloud dafür nicht nutzen können und der Informationssicherheit den Auftrag erteilen, eine entsprechende Lösung zu finden.

„Das Business wird definieren, welche Sicherheitsaspekte oder Projekte in Angriff genommen werden sollen und die Security muss schauen, wie sie das auf die Reihe bringt. Sie darf nicht mehr Bedenkenträger sein, sondern muss dabei sein und ausführen können – nach bestem Wissen und Gewissen, nach aktuellem Stand der Technik, auf Augenhöhe und mit gesundem Pragmatismus. Das ist der Paradigmenwechsel“, konstatiert Beyer.

Lesen Sie hier, wie Sie Ihre Mitarbeiter für das Thema Security sensibilisieren können.