Je nachdem, wo in einem Unternehmen die Verantwortung und Rolle für die IT-Sicherheit und auch die Industrial Security positioniert ist, sind unterschiedliche Kommunikationswege, Budgetanfragen und Freigabeprozesse einzuhalten.

Insbesondere bei der Argumentation für einzelne Security-Mittel zeigen sich recht schnell die unterschiedlichen Wahrnehmungen. So stoßen viele Verantwortliche (z.B. IT-Leitung) auf taube Ohren bei Ihren Vorgesetzten (Geschäftsführung). Die Vorstands- und C-Level-Ebene steht bei einer Entscheidungsfindung vor der Herausforderung, die oftmals rein technisch begründete Argumentation mit den Unternehmenszielen und -risiken zu vereinen.

Diese Diskrepanz entsteht schlichtweg durch die unterschiedlichen Sichtweisen der verschiedenen Ebenen. Während auf Vorstandsebene die IT-Sicherheit mit vielen weiteren Themen um Aufmerksamkeit und Mittel konkurriert und überwiegend aus wirtschaftlicher Sicht betrachtet wird, verfolgt das mittlere Management eine technisch begründete Herangehensweise.

Mittlerweile hat sich vielerorts eine negative Grundhaltung wie „Security nicht sichtbar“, „Security bietet keinen ROI“ und „Security kosten vor allem nur Geld“ etabliert.

Die grundlegende Frage bei Budgetfreigaben für Security-Investitionen ist also, wie eine Kommunikation aussehen muss, so dass beide Seiten sich verstehen und letztendlich eine wirtschaftlich sinnvolle Entscheidung getroffen werden kann.

Grundsätzlich gilt: Perspektivwechsel!

Verständnis und Empathie für den Gegenüber ist die Basis einer guten Kommunikation.

Aus dem Blickwinkel der Führungskraft gilt es vor allem die richtige wirtschaftliche Entscheidung zu treffen. Deren Aufgabe besteht darin, den Profit und das Wachstum zu optimieren. Und das geht nur, wenn man bereit ist Risiken einzugehen. Verständlicherweise sollen dabei so wenig Verluste wie möglich für das Unternehmen entstehen.

Technische Argumente für die Implementierung von Security-Maßnahmen allein greifen zu kurz.

Für den Manager ist es zweitrangig, wenn die getroffene Entscheidung nicht allen Betroffenen gefällt. Denn eine falsche Entscheidung führt im schlimmsten Fall zu Umsatzeinbußen, kann Arbeitsplätze kosten und das Unternehmensimage nachhaltig schädigen. Aus diesem Grund sollte jede Investition mit Bedacht getroffen werden. Die Kollegen und Mitarbeiter erwarten, dass für jeden getroffenen Beschluss die Verantwortung übernommen wird. Fehlentscheidungen können dabei leicht zu einem Verlust der eigenen Position führen. Deswegen ist es wichtig, dass eine einmal getroffene Entscheidung konsequent und entschlossen vertreten werden kann.

Aus diesem Grund reichen Argumente „für eine bessere Security“ allein nicht aus.

Ebenso sind Zertifizierungen und die Erfüllung von Normen, aus Management-Sicht wenig interessant, wenn diese nicht mit den wirtschaftlichen Zielen übereinstimmen. Interessanter wird es jedoch, wenn Sie beim Management anhand von Business-Impact und Risikoanalysen argumentieren können, welche Systeme die größte wirtschaftliche Auswirkung haben, um diese dann gezielt mit Investitionen abzusichern.

Führungskräfte denken in Risiken

Risiken werden durch die Eintrittswahrscheinlichkeit und Ausmaß bzw. die Konsequenzen definiert.

Risiko = Wahrscheinlichkeit x Impact

Im Risikomanagement gibt es dabei nicht nur eine Möglichkeit mit Risiken umzugehen:

  • Das Risiko akzeptieren (wenn die Wahrscheinlichkeit oder das Ausmaß gering genug ist)
  • Das Risiko einschränken (durch die Einführung von Schutz- und Reaktionsmaßnahmen)
  • Das Risiko übertragen (z.B. durch eine Versicherung)

Ein Cyberangriff ist nur ein Risiko von vielen. Wenn hier die Aussicht auf einen Cybervorfall gering wirkt oder die Auswirkungen vernachlässigbar erscheinen, dann wird auch die Notwendigkeit von Security-Maßnahmen hintangestellt oder (was wahrscheinlicher ist) von vornherein ignoriert. Seien Sie darauf gefasst, dass es im Vorstand immer jemanden geben wird der fragt: „Und was ist, wenn doch kein Vorfall eintritt?“

Die eigentliche Aufgabe besteht darin, die Konsequenzen eines Cybervorfalls mit den Risikotypen zu verknüpfen, die bereits in dem vorherrschenden Risk-Framework Anwendung finden. Beispiele hierzu sind:

Risikotypen als Argument für Security

Eine Betrachtung des Business-Impact und einer Risikoanalyse helfen an dieser Stelle weiter. Durch beide erfährt man recht schnell, welche Auswirkungen „Business Impacts“ auf die einzelnen Prozesse haben und somit (aus wirtschaftlicher Sicht) die größten Konsequenzen besitzen. Erst dann sollten Investitionen getätigt werden.

Achtung: Eine Risikoanalyse kann sehr schnell zu umfangreich und mächtig werden. Die Einschätzung des Umfangs ist hier wichtig und das richtige Verhältnis aus quantitativem und qualitativem Vorgehen, denn oft bleibt keine andere Wahl als (Eintritts-) Wahrscheinlichkeiten subjektiv zu bewerten.

Nicht empfehlenswert: Angstmarketing – Führungskräfte durch Angst zum Handeln zu bringen

Das in der IT-Sicherheit immer noch gern verwendete „FUD – Fear, Uncertainty and Doubt“ und das Anführen von Stories und Zahlen über Hacker, Terroristen, Malware und Cyberwar, helfen hier nicht weiter und können im schlimmsten Fall sogar kontraproduktiv sein: „Wenn die Angriffsmöglichkeit sowieso schon so fortgeschritten sind und so zahlreich auftreten, warum sollten wir noch mehr in Security investieren, wenn die Maßnahmen nicht helfen werden?“

In den Augen der Entscheider wird meist sowieso schon zu viel für Security ausgegeben und es scheint so, als würden die Kosten mit jedem Tag zunehmen. Security ist in erster Linie ein Kostenfaktor und kein Posten für Einnahmen. Hier gilt eben nicht die Anlage zu 100% abzusichern, sondern sicher genug zu sein, um die wichtigen und relevanten Prozesse zu schützen.

Mittels FUD erzeugt man vielleicht die initiale Aufmerksamkeit, aber um auch wirklich etwas zu bewegen, bedarf es einer guten Argumentation und Darstellung der Relevanz fürs Business.

Wirtschaftliche Gründe für Security

Die Kunst besteht darin, über Argumente mit wirtschaftlicher Relevanz an das Management anzutreten. Häufig sind dies Argumente, die in erster Linie nichts mit Security zu tun haben, bei dem der Sicherheitsaspekt lediglich ein Nebenprodukt ist und nicht das primäre Ziel.

Ein nennenswertes Beispiel ist hier das Asset-Inventar. Mit diesem erhalten Sie nicht nur einen ersten Überblick über schützenswerte Komponenten und Prozesse und ggf. deren Schwachstellen. Mit einer Inventarisierungsliste als Grundlage lassen sich oftmals auch Lagerbestände senken, Kommunikationswege (bspw. zwischen IT und Technik) verbessern und sichere Betriebsprozesse erarbeiten.

Mit einer solchen Argumentation wird es für Sie in der Regel „einfacher“ auch eine Produktions- oder Werksleitung zu überzeugen.

Heben Sie hervor, dass es die grundlegende Aufgabe der IT-Security ist, die Funktionsfähigkeit der IT-Systeme sicherzustellen. Diese wiederum haben zur Aufgabe, die eigentlichen wirtschaftlichen Prozesse (z.B. die Produktion von Wirtschaftsgütern) zu gewährleisten. Funktionieren die IT-Systeme eines Unternehmens, so funktionieren auch die wirtschaftlichen Prozesse.

Wirtschaftliche Gründe für Industrial Security

Fazit

Zusammengefasst gilt, je besser Sie sich auf Ihren Gegenüber einlassen und seinen Standpunkt verstehen, desto besser können Sie Ihre meine Anliegen kommunizieren.

Bedenken Sie, dass es im Unternehmenskontext voranging um strategische und wirtschaftliche Ziele geht. Hier interessieren vor allem neue Chancen, Wachstumspotentiale und die Absicherung dessen, was man bereits erreicht hat.

Vor allem aber gilt, eine Führungskraft möchte entscheiden. Also liefern Sie eine Entscheidungsvorlage, auf deren Basis entschieden werden kann und nehmen Sie solche Entscheidungen nicht vorweg.

Nutzen Sie hierfür Begrifflichkeiten aus dem „Business-Umfeld“, wie „Risikominimierung“, „Erhöhung der Verfügbarkeit“, „Prozessoptimierung“ und „Reduktion von Human Error“. Zeigen Sie, welche Auswirkungen die einzelne Security-Maßnahme auf das Unternehmen und seine wirtschaftlichen Ziele hat.

Das „Branding“ und die „Softskills“ sind hier wichtiger, als Sie vielleicht annehmen! Gern gesehen sind auch Präzedenzen und branchennahe Beispiele.

Erarbeiten Sie sich mit der Zeit Entscheidungsvorlagen im Themenfeld de Industrial Security, welche die genannten Aspekte der Managementkommunikation miteinbezieht. So gehen Sie sicher, dass der wirtschaftliche oder strategische Nutzen des Sachverhalts korrekt kommuniziert wird, so dass der Verantwortliche optimal entscheiden kann.