Je nachdem, wo in einem Unternehmen die Verantwortung und Rolle für die IT-Sicherheit und auch die Industrial Security positioniert ist, sind unterschiedliche Kommunikationswege, Budgetanfragen und Freigabeprozesse einzuhalten.
Insbesondere bei der Argumentation für einzelne Security-Mittel zeigen sich recht schnell die unterschiedlichen Wahrnehmungen. So treffen viele Verantwortliche (zum Beispiel die IT-Leitung) auf taube Ohren bei Ihren Vorgesetzten (Geschäftsführung). Die Vorstands- und C-Level-Ebene steht bei einer Entscheidungsfindung vor der Herausforderung, die oftmals rein technisch begründete Argumentation mit den Unternehmenszielen und -risiken in Einklang zu bringen.
Diese Diskrepanz entsteht schlichtweg durch die unterschiedlichen Sichtweisen der verschiedenen Ebenen. Während auf Vorstandsebene die IT-Sicherheit mit vielen weiteren Themen um Aufmerksamkeit und Mittel konkurriert und überwiegend aus wirtschaftlicher Sicht betrachtet wird, verfolgt das mittlere Management eine technisch begründete Herangehensweise.
Mittlerweile hat sich vielerorts eine negative Grundhaltung wie „Security nicht sichtbar“, „Security bietet keinen ROI“ und „Security kostet nur Geld“ etabliert.
Die grundlegende Frage bei Budgetfreigaben für Security-Investitionen ist also, wie eine Kommunikation aussehen muss, damit sich beide Seiten verstehen und letztendlich eine wirtschaftlich sinnvolle Entscheidung getroffen werden kann.
Grundsätzlich gilt: Perspektivwechsel!
Verständnis und Empathie für Ihr Gegenüber ist die Basis einer guten Kommunikation.
Aus dem Blickwinkel der Führungskraft gilt es vor allem, die richtige wirtschaftliche Entscheidung zu treffen. Deren Aufgabe besteht darin, den Profit und das Wachstum zu optimieren. Und das geht nur, wenn man bereit ist, Risiken einzugehen. Verständlicherweise sollen dabei so wenig Verluste wie möglich für das Unternehmen entstehen.
Technische Argumente für die Implementierung von Security-Maßnahmen allein greifen zu kurz.
Für den Manager ist es zweitrangig, wenn die getroffene Entscheidung nicht allen Betroffenen gefällt, sie muss vor allem richtig sein. Denn eine falsche Entscheidung führt im schlimmsten Fall zu Umsatzeinbußen, kann Arbeitsplätze kosten und kann das Unternehmensimage nachhaltig schädigen. Aus diesem Grund sollte jede Investition mit Bedacht erfolgen. Die Kollegen und Mitarbeiter erwarten, dass für jeden getroffenen Beschluss die Verantwortung übernommen wird. Fehlentscheidungen können dabei leicht zu einem Verlust der eigenen Position führen. Deswegen ist es wichtig, dass eine einmal getroffene Entscheidung konsequent und entschlossen vertreten werden kann.
Aus diesem Grund reichen Argumente „für eine bessere Security“ allein nicht aus.
Ebenso sind Zertifizierungen und die Erfüllung von Normen, aus Management-Sicht wenig relevant, wenn diese nicht mit den wirtschaftlichen Zielen übereinstimmen. Interessanter wird es jedoch, wenn Sie beim Management anhand von Business-Impact und Risikoanalysen argumentieren können, welche Systeme die größte wirtschaftliche Bedeutung haben, um diese dann gezielt mit Investitionen abzusichern.
Führungskräfte denken in Risiken
Risiken werden durch die Eintrittswahrscheinlichkeit und das Ausmaß sowie durch die Konsequenzen definiert.
Risiko = Wahrscheinlichkeit x Impact
Im Risikomanagement gibt es dabei nicht nur eine Möglichkeit mit Risiken umzugehen, sondern mehrere:
- Das Risiko akzeptieren (wenn die Wahrscheinlichkeit oder das Ausmaß gering genug ist)
- Das Risiko einschränken (durch die Einführung von Schutz- und Reaktionsmaßnahmen)
- Das Risiko übertragen (zum Beispiel durch eine Versicherung)
Ein Cyberangriff ist nur ein Risiko von vielen. Wenn hier die Aussicht auf einen Cybervorfall gering wirkt oder die Auswirkungen vernachlässigbar erscheinen, dann wird auch die Notwendigkeit von Security-Maßnahmen hintangestellt oder, was wahrscheinlicher ist, von vornherein ignoriert. Seien Sie darauf gefasst, dass es im Vorstand immer jemanden geben wird der fragt: „Und was ist, wenn doch kein Vorfall eintritt?“
Die eigentliche Aufgabe besteht darin, die Konsequenzen eines Cybervorfalls mit den Risikotypen zu verknüpfen, die bereits in dem vorherrschenden Risk-Framework Anwendung finden. Beispiele hierfür sind:
Eine Betrachtung des Business-Impacts und eine Risikoanalyse helfen an dieser Stelle weiter. Durch beide erfahren Sie recht schnell, welche Auswirkungen „Business Impacts“ auf die einzelnen Prozesse haben und somit aus wirtschaftlicher Sicht die größten Konsequenzen nach sich ziehen. Erst dann sollten Investitionen getätigt werden.
Achtung: Eine Risikoanalyse kann sehr schnell zu umfangreich und mächtig werden. Die Einschätzung des Umfangs ist wichtig und das richtige Verhältnis aus quantitativem und qualitativem Vorgehen, denn oft bleibt keine andere Wahl als die (Eintritts-) Wahrscheinlichkeiten subjektiv zu bewerten.
Nicht empfehlenswert: Angstmarketing – Führungskräfte durch Angst zum Handeln zu bringen
Das in der IT-Sicherheit immer noch gern verwendete „FUD – Fear, Uncertainty and Doubt“ und das Anführen von Stories und Zahlen über Hacker, Terroristen, Malware und Cyberwar, helfen hier nicht weiter und können im schlimmsten Fall sogar kontraproduktiv sein: „Wenn die Angriffsmöglichkeit sowieso schon so fortgeschritten sind und so zahlreich auftreten, warum sollten wir noch mehr in Security investieren, wenn die Maßnahmen nicht helfen werden?“
In den Augen der Entscheider wird meist sowieso schon zu viel für Security ausgegeben und es scheint so, als würden die Kosten mit jedem Tag zunehmen. Security ist in erster Linie ein Kostenfaktor und kein Posten für Einnahmen. Hier gilt eben nicht die Anlage zu 100% abzusichern, sondern sicher genug zu sein, um die wichtigen und relevanten Prozesse zu schützen.
Mittels FUD erzeugt man vielleicht die initiale Aufmerksamkeit, aber um auch wirklich etwas zu bewegen, bedarf es einer guten Argumentation und Darstellung der Relevanz fürs Business.
Wirtschaftliche Gründe für Security
Die Kunst besteht darin, mit Argumenten, die wirtschaftliche Relevanz haben, an das Management heranzutreten. Häufig sind dies Argumente, die in erster Linie nichts mit Security zu tun haben, bei dem der Sicherheitsaspekt lediglich ein Nebenprodukt ist und nicht das primäre Ziel.
Ein nennenswertes Beispiel ist hier das Asset-Inventar. Mit diesem erhalten Sie nicht nur einen ersten Überblick über schützenswerte Komponenten und Prozesse und gegebenenfalls deren Schwachstellen. Mit einer Inventarisierungsliste als Grundlage lassen sich oftmals auch Lagerbestände senken, Kommunikationswege (beispielsweise zwischen IT und Technik) verbessern und sichere Betriebsprozesse erarbeiten.
Mit einer solchen Argumentation wird es für Sie in der Regel einfacher, auch die Produktions- oder Werksleitung zu überzeugen.
Heben Sie hervor, dass es die grundlegende Aufgabe der IT-Security ist, die Funktionsfähigkeit der IT-Systeme sicherzustellen. Diese wiederum haben zur Aufgabe, die eigentlichen wirtschaftlichen Prozesse (zum Beispiel die Produktion von Wirtschaftsgütern) zu gewährleisten. Funktionieren die IT-Systeme eines Unternehmens, so funktionieren auch die wirtschaftlichen Prozesse.
Fazit
Zusammengefasst gilt: Je besser Sie sich auf Ihr Gegenüber einlassen und seinen oder ihren Standpunkt verstehen, desto besser können Sie Ihre Anliegen kommunizieren.
Bedenken Sie, dass es im Unternehmenskontext voranging um strategische und wirtschaftliche Ziele geht. Hier interessieren vor allem neue Chancen, Wachstumspotentiale und die Absicherung dessen, was man bereits erreicht hat.
Vor allem aber sollten Sie berücksichtigen, dass eine Führungskraft entscheiden möchte. Also liefern Sie eine Entscheidungsvorlage, auf deren Basis entschieden werden kann und nehmen Sie Entscheidungen nicht vorweg.
Nutzen Sie Begrifflichkeiten aus dem Business-Umfeld, wie „Risikominimierung“, „Erhöhung der Verfügbarkeit“, „Prozessoptimierung“ und „Reduktion von Human Error“. Zeigen Sie, welche Auswirkungen die einzelne Security-Maßnahme auf das Unternehmen und seine wirtschaftlichen Ziele hat.
Das „Branding“ und die „Softskills“ sind hier wichtiger, als Sie vielleicht annehmen! Gern gesehen sind auch Präzedenzen und branchennahe Beispiele.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
