Um wichtige Vorhaben der OT-Security umsetzen zu können, müssen Sie erst Ihr Management von der Notwendigkeit und vom Nutzen überzeugen. Ressourcen und Mittel sind nämlich grundsätzlich kleiner als die Bedarfe im Unternehmen. Wir zeigen auf, wie Sie eine erfolgreiche Kommunikation mit dem Management führen und die Mehrwerte der OT-Security überzeugend vermitteln.
Zielsetzung: Wirtschaftlich sinnvolle Entscheidungen
Je nachdem, wo in einem Unternehmen die Verantwortung und Rolle für die IT-Sicherheit und auch die OT-Security positioniert ist, sind unterschiedliche Kommunikationswege, Budgetanfragen und Freigabeprozesse einzuhalten.
Insbesondere bei der Argumentation für einzelne Security-Mittel zeigen sich recht schnell die unterschiedlichen Wahrnehmungen. So treffen viele Verantwortliche (zum Beispiel die IT-Leitung) auf taube Ohren bei Ihren Vorgesetzten (Geschäftsführung). Die Vorstands- und C-Level-Ebene steht bei einer Entscheidungsfindung vor der Herausforderung, die oftmals rein technisch begründete Argumentation mit den Unternehmenszielen und -risiken in Einklang zu bringen.
Diese Diskrepanz entsteht schlichtweg durch die unterschiedlichen Sichtweisen der verschiedenen Ebenen. Während auf Vorstandsebene die IT-Sicherheit mit vielen weiteren Themen um Aufmerksamkeit und Mittel konkurriert und überwiegend aus wirtschaftlicher Sicht betrachtet wird, verfolgt das mittlere Management eine technisch begründete Herangehensweise.
Mittlerweile hat sich vielerorts eine negative Grundhaltung wie „Security ist nicht sichtbar“, „Security bietet keinen ROI“ und „Security kostet nur Geld“ etabliert.
Die grundlegende Frage bei Budgetfreigaben für Security-Investitionen ist also, wie eine Kommunikation aussehen muss, damit sich beide Seiten verstehen und letztendlich eine wirtschaftlich sinnvolle Entscheidung getroffen werden kann.
Grundsätzlich gilt: Perspektivwechsel!
Eines vorab: Verständnis und Empathie für Ihr Gegenüber ist die Basis einer guten Kommunikation!
Aus dem Blickwinkel der Führungskraft gilt es vor allem, die richtige wirtschaftliche Entscheidung zu treffen. Deren Aufgabe besteht darin, den Profit und das Wachstum zu optimieren. Und das geht nur, wenn man bereit ist, Risiken einzugehen. Verständlicherweise sollen dabei so wenig Verluste wie möglich für das Unternehmen entstehen.
Technische Argumente für die Implementierung von Security-Maßnahmen allein greifen zu kurz.
Für den Manager ist es zweitrangig, wenn die getroffene Entscheidung nicht allen Betroffenen gefällt, sie muss vor allem richtig sein. Denn eine falsche Entscheidung führt im schlimmsten Fall zu Umsatzeinbußen, kann Arbeitsplätze kosten und kann den Ruf des Unternehmens nachhaltig schädigen. Aus diesem Grund sollte jede Investition mit Bedacht erfolgen. Die Kollegen und Mitarbeiter erwarten, dass für jeden getroffenen Beschluss die Verantwortung übernommen wird. Fehlentscheidungen können dabei leicht zu einem Verlust der eigenen Position führen. Deswegen ist es wichtig, dass eine einmal getroffene Entscheidung konsequent und entschlossen vertreten werden kann.
Aus diesem Grund reichen Argumente „für eine bessere Security“ allein nicht aus.
Ebenso sind Zertifizierungen und die Erfüllung von Normen, aus Management-Sicht wenig relevant, wenn diese nicht mit den wirtschaftlichen Zielen übereinstimmen. Interessanter wird es jedoch, wenn Sie beim Management anhand von Business-Impact und Risikoanalysen argumentieren können, welche Systeme die größte wirtschaftliche Bedeutung haben, um diese dann gezielt mit Investitionen abzusichern.
Führungskräfte denken in Risiken
Risiken werden durch die Eintrittswahrscheinlichkeit und das Ausmaß sowie durch die Konsequenzen definiert.
Risiko = Wahrscheinlichkeit x Impact
Im Risikomanagement gibt es dabei nicht nur eine Möglichkeit mit Risiken umzugehen, sondern mehrere:
- Das Risiko akzeptieren (wenn die Wahrscheinlichkeit oder das Ausmaß gering genug ist)
- Das Risiko einschränken (durch die Einführung von Schutz- und Reaktionsmaßnahmen)
- Das Risiko übertragen (zum Beispiel durch eine Versicherung)
Ein Cyberangriff ist nur ein Risiko von vielen. Wenn die Aussicht auf einen Cybervorfall gering wirkt oder die Auswirkungen vernachlässigbar erscheinen, dann wird auch die Notwendigkeit von Security-Maßnahmen hintangestellt. Oder, was wahrscheinlicher ist, von vornherein ignoriert.
Die eigentliche Aufgabe besteht darin, die Konsequenzen eines Cybervorfalls mit den Risikotypen zu verknüpfen, die bereits in dem vorherrschenden Risk-Framework Anwendung finden. Beispiele hierfür sind:
- Schädigung des Image bzw. der Unternehmens- und Markenintegrität
- Verlust von Marktanteilen
- Negative Bewertung von Kredit-Ratings / erschwerter Zugang zu Kapital
- Nicht-Erfüllung der Regulierung (Safety, KRITIS, Umwelt, etc.)
- Verlust von Umsatz / Ausfallzeiten in der Fertigung
- Kosten für verlorengegangene Kennzahlen
- Erhöhung der Versicherungsprämien / Einschränkungen in der Police
- Verlust von Produktionsdaten / Produktkopien
- Unbeschäftigte Mitarbeiter
- Gefährdung der Bestandsinfrastruktur durch Einführung von Trendthemen
Eine Betrachtung des Business-Impacts und eine Risikoanalyse helfen an dieser Stelle weiter. Durch beide erfahren Sie recht schnell, welche Auswirkungen Business Impacts auf die einzelnen Prozesse haben und somit aus wirtschaftlicher Sicht die größten Konsequenzen nach sich ziehen. Investitionen sollten darauf basiernd getätigt werden.
Achtung: Eine Risikoanalyse kann sehr schnell zu umfangreich und mächtig werden. Die Einschätzung des Umfangs ist wichtig und das richtige Verhältnis aus quantitativem und qualitativem Vorgehen. Oft bleibt nämlich keine andere Wahl als die (Eintritts-) Wahrscheinlichkeiten subjektiv zu bewerten.
Nicht empfehlenswert: Angstmarketing
Das in der IT-Sicherheit immer noch gern verwendete „FUD – Fear, Uncertainty and Doubt“ und das Anführen von Stories und Zahlen über Hacker, Terroristen, Malware und Cyberwar, helfen hier nicht weiter. Das kann im schlimmsten Fall sogar kontraproduktiv sein: „Wenn die Angriffsmöglichkeit sowieso schon so fortgeschritten und zahlreich sind, warum sollten wir noch mehr in Security investieren? Dann werden die Maßnahmen sowieso nicht helfen!“
In den Augen der Entscheider wird meist sowieso schon zu viel für Security ausgegeben und es scheint so, als würden die Kosten mit jedem Tag zunehmen. Security ist in erster Linie ein Kostenfaktor und kein Posten für Einnahmen. Es gilt eben nicht, die Anlage zu 100% abzusichern, sondern sicher genug zu sein, um die wichtigen und relevanten Prozesse zu schützen.
Mittels FUD erzeugt man vielleicht die initiale Aufmerksamkeit, aber um auch wirklich etwas zu bewegen, bedarf es einer guten Argumentation und Darstellung der Relevanz fürs Business.
Wirtschaftliche Gründe für Security
Die Kunst, eine erfolgreiche Kommunikation mit dem Management zu führen, besteht darin, Argumente zu nutzen, die wirtschaftliche Relevanz haben. Häufig sind dies Argumente, die in erster Linie nichts mit Security zu tun haben, bei dem der Sicherheitsaspekt lediglich ein Nebenprodukt ist und nicht das primäre Ziel.
Ein anschauliches Beispiel ist das Asset-Inventar. Es liefert Ihnen nicht nur einen ersten Überblick über schützenswerte Komponenten und Prozesse und gegebenenfalls deren Schwachstellen. Mit einer Inventarisierungsliste als Grundlage lassen sich oftmals auch Lagerbestände senken, Kommunikationswege (beispielsweise zwischen IT und Technik) verbessern und sichere Betriebsprozesse erarbeiten.
Eine solche Argumentation macht es für Sie in der Regel einfacher, auch die Produktions- oder Werksleitung zu überzeugen.
Heben Sie hervor, dass es die grundlegende Aufgabe der IT-Security ist, die Funktionsfähigkeit der IT-Systeme sicherzustellen. Diese wiederum haben zur Aufgabe, die eigentlichen wirtschaftlichen Prozesse (zum Beispiel die Produktion von Wirtschaftsgütern) zu gewährleisten. Funktionieren die IT-Systeme eines Unternehmens, so funktionieren auch die wirtschaftlichen Prozesse.
Vorbereitung und Wording
Berücksichtigen Sie für eine erfolgreiche Kommunikation mit dem Management, dass eine Führungskraft ihrer Aufgabe entsprechend entscheiden möchte. Also liefern Sie eine Entscheidungsvorlage, auf deren Basis entschieden werden kann. Nehmen Sie Entscheidungen nicht vorweg.
Nutzen Sie Begrifflichkeiten aus dem Business-Umfeld, die zur gewohnten Management-Sprache zählen, wie „Risikominimierung“, „Erhöhung der Verfügbarkeit“, „Prozessoptimierung“ und „Reduktion von Human Error“.
Fazit
Für eine erfolgreiche Kommunikation mit dem Management gilt: Je besser Sie sich auf Ihr Gegenüber einlassen und seinen oder ihren Standpunkt verstehen, desto besser können Sie Ihre Anliegen kommunizieren. Bedenken Sie, dass es im Unternehmenskontext voranging um strategische und wirtschaftliche Ziele geht. Hier interessieren vor allem neue Chancen, Wachstumspotentiale und die Absicherung dessen, was man bereits erreicht hat. Zeigen Sie daher, welche Auswirkungen die einzelne Security-Maßnahme auf das Unternehmen und seine wirtschaftlichen Ziele hat.
Das „Branding“ und die „Softskills“ sind hier wichtiger, als Sie vielleicht annehmen! Gern gesehen sind auch Präzedenzen und branchennahe Beispiele.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
