Suchen

Innovation vs. Cybersecurity Innovation braucht Sicherheit

| Autor / Redakteur: Sebastian Heierhoff / Peter Schmitz

Das Thema Cybersecurity kommt aufgrund des hohen Wettbewerbsdrucks gerade bei innovativen Produktneuerungen häufig zu kurz. Ein bekanntes Beispiel dafür war die Prozessor-Sicherheitslücke Spectre. Deshalb wird es vermutlich auch in diesem Jahr wieder zu vergleichbaren Fällen kommen. Viele Firmen haben die Notwendigkeit zu handeln noch nicht erkannt oder ihnen fehlt der richtige Ansatz.

Firmen zum Thema

Das Spannungsverhältnis zwischen Innovation und Cybersecurity ist sowohl aus Konsumenten- als auch Unternehmenssicht eine Herausforderung.
Das Spannungsverhältnis zwischen Innovation und Cybersecurity ist sowohl aus Konsumenten- als auch Unternehmenssicht eine Herausforderung.
(Bild: gemeinfrei)

Vielleicht erinnern Sie sich an die Sicherheitslücke Spectre, die von Spiegel online mit „Schnelligkeit first, Bedenken second?“ betitelt wurde. Sicher kein Einzelfall, aber ein gutes Beispiel für eine Prozessor-Innovation, die rasch auf den Markt gebracht wurde, sich im Nachhinein aber als unsicher herausgestellt hat. Das Spannungsverhältnis zwischen Innovation und Cybersecurity ist sowohl aus Konsumenten- als auch Unternehmenssicht eine Herausforderung: Das Bewusstsein für Cybersecurity und Datenschutz hat bei deutschen Konsumenten in den letzten Jahren stark zugenommen. Gleichzeitig besteht eine hohe Affinität zu neuen Technologien. Häufig tritt deshalb bei der Entscheidung für oder gegen die Nutzung einer neuen App die Cybersecurity in den Hintergrund und der Innovationsaspekt gewinnt. Gerade hochkritische personenbezogene Daten sind damit einem Missbrauchsrisiko ausgesetzt.

Wie bei allen Investitionsentscheidungen gilt es auch bei der Sicherheit Kosten, Risiken und Nutzen abzuwägen. Erstens ist es sehr kostspielig Cybersecurity-Maßnahmen nachträglich in ein Produkt einzubauen. Außerdem kann es, auch wenn der Sicherheitsaspekt von Anfang an eingeplant wurde, aufgrund der hohen Komplexität zu Zeitverzögerungen im Projektablauf führen. Unternehmen riskieren Gewinnverluste, wenn sie mit einer Innovation nicht als Erster auf dem Markt sind. Wenn eine Innovation zudem nicht so gut wie erhofft am Markt ankommt, wäre das Geld für aufwändige Sicherheitsmaßnahmen eventuell eine Fehlentscheidung gewesen. Wird das Produkt jedoch ein Erfolg, ist es häufig zu spät für Nachbesserungen. Es drohen dann hohe Schäden, nicht nur durch Strafen, die beispielsweise aus der EU-Datenschutzgrundverordnung resultieren, sondern auch durch Reputationsverlust und Kundenabwanderung.

Was sind die Ursachen des Problems?

Für die Kluft zwischen Innovation und Cybersecurity kann es mehrere Gründe geben:

Ursache 1: Die Organisationsstruktur ist grundsätzlich verschieden. Die Cybersecurity-Abteilungen vieler, insbesondere großer Konzerne, sind häufig hochgradig zentralisiert und spezialisiert. Bei Innovationsprozessen ist jedoch eine zunehmende Dezentralisierung zu beobachten. Innovative Produkte werden häufig vom Fachbereich selbst, nicht selten in Zusammenarbeit mit externen Dienstleistern entwickelt.

Ursache 2: Die Arbeitsweise der Teams unterscheidet sich. Die Vorgehensweise der Cybersecurity ist zudem meist wenig agil. Das kann dazu führen, dass die Herangehensweise nicht mit den in Innovationsprojekten eingesetzten, agilen Methoden kompatibel ist. Im Extremfall entsteht dadurch bei den Cybersecurity-Experten sogar eine kritische Einstellung gegenüber Innovationsprojekten.

Ursache 3: Es wird ein anderer Fokus gesetzt. Aufgrund von Ressourcenrestriktionen liegt der Fokus beim Thema Cybersecurity meist auf großen Anwendungen mit vielen Daten, welche aktuell als potenzielles Risiko wahrgenommen werden. Kleinen, hochinnovativen Prototypen, die häufig mit neuartigen Technologien umgesetzt werden, wird wenig oder keine Beachtung geschenkt, da sie z.B. nur wenige Kundendaten enthalten. Außerdem fehlt der Cybersecurity-Abteilung häufig die Zeit, sich ausreichend mit neuen Technologien auseinanderzusetzen und Expertenwissen für die Beratung der Fachbereiche aufzubauen.

Ursache 4: Die Mitarbeiter verfügen nicht über die richtigen Fähigkeiten. Oft verfügen die Mitarbeiter in Innovationsabteilungen oder -projekten über keine ausreichende Cybersecurity-Kompetenz. Aufgrund dieses Unwissens oder früherer negativer Erfahrungen, wird die Cybersecurity-Abteilung erst spät eingebunden und kann dann häufig in der kurzen Zeit keine Lösung erarbeiten, insbesondere wenn der Marktstart des Produktes kurz bevorsteht. Während es Innovations-Experten gewohnt sind, Althergebrachtes in Frage zu stellen und andere Funktionen beratend hinzuzuziehen, entspricht diese Arbeitsweise häufig nicht dem Vorgehen der Cybersecurity-Experten.

Ursache 5: Management und Firmenkultur fördern den Konflikt. Anreize für Mitarbeiter z.B. in Form von Bonuszahlungen, können Druck erzeugen neue Funktionen möglichst schnell zur Marktreife zu bringen. Cybersecurity hingegen wird häufig nicht in die Zielvereinbarungen der Mitarbeiter aufgenommen. Auch unternehmenskulturelle Aspekte wie mangelnde Erreichbarkeit der Ansprechpartner, fehlender informeller Austausch oder Wissensweitergabe sowie mangelndes Bewusstsein für die Bedeutung der Informationssicherheit, spielen in diesem Zusammenhang eine maßgebliche Rolle.´

So lassen sich Innovation und Sicherheit vereinbaren

Viel wichtiger als schnell einen Schuldigen auszumachen, ist es passende Lösungsansätze zu finden. Dabei haben sich folgende Maßnahmen bewährt:

Maßnahme 1: Bestimmung des aktuellen Reifegrades des Unternehmens hinsichtlich Cybersecurity und Innovation. Abhängig vom Reifegrad muss die Integration der Cybersecurity in Innovationsprojekte bzw. -abteilungen gestaltet werden.

Maßnahme 2: Anpassung der Organisationsstruktur und Cybersecurity-Vorgaben an agile Vorgehensweisen. Grundsätzlich bewährt sich ein beratungsähnlicher Ansatz, bei dem Mitarbeiter der Cybersecurity-Abteilung die Innovationsprojekte bei der Lösungsfindung unterstützen. In manchen Fällen ist dafür die Wahl einer neuen Organisationsstruktur notwendig, die zur Gesamtorganisation des Unternehmens passen muss. Oft bietet sich dabei die Organisation eines Teils der Cybersecurity-Mitarbeiter in einem Pool an, welche bei Bedarf von den Produktteams (häufig nach dem Organisationsmodell von Spotify Tribes/ Chapter genannt) hinzugezogen werden.

Maßnahme 3: Weiterbildung und Einstellen geeigneter Mitarbeiter nach neuem Anforderungsprofil. Neben dem Schaffen eines Cybersecurity-Bewusstseins gilt es auch, eine neue Art von Mitarbeiter für das Thema Cybersecurity zu gewinnen. Hierbei kommt es häufig nicht auf tiefgehendes technisches Cybersecurity-Wissen, sondern primär auf ein Verständnis der zentralen Fragestellungen und Sichtweise aus Business-Perspektive an.

Maßnahme 4: Sicherstellen des Mehrwerts der Cybersecurity aus Business-Sicht. Dies kann z.B. durch die Bereitstellung eines zentralen Technologie-Stacks durch oder in Zusammenarbeit mit der Cybersecurity-Abteilung erreicht werden. So könnte eine zentrale Cloud-Lösung automatisch Verschlüsselung oder EU-Datenschutzgrundverordnung berücksichtigen. Der Fachbereich kann Zeit bei der Auswahl sparen, die bereitgestellte Lösung mit wenigen Zeilen Code einbinden und sich gleichzeitig sicher sein, eine schnellere Freigabe zu erhalten. Das erfordert jedoch eine aktive Auseinandersetzung der Cybersecurity mit Technologie-Innovationen, um als Vorreiter die entsprechende Auswahl zu beeinflussen und nicht nur als nachträglicher Begutachter dazustehen. Die Automatisierung von Standardaufgaben mit Hilfe künstlicher Intelligenz, in Form von automatischem Code-Scanning, aber auch die Einbindung externer Dritter, über ein Bug Bounty Programm, kann dabei helfen, die notwendige Kapazität bei den Security-Experten zu schaffen.

Cybersecurity im Entwicklungsprozess rein als Kostenstelle zu betrachten, greift in Zeiten zunehmender Digitalisierung, IoT und Industrie 4.0 zu kurz, da die Angriffe von außen stetig zunehmen und das Risiko von Reputationsverlusten, Kundenabwanderungen oder kostenintensiven Ausfällen zu groß ist. Den Sicherheitsaspekt im Innovationsprozess mit zu berücksichtigen, stellt somit eine Grundvoraussetzung dar, damit Unternehmen das Potenzial von Neuentwicklungen voll ausschöpfen können.

Über den Autor: Sebastian Heierhoff beschäftigt sich als Manager im Cybersecurity Consulting-Team bei Capgemini Invent mit der sicheren digitalen Transformation von Unternehmen. Er berät Kunden aller Branchen von der Cybersecurity-Reifegradbestimmung und anschließender Strategiedefinition über die Einführung von Organisationstrukturen, Richtlinien und Prozessen bis hin zur Vorbereitung und Durchführung von Sensibilisierungsmaßnahmen und Zertifizierungen für Mitarbeiter.

(ID:45745658)