Innovation vs. Cybersecurity

Innovation braucht Sicherheit

| Autor / Redakteur: Sebastian Heierhoff / Peter Schmitz

Das Spannungsverhältnis zwischen Innovation und Cybersecurity ist sowohl aus Konsumenten- als auch Unternehmenssicht eine Herausforderung.
Das Spannungsverhältnis zwischen Innovation und Cybersecurity ist sowohl aus Konsumenten- als auch Unternehmenssicht eine Herausforderung. (Bild: gemeinfrei)

Das Thema Cybersecurity kommt aufgrund des hohen Wettbewerbsdrucks gerade bei innovativen Produktneuerungen häufig zu kurz. Ein bekanntes Beispiel dafür war die Prozessor-Sicherheitslücke Spectre. Deshalb wird es vermutlich auch in diesem Jahr wieder zu vergleichbaren Fällen kommen. Viele Firmen haben die Notwendigkeit zu handeln noch nicht erkannt oder ihnen fehlt der richtige Ansatz.

Vielleicht erinnern Sie sich an die Sicherheitslücke Spectre, die von Spiegel online mit „Schnelligkeit first, Bedenken second?“ betitelt wurde. Sicher kein Einzelfall, aber ein gutes Beispiel für eine Prozessor-Innovation, die rasch auf den Markt gebracht wurde, sich im Nachhinein aber als unsicher herausgestellt hat. Das Spannungsverhältnis zwischen Innovation und Cybersecurity ist sowohl aus Konsumenten- als auch Unternehmenssicht eine Herausforderung: Das Bewusstsein für Cybersecurity und Datenschutz hat bei deutschen Konsumenten in den letzten Jahren stark zugenommen. Gleichzeitig besteht eine hohe Affinität zu neuen Technologien. Häufig tritt deshalb bei der Entscheidung für oder gegen die Nutzung einer neuen App die Cybersecurity in den Hintergrund und der Innovationsaspekt gewinnt. Gerade hochkritische personenbezogene Daten sind damit einem Missbrauchsrisiko ausgesetzt.

Wie bei allen Investitionsentscheidungen gilt es auch bei der Sicherheit Kosten, Risiken und Nutzen abzuwägen. Erstens ist es sehr kostspielig Cybersecurity-Maßnahmen nachträglich in ein Produkt einzubauen. Außerdem kann es, auch wenn der Sicherheitsaspekt von Anfang an eingeplant wurde, aufgrund der hohen Komplexität zu Zeitverzögerungen im Projektablauf führen. Unternehmen riskieren Gewinnverluste, wenn sie mit einer Innovation nicht als Erster auf dem Markt sind. Wenn eine Innovation zudem nicht so gut wie erhofft am Markt ankommt, wäre das Geld für aufwändige Sicherheitsmaßnahmen eventuell eine Fehlentscheidung gewesen. Wird das Produkt jedoch ein Erfolg, ist es häufig zu spät für Nachbesserungen. Es drohen dann hohe Schäden, nicht nur durch Strafen, die beispielsweise aus der EU-Datenschutzgrundverordnung resultieren, sondern auch durch Reputationsverlust und Kundenabwanderung.

Backdoors in der Produktion von IoT-Geräten schließen

IT-Sicherheit in der Fertigung

Backdoors in der Produktion von IoT-Geräten schließen

17.01.19 - Ein System ist nur so sicher wie seine schwächste Komponente. Das gilt auch für IoT-Applikationen. Daher kommt der Fertigung von IoT-Geräten eine besondere Bedeutung zu. lesen

Was sind die Ursachen des Problems?

Für die Kluft zwischen Innovation und Cybersecurity kann es mehrere Gründe geben:

Ursache 1: Die Organisationsstruktur ist grundsätzlich verschieden. Die Cybersecurity-Abteilungen vieler, insbesondere großer Konzerne, sind häufig hochgradig zentralisiert und spezialisiert. Bei Innovationsprozessen ist jedoch eine zunehmende Dezentralisierung zu beobachten. Innovative Produkte werden häufig vom Fachbereich selbst, nicht selten in Zusammenarbeit mit externen Dienstleistern entwickelt.

Ursache 2: Die Arbeitsweise der Teams unterscheidet sich. Die Vorgehensweise der Cybersecurity ist zudem meist wenig agil. Das kann dazu führen, dass die Herangehensweise nicht mit den in Innovationsprojekten eingesetzten, agilen Methoden kompatibel ist. Im Extremfall entsteht dadurch bei den Cybersecurity-Experten sogar eine kritische Einstellung gegenüber Innovationsprojekten.

Ursache 3: Es wird ein anderer Fokus gesetzt. Aufgrund von Ressourcenrestriktionen liegt der Fokus beim Thema Cybersecurity meist auf großen Anwendungen mit vielen Daten, welche aktuell als potenzielles Risiko wahrgenommen werden. Kleinen, hochinnovativen Prototypen, die häufig mit neuartigen Technologien umgesetzt werden, wird wenig oder keine Beachtung geschenkt, da sie z.B. nur wenige Kundendaten enthalten. Außerdem fehlt der Cybersecurity-Abteilung häufig die Zeit, sich ausreichend mit neuen Technologien auseinanderzusetzen und Expertenwissen für die Beratung der Fachbereiche aufzubauen.

Ursache 4: Die Mitarbeiter verfügen nicht über die richtigen Fähigkeiten. Oft verfügen die Mitarbeiter in Innovationsabteilungen oder -projekten über keine ausreichende Cybersecurity-Kompetenz. Aufgrund dieses Unwissens oder früherer negativer Erfahrungen, wird die Cybersecurity-Abteilung erst spät eingebunden und kann dann häufig in der kurzen Zeit keine Lösung erarbeiten, insbesondere wenn der Marktstart des Produktes kurz bevorsteht. Während es Innovations-Experten gewohnt sind, Althergebrachtes in Frage zu stellen und andere Funktionen beratend hinzuzuziehen, entspricht diese Arbeitsweise häufig nicht dem Vorgehen der Cybersecurity-Experten.

Ursache 5: Management und Firmenkultur fördern den Konflikt. Anreize für Mitarbeiter z.B. in Form von Bonuszahlungen, können Druck erzeugen neue Funktionen möglichst schnell zur Marktreife zu bringen. Cybersecurity hingegen wird häufig nicht in die Zielvereinbarungen der Mitarbeiter aufgenommen. Auch unternehmenskulturelle Aspekte wie mangelnde Erreichbarkeit der Ansprechpartner, fehlender informeller Austausch oder Wissensweitergabe sowie mangelndes Bewusstsein für die Bedeutung der Informationssicherheit, spielen in diesem Zusammenhang eine maßgebliche Rolle.´

Mehr Security-Ressourcen durch Bug Bounties

Bug-Bounty-Programme

Mehr Security-Ressourcen durch Bug Bounties

18.10.18 - Cyberangriffe werden immer häufiger und Sicherheitslücken wirken sich zunehmend auch auf die Geschäftsmodelle von Unternehmen aus. Da so viele kritische Daten online gespeichert werden, war die Bedeutung der Sicherung digitaler Ressourcen noch nie so groß wie heute. Bug-Bounty-Programme sind eine Möglichkeit, Schwachstellen zu entdecken, bevor sie von Kriminellen gefunden werden. lesen

So lassen sich Innovation und Sicherheit vereinbaren

Viel wichtiger als schnell einen Schuldigen auszumachen, ist es passende Lösungsansätze zu finden. Dabei haben sich folgende Maßnahmen bewährt:

Maßnahme 1: Bestimmung des aktuellen Reifegrades des Unternehmens hinsichtlich Cybersecurity und Innovation. Abhängig vom Reifegrad muss die Integration der Cybersecurity in Innovationsprojekte bzw. -abteilungen gestaltet werden.

Maßnahme 2: Anpassung der Organisationsstruktur und Cybersecurity-Vorgaben an agile Vorgehensweisen. Grundsätzlich bewährt sich ein beratungsähnlicher Ansatz, bei dem Mitarbeiter der Cybersecurity-Abteilung die Innovationsprojekte bei der Lösungsfindung unterstützen. In manchen Fällen ist dafür die Wahl einer neuen Organisationsstruktur notwendig, die zur Gesamtorganisation des Unternehmens passen muss. Oft bietet sich dabei die Organisation eines Teils der Cybersecurity-Mitarbeiter in einem Pool an, welche bei Bedarf von den Produktteams (häufig nach dem Organisationsmodell von Spotify Tribes/ Chapter genannt) hinzugezogen werden.

Maßnahme 3: Weiterbildung und Einstellen geeigneter Mitarbeiter nach neuem Anforderungsprofil. Neben dem Schaffen eines Cybersecurity-Bewusstseins gilt es auch, eine neue Art von Mitarbeiter für das Thema Cybersecurity zu gewinnen. Hierbei kommt es häufig nicht auf tiefgehendes technisches Cybersecurity-Wissen, sondern primär auf ein Verständnis der zentralen Fragestellungen und Sichtweise aus Business-Perspektive an.

Maßnahme 4: Sicherstellen des Mehrwerts der Cybersecurity aus Business-Sicht. Dies kann z.B. durch die Bereitstellung eines zentralen Technologie-Stacks durch oder in Zusammenarbeit mit der Cybersecurity-Abteilung erreicht werden. So könnte eine zentrale Cloud-Lösung automatisch Verschlüsselung oder EU-Datenschutzgrundverordnung berücksichtigen. Der Fachbereich kann Zeit bei der Auswahl sparen, die bereitgestellte Lösung mit wenigen Zeilen Code einbinden und sich gleichzeitig sicher sein, eine schnellere Freigabe zu erhalten. Das erfordert jedoch eine aktive Auseinandersetzung der Cybersecurity mit Technologie-Innovationen, um als Vorreiter die entsprechende Auswahl zu beeinflussen und nicht nur als nachträglicher Begutachter dazustehen. Die Automatisierung von Standardaufgaben mit Hilfe künstlicher Intelligenz, in Form von automatischem Code-Scanning, aber auch die Einbindung externer Dritter, über ein Bug Bounty Programm, kann dabei helfen, die notwendige Kapazität bei den Security-Experten zu schaffen.

Cybersecurity im Entwicklungsprozess rein als Kostenstelle zu betrachten, greift in Zeiten zunehmender Digitalisierung, IoT und Industrie 4.0 zu kurz, da die Angriffe von außen stetig zunehmen und das Risiko von Reputationsverlusten, Kundenabwanderungen oder kostenintensiven Ausfällen zu groß ist. Den Sicherheitsaspekt im Innovationsprozess mit zu berücksichtigen, stellt somit eine Grundvoraussetzung dar, damit Unternehmen das Potenzial von Neuentwicklungen voll ausschöpfen können.

Über den Autor: Sebastian Heierhoff beschäftigt sich als Manager im Cybersecurity Consulting-Team bei Capgemini Invent mit der sicheren digitalen Transformation von Unternehmen. Er berät Kunden aller Branchen von der Cybersecurity-Reifegradbestimmung und anschließender Strategiedefinition über die Einführung von Organisationstrukturen, Richtlinien und Prozessen bis hin zur Vorbereitung und Durchführung von Sensibilisierungsmaßnahmen und Zertifizierungen für Mitarbeiter.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45745658 / Mitarbeiter-Management)