IT-Sicherheit und Datenschutz: Wichtige Faktoren

Themenreihe: Digitale Transformation

Nun ja, jetzt kann man sich fast streiten, wenn ich behaupte IT-Sicherheit wird fast noch wichtiger als je zuvor. Doch tatsächlich war die IT-Sicherheit schon immer ein wichtiges Thema in der Informationstechnik. Doch es liegt auf der Hand: je mehr Geschäftsprozesse digital abgebildet werden, desto höher werden auch die Anforderungen an die IT-Sicherheit.

Beleuchten wir im Beispiel der digitalen Bäckerei einmal die Tatsache, dass diese nun vollständig automatisch Bestellungen bei ihren Lieferanten durchführt und diese Kommunikation gehacked wird. Die Folgen für die Bäckerei könnten fatal sein. So wäre vorstellbar, dass eine tatsächliche Bestellung verfälscht wird und die Bäckerei zu wenig Zutaten geliefert bekommt, wodurch diese dann Ihre Waren nicht bzw. nicht zeitnah herstellen kann. OK, ich gebe zu – dafür hat der Bäcker einen Plan B in der Tasche und besorgt sich die fehlenden Zutaten beim Lieferanten um die Ecke. Aber was, wenn die Bestellung in die andere Richtung manipuliert wurde?

Dieses ist definitiv nur ein einfaches und vielleicht noch harmloses Beispiel für eine Hack-Attacke. Aber dieses Beispiel zeigt eindeutig, wie wichtig die Absicherung digitaler Geschäftsprozesse wirklich ist. Setzen Sie dieses einfache Beispiel einmal in Ihre Situation um und denken Sie einmal darüber nach, welche Auswirkungen das für Ihr Geschäft haben könnte?

Ein Punkt, der immer wieder gerne getrennt gesehen wird, den man meiner Meinung nach aber nicht von der IT-Sicherheit trennen kann, ist der Datenschutz. Es gibt gesetzliche Regelungen, die den Datenschutz betreffen. Neu sind die überarbeiteten EU-Gesetze hierzu, die ab Mai 2018 in jedem Unternehmen innerhalb der EU umgesetzt sein müssen. Das EU-DSGVO beschreibt den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Natürlich beschreibt die Datenschutz-Richtlinie auch, wie prozessual mit personenbezogenen Daten umzugehen ist. Aber auch der Ort der Speicherung dieser Daten ist IT-sicherheitstechnisch entsprechend abzusichern. Auch wenn viele Unternehmen an dieser Stelle umfangreiche IT-Sicherheitsmaßnahmen umgesetzt haben, kommt es immer wieder vor, dass gerade die personenbezogenen und besonders schützenswerten Daten gehacked werden. Der Imageschaden für das betroffene Unternehmen wirkt hier sehr stark. Ein Grund also, sich mit diesem Thema richtig zu beschäftigen und nicht nur Gesetzes-Richtlinien innerhalb des Unternehmens zu verwalten.

IT-Sicherheit ist ein kontinuierlicher Prozess, der in der IT-Architektur anfängt und bis weit in den täglichen IT-Betrieb hinein reicht. In den meisten Fällen gibt es hier einen Verantwortungsschnitt, der unter Umständen fatale Folgen haben könnte. So wird die IT oftmals von einem Dienstleister betrieben. Dieser betreibt die IT-Infrastruktur meist nach seinen Standards und Sicherheits-Ansprüchen. Um hier die Sicherheitsansprüche des Unternehmens mit einfließen zu lassen bedarf es mehr, als nur Verträge zu unterzeichnen.

Leider stellen wir in unseren Beratungsaufträgen sehr oft fest, dass es im Unternehmen seit dem Zeitpunkt des Outsourcings keinen Mitarbeiter mehr gibt, der das Thema IT verantwortet. Unserer geschlossenen Meinung nach bedeutet ein Outsourcing, dass nur der Teil der Mannschaft, die den IT-Betrieb verantworten, auch wirklich nicht mehr im Unternehmen benötigt werden. Das sind etwa 70 – 80 % der gesamten IT-Betriebsmannschaft. Die restlichen 20 – 30 % beschäftigen sich genau mit den Theman, um die sich ein IT-Dienstleister nicht kümmert:

  • IT-Strategie
  • IT-Sicherheit
  • IT-Architektur
  • Business-Analyse und IT-Alignment
  • IT-Revision

Dieser Fehlstand wird meist durch den Job der Providersteuerung versucht wett zu machen, was aber in den meisten Fällen nur ein Verwalten von Verträgen darstellt. Denn die Aufgabe und das IT-Verständnis geht in jedem Unternehmen weit über die Providersteuerung hinaus. Das bedeutet, dass genau an dieser Stelle – insbesondere bei einer radikalen Umsetzung der Digital Business Transformation – extremer Handlungsbedarf besteht.

Und nun kann man behaupten wir vertrauen dem IT-Dienstleister und brauchen keine IT-Revision. Richtig. Vertrauen ist ein gutes Thema. Aber dennoch muss das Unternehmen in der Lage sein Entscheidungen zu seiner outgesourcten IT treffen zu können. Und das geht nur, wenn dieses auch das Wissen rund um seine outgesourcte IT-Landschaft hat. Deswegen ist es absolut wichtig, sich auch mit dem Thema IT und insbesondere IT-Sicherheit zu beschäftigen, auch wenn die IT und dessen Betrieb outgesourced wurde.

Welche IT-Sicherheitsmaßnahmen setze ich um?

Wir von Knowhere Consulting können Ihnen diese Frage nicht pauschal beantworten, da wir die in Ihrem Unternehmen eingesetzte IT-Landschaft und Ihre Geschäftsprozesse nicht kennen. Sicher. Wir haben ein Gefühl dafür, was sie brauchen werden. Wenn Sie aber genau wissen wollen, welche Maßnahmen umgesetzt werden sollten, dann schauen Sie sich doch einmal unseren IT-Checkup an! Oder sprechen Sie direkt mit uns!