Wenn keine Nachrichten gute Nachrichten sind

Cybersecurity: So weiss der Kunde, dass sich seine Investitionen lohnen

Uhr
von Richard Werner, Business Consultant bei Trend Micro

Wenn die Cybersecurity gut funktioniert, erfährt sie in vielen Unternehmen nur wenig Aufmerksamkeit. Das kann für Partner auch eine Herausforderung darstellen: Wie können sie ihren Kunden erklären, dass sich deren Investitionen in die Cybersicherheit lohnen, gerade weil sie nichts davon mitkriegen?

Als Vertreter eines Security-Herstellers kommt es durchaus vor, dass ich auf den CISO eines zufriedenen Kunden treffe – dieser sich jedoch nicht daran erinnern kann, eine unserer Lösungen einzusetzen. Passiert mir so etwas, weiss ich, dass unser Produkt einen guten – vielleicht sogar zu guten – Job gemacht hat. Denn auf dieser Ebene werden Manager häufig vor allem über Herausforderungen und Probleme informiert, allerdings selten darüber, dass alles erwartungsgemäss funktioniert und, wie die letzten Jahre auch, keine Schwierigkeiten aufgetreten sind.

Im Channel begegnet man den gleichen Herausforderungen – allerdings auf einer anderen Ebene. Hier erlebt man häufig die "Versicherungsdiskussion": Gerade wenn es um Budgetfragen geht, wird zwangsläufig betrachtet, ob Investitionen in Cybersecurity-Technologien gerechtfertigt sind. Security wird auf dieser Ebene häufig als "Versicherung" wahrgenommen. Der Hintergrund dafür ist, dass gerade auf Geschäftsführerebene das Thema Compliance sehr stark präsent ist und Security dort vor allem deshalb wahrgenommen wird, weil sie die allgemeinen oder branchenspezifischen rechtlichen Verpflichtungen erfüllt. Sie gilt dort praktisch als Versicherung, die im schlimmsten Fall (dem Compliance-Verstoss) die rechtlichen Konsequenzen abmildert.

Wie bei jeder Versicherung wird dann natürlich auch bei der Security hinterfragt, ob nicht zu viel dafür ausgegeben wird – man also "überversichert" ist. Diese Situation besteht übrigens eigentlich nur dort, wo es nie zu einem echten Cyber-Vorfall kam. Denn wer einmal einen massiven Cyberangriff durchlebt hat, weiss, dass Security deutlich mehr ist als nur eine "Versicherung".

Die Ursachen verstehen

Dass IT-Security wichtig ist, wird heute wohl kaum noch jemand bestreiten. Welche Ausgaben dafür notwendig sind, schon. Diese Frage ist grundsätzlich auch berechtigt, wenn sie aus den richtigen Gründen gestellt wird. Denn die IT-Landschaft und ihre Bedeutung für die Unternehmen ändern sich ständig.

Eine Diskussion zum Thema "Brauchen wir das wirklich?" muss deshalb erst einmal grundsätzlich hinterfragt und verstanden werden: Was sind die Hintergründe der Frage? Befindet sich das Unternehmen möglicherweise gerade in einer Umbruchsphase wie der Einführung einer neuen IT-Plattform? Oder gibt es organisatorische Herausforderungen? Dazu gehört beispielsweise die Schulung von Mitarbeitenden für eine spezielle Lösung. IT-Security ist in den meisten Unternehmen ein Kostenfaktor, den man so gering wie möglich halten möchte. Und dabei geht es häufig eher um die laufenden organisatorischen und personellen Kosten als die Lizenzgebühren.

Diskussionen sind Chancen

Deshalb mein Rat: Man sollte sich dieser Diskussion stellen! In der Security gibt es alle drei bis vier Jahre einen bahnbrechenden neuen Ansatz, der neben mehr Sicherheit auch wirtschaftliche Vorteile bringen kann. Hinzu kommt, dass sich auch die Bedrohungslage beständig wandelt. Falls die von einem Security-Anbieter einst empfohlene Security-Strategie hinterfragt wird, sollte er das nicht als persönliche Kritik sehen! Wenn bislang nichts vorgefallen ist, bestätigt das doch nur seine Expertise. Im Laufe der Zeit ist es nur natürlich, die Ist-Situation zu hinterfragen und auch etwas in die Zukunft zu blicken. Wo will das Unternehmen hin und was will es erreichen? Gibt es organisatorischen Wandel, der zu sinnvollen Veränderungen führen kann, vielleicht sogar muss? Security-Dienstleister sollten ihre Kunden dabei unterstützen, die richtigen Entscheidungen zu treffen.

Selbst wenn punktuell Lösungen hinterfragt werden, gibt es dafür oftmals tiefergehende Gründe. So sind vollständig automatisierte Sicherheitslösungen unter Einsatz künstlicher Intelligenz durchaus in der Lage, schwierige Situationen selbstständig zu meistern. Das verstehen und interpretieren der Logs und Reports kann allerdings eine (organisatorische) Herausforderung darstellen. Dies erlebt man beispielsweise, wenn ein Mitarbeiter, der sich bislang um das Thema kümmerte, das Unternehmen verlässt. Häufig wird dann nicht nur der Ex-Mitarbeiter, sondern sein gesamtes Arbeitsumfeld in Frage gestellt.

Die Rolle als Security-Experte

Man sollte offen mit dieser Diskussion umgehen! Man sollte darauf hinweisen, dass man seinen Kunden in den letzten Jahren vor Schaden bewahrt und somit seine Aufgabenstellung erfüllt hat. Dies gilt gerade dann, wenn er davon gar nichts mitbekommen hat. Der Dienstleister ist der Experte für IT-Security und das ist es, was der Kunde benötigt. Denn die grundsätzlich sinnvolle Frage, ob die Security noch den Anforderungen der Zeit entspricht, sollte nicht alleine über die Geldbörse diskutiert werden. Dass dabei auch viel falsch gemacht werden kann, ist ja durchaus in den Zeitungen zu lesen: Die Anzahl betroffener Firmen ist in den letzten Jahren massiv gestiegen, was auch daran liegt, dass immer mehr Kriminelle Unternehmen angreifen.

Gleichzeitig gibt es auch modernere Lösungen sowie neue Ansätze für Firmen. Durch Konsolidierung von Produkten sowie Automatisierung von Aufgaben lassen sich Kosten einsparen, ohne den Wirkungsgrad der Security zu vermindern. So kann zum Beispiel die automatisierte Zusammenarbeit zwischen Endpoint, Cloud und Netzwerklösungen organisatorische Herausforderungen und Kosten abmildern. Man sollte seinem Kunden anbieten, hier bei der Betrachtung zu helfen.

Den Stand der Technik erreichen und halten

Immerhin ist Security kein Zustand, der erreicht wird, sondern ein Prozess der ständig überprüft werden muss. So empfiehlt beispielsweise der Schweizer IKT-Minimalstandard, für grösstmögliche Sicherheit "[…] die eigenen Prozesse und eingesetzten Sicherheitstechnologien dynamisch dem neusten Stand der Technik oder sich wandelnden Bedrohungslage […]" anzupassen (Seite 38, Punkt 3.2.4). Es ist "Security Best Practice" und teilweise unter Compliance-Gesichtspunkten auch vorgegeben, von Zeit zu Zeit die eingesetzte Lösung zu prüfen und zu modernisieren. Diese Anforderung ist für viele mittelständische Unternehmen nicht leicht umzusetzen, denn Cybersecurity-Know-how ist, wie andere Spezialisierungen auch, schnell veraltet und muss immer wieder aktualisiert werden. Hier suchen viele Unternehmen Partner, die ihnen diese Herausforderungen abnehmen. Je komplexer die Anforderungen auf Unternehmensseite werden, desto wichtiger sind Hilfestellungen von Partnern. Als Security-Spezialist man in der Lage, seinem Kunden solche Leistungen anzubieten und ihn so auf dem Weg besser zu unterstützen.

Daraus können sich auch neue Geschäftschancen ergeben: Gerade kleine und mittlere Unternehmen sind immer häufiger auf der Suche nach einem Managed Service Provider, um ihre IT-Abteilungen zu entlasten. Besonders beim Thema Security ist dafür jedoch ein Vertrauensverhältnis zwischen Partner und Kunden sehr wichtig. Ziel muss sein, dass der Kunde nicht nur "auf dem Papier" sicher ist, sondern sich auch stets so fühlt – gerade, wenn er nichts von der Security hört.

Noch ein Rat zum Schluss: Sicherheit (nicht nur in der IT) hat die Tendenz, eher restriktiv zu sein und Verbote auszusprechen. Diese treffen selten auf Gegenliebe, wenn sie nicht gut begründet sind. In der IT-Security ist hier vor allem das Politikum "Cloud" zu nennen. Man sollte nicht den Fehler begehen, dieses Thema mit Pauschalaussagen abzubügeln! Die Realität ist, dass Unternehmen bereits in der Cloud sind – hier geht es um die Wettbewerbsfähigkeit eines Kunden. Die Aufgabe der IT-Security ist es, diese Wettbewerbsfähigkeit abzusichern. Das bedeutet, dem Unternehmen die Flexibilität zu geben, diejenigen IT-Systeme zu verwenden, die es benötigt. Der Security-Spezialist sollte dafür die Grundlagen schaffen und deutlich machen, dass nicht er als Partner darüber entscheidet, welche Form der IT für seine Kunden relevant ist. Er sollte aber auch vermitteln, dass er hier beraten kann und die Geschäftsmodelle seines Kunden mit Security unterstützt!

Webcode
DPF8_207542

Kommentare

« Mehr