Cybersecurity im Wandel digitaler Geschäftsmodelle

Publish date:

Nur ein leichtgewichtiger und pragmatischer Cybersecurity-Ansatz kann den Anforderungen agiler Arbeitsweisen genügen.

Agile Methoden halten Einzug

Agile Methoden werden oft als Analogie für Digitalisierung und Innovationsfähigkeit gesehen. Längst sind sie nicht mehr auf die reine Software-Entwicklung beschränkt, sondern werden für das Management und die Entwicklung digitaler Geschäftsmodelle eingesetzt. Gerade im Konzernumfeld sind jedoch oftmals unternehmensweite Vorgaben noch nicht an agile Paradigmen angepasst. So erfordert zum Beispiel die Kombination von Informationssicherheit-, Risikomanagement- und Datenschutz-Aspekten mit agilen Vorgehensweisen ein neues Verständnis von Verantwortlichkeiten und Pflichten.

Resultierende Herausforderungen

Es stellen sich u.a. folgende Herausforderungen:

  • Bei der Etablierung neuer Geschäftsmodelle gilt es, zwischen Chancen und Risiken abzuwägen. Sind im klassischen Geschäft Risiken mitunter über Jahrzehnte bekannt, können neue Geschäftsmodelle zu bisher unbekannten und sich ständig verändernden Risiken führen. Das Risikomanagement muss dynamisch und zeitnah auf neue Situationen reagieren, um eine schnelle Entscheidungsfindung zu gewährleisten.
  • Trotz einer Verkürzung der time-to-market gilt es, Unachtsamkeit oder Fahrlässigkeit im Umgang mit kritischen Datenzu vermeiden. Der häufige Fokus neuer Geschäftsmodelle auf der Verwendung von Kundendaten erfordert Sorgfalt bei der Abwägung datenschutzrechtlicher Anforderungen, welche sich z.B. aus der 2018 in Kraft tretenden EU-DSGVO ergeben.
  • Die starke Fokussierung auf neue Funktionalitäten führt zur Herausforderung nicht-funktionale, sicherheitsrelevante Anforderungen in User-Stories abzubilden und diese ausreichend zu priorisieren.
  • Genauso wie sich der Umfang eines neuen Geschäftsmodells verändert, gilt es Sicherheitsmechanismen iterativ-inkrementell anzupassen. Die kontinuierliche Anpassung eines initialen und vollumfänglichen Sicherheitskonzeptes aufgrund geringfügig angepasster Funktionalität wird von agilen Teams häufig als ineffizient angesehen.

Pragmatische Lösungsansätze

Diese Anforderungen gilt es in pragmatische, leichtgewichtige Ansätze zu übersetzen. Dabei kommt es meiner Meinung nach darauf an:

  • Risikomanagement, Informationssicherheit und Datenschutz früh einzubinden. Nur so kann von Beginn eines neuen, agilen Geschäftsmodelles an die Planung und Umsetzung notwendiger Schutzmaßnahmen gewährleistet werden.
  • Den Risikomanagement-Prozess möglichst schlank zu gestalten und so zu garantieren, dass Risiken regelmäßig identifiziert, überwacht und angepasst werden. So kann das Risikomanagement der Wachstumsgeschwindigkeit eines neuen Geschäftsmodells gerecht werden. Ein unkompliziertes Vorgehen und Unterstützung durch übersichtliche Templates zum Erfassen von Risiken, schaffen hier die richtige Grundlage.
  • Daten einheitlich zu klassifizieren und ihren Schutzbedarf zu erheben. Als sinnvoll hat sich hier die Definition generischer Informationscluster herausgestellt, die verallgemeinerte Oberkategorien von konkreten Informationen darstellen. Beispielsweise kann die Kategorie Geistiges Eigentum etabliert werden und mit vordefinierten Maßnahmen geschützt werden. Auch hierzu sollten agile Teams mit Templates und Checklisten ausgestattet werden, die bei der Klassifizierung, der Bewertung und den notwendigen Handlungsmaßnahmen unterstützen.
  • Der erhöhten Mitarbeiterverantwortung Sorge zu tragen. Gerade beim Einsatz in agilen Projekten beliebter Ansätze wie DevOps verschwimmen klassische Grenzen zwischen Entwicklung und Betrieb von IT-Lösungen, was häufig zu weitreichenden Rechten für Entwickler führt. Neben technischen Sicherheitsmaßnahmen sind unternehmensweite Kampagnen der Schlüssel, um Mitarbeiter für den verantwortungsvollen Umgang mit Daten zu sensibilisieren.
  • Die Usability von Lösungen sicherzustellen, da ansonsten Schatten-IT geschaffen wird und Mitarbeiter auf externe Tools ausweichen. Es gilt, sichere Kommunikationsmittel und Online-Speicher zur Verfügung zu stellen, die den gleichen Komfort und die gleiche Flexibilität bieten, die Mitarbeiter von gängigen Cloud-Anwendungen für den Privatgebrauch gewohnt sind.

Stimmen Sie dieser Herangehensweise zur Absicherung agiler Projekte und neuer Geschäftsmodelle zu oder verfolgen Sie andere Ansätze? Diskutieren Sie mit mir über eine sichere, agile Zukunft!


Vielen Dank an den Co-Autoren Stephan Schlagkamp.

Weitere Posts

Aftersales

Multichannel Personalisierung im Aftersales

Thomas Hegger
Date icon Juni 22, 2020

Personalisierte Kundenansprache mit Fokus auf individuelle Bedürfnisse als Hebel zur...

Banken

Inventive FRC – Credit Risk: Basel IV: Lohnt sich die Verwendung des IRBA noch immer?

Grigori Tymchenko
Date icon Juni 8, 2020

Auf internen Ratings basierende Ansätze werden von großen Bankinstituten wegen ihres...