Digital Transformation Blog

Digital Transformation Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Still Crying? Wie Schutzbedarfsanalysen helfen, die betriebswirtschaftlichen Folgen einer Cyberattacke wie WannaCry zu minimieren

WannaCry ist derzeit wohl die bekannteste Ransomware der Welt und hat durch die Verschlüsselung von Daten bei Unternehmen wie beispielsweise der Deutsche Bahn oder Telefonica weltweit für Aufsehen gesorgt. Die Software ist jedoch nur ein Beispiel der prekären Lage, in der sich Unternehmen momentan befinden. Auf der einen Seite eröffnet die Digitalisierung neue Wege und Möglichkeiten den Kunden vollumfassend zu bedienen und über eine Vielzahl unterschiedlichster Vertriebskanäle, Produkte und Services zu platzieren. Gleichzeitig lädt die Erschließung neuer Vertriebskanäle Cyberkriminelle ein, in unser digitales Unternehmen hereinzuspazieren, sich umzuschauen und unzureichend geschützte Daten zu entwenden. Bildlich dargestellt, ist aus dem einstigen Geschäft mit jeweils nur einem Ein- und Ausgang eine ganze Shopping-Mall mit Türen, Fenstern und Tiefgarage geworden – alles potentielle Einstiegstore für Kriminelle.

Auf die „Kronjuwelen“ kommt es an

Viele Unternehmen stellen sich in diesem Kontext zunächst die Frage: Wie können wir uns schützen? Wie können wir verhindern, dass Cyberkriminelle in unser Unternehmen eindringen? Die Antwort darauf ist meiner Meinung nach sehr simpel: Ein vollumfänglicher Schutz kann selbst durch die vollständige Abkopplung vom Internet nicht gewährleistet werden. Wobei die Entscheidung, nicht an der Digitalisierung teilzunehmen, in aller erster Linie Wettbewerbern zugutekommen würde. Diese Erkenntnis führt zu der eigentlichen Frage, die sich Unternehmen in Bezug auf Cybersecurity stellen sollten: Was sollen wir schützen? Welche Unternehmensdaten sind von betriebswirtschaftlicher Relevanz und welcher Schaden entsteht im Falle eines Datenverlustes? Um auf das Beispiel der „Shopping-Mall“ zurückzugreifen: Welche Geschäfte generieren Kunden, Umsatz oder Profit und welche Geschäfte steuern wenig zum Erhalt der Shopping-Mall bei oder stehen gar leer. Daher mein Ratschlag: Identifizieren Sie die „Kronjuwelen“ unter Ihren Daten, bevor Sie die Frage nach dem „Wie?“ stellen.

Relevante Unternehmensdaten systematisch erheben

Bei der Identifikation der „Kronjuwelen“ wird das Unternehmen auf seine Daten und deren Beitrag zur Erreichung der Unternehmensziele reduziert. Die unterschiedlichen Datentypen – wie Produktdaten, Portfoliodaten, Transaktionsdaten, Mitarbeiterdaten – werden dazu anhand der Schutzziele aus den  Bereichen Informationssicherheit, Vertraulichkeit, Integrität und Verfügbarkeit bewertet. Je nach Branche lassen sich hier unterschiedliche Schwerpunkte legen. So könnte bei Automobilherstellern beispielsweise die Vertraulichkeit von Entwicklungsdaten, im Finanzsektor hingegen die Integrität von Transaktionsdaten im Fokus der Bewertung stehen. Die systematische Erhebung kritischer Unternehmensdaten ist der erste Schritt bei der Entwicklung von Schutzmaßnahmen zur Abwendung von Cyberattacken. Basierend auf diesem Wissen, kann anschließend die zielgerichtete Investition in Schutzmaßnahmen erfolgen.

Schutzaufwand vs. betriebswirtschaftlicher Ausfall

Nachdem die Unternehmensdaten bewertet sind, kann der Umfang der zu definierenden Schutzmaßnahmen festgelegt werden. Hierbei ist das mit dem Datenverlust verbundene Risiko zu berücksichtigen. Ist der risikomitigierende Effekt einer Maßnahme höher als die mit ihr verbundenen Investitionskosten, lohnt sich ein Investment. Dabei muss selbstverständlich die Risikoaffinität des Unternehmens sowie eventuelle regulatorische Anforderungen berücksichtig werden. In der Regel ist der Schutz der zuvor identifizierten Kronjuwelen dabei wirtschaftlich hoch rentabel. Hiervon ausgehend sinkt der Nutzen bei Daten von geringerer betriebswirtschaftlicher Relevanz bis hin zu einer negativen Investitionsrentabilität.

Mit Schutzbedarfsanalyse und zielgerichteten Maßnahmen gelassen in die Zukunft blicken

Schauen Sie von Ihrem Unternehmen nach außen, nicht von außen auf Ihr Unternehmen. Wo generieren Sie Ihre Stärken? Welche Daten sind für Ihre wirtschaftliche Leistung ausschlaggebend?

Eine Schutzbedarfsanalyse hilft Ihnen dabei, diese Daten zu identifizieren und zu schützen, sowie Cyberkriminellen systematisch den Zugriff auf wertvolle Daten zu verwehren. Mit Hilfe von zielgerichteten Maßnahmen wie z.B. einem Desaster-Recovery- und Backup-Konzept, können Sie so selbst Vorfällen wie WannaCry gelassen entgegenblicken.

Über den Autor

Maximilian Schröder
Maximilian Schröder
Maximilian Schröder ist Berater im Bereich Business Technology & Innovation. Mit Schwerpunkt Banking unterstützt er Kunden bei der Optimierung von Unternehmensprozessen und dem Organisationsaufbau. Dabei gilt sein besonderes Interesse den gegenwärtigen und zukünftigen Anforderungen, die Cybersecurity und Digitalisierung an ein Unternehmen stellen.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.