Management komplexer Cyber-Sicherheit in IT, OT, (I)IoT – Teil 2: Lösungsansätze

Cyber-Sicherheits-Management gehört zu den eher komplexen Arbeitsfeldern fürs Management, wie der erste Beitrag dieser -Reihe gezeigt hat. Die „Problemlandkarte“ [1] umfasste am Ende – kurz zusammengefasst – folgende Einträge:

• Es gilt fundamentale Zielkonflikte zu lösen: Wo etwa die Verantwortlichen für Digitalisierungsprojekte voranpreschen, spannen die Fachkräfte für Sicherheit und Datenschutz lieber die Bremsfallschirme auf. Beide befürchten, die jeweils andere Seite könnte dem Erfolg des gemeinsamen Unternehmens im Wege stehen: aus der einen Perspektive durch das Eingehen zu geringer, aus der anderen durch die Akzeptanz zu hoher Risiken.
• Fundierte Entscheidungsfindung ist ein Problem: Die Befugnis zum Ja oder Nein konzentriert sich oft an der Spitze einer Organisation, also beim Vorstand oder auf C-Level, während das für optimale Entscheidungen notwendige Wissen bei Gruppen mit hoher Expertise, aber geringer Entscheidungsgewalt liegt. In hierarchisch aufgebauten Managementumgebungen muss deshalb jeder Entscheider den Einschätzungen anderer vertrauen, auch wenn dies schwerfällt.
• Die Komplexität der Materie und damit die Diversität der Fachgebiete und Managementfelder steigt unaufhörlich: Cyber-Security kann sich in Unternehmen in solch unterschiedliche Bereiche wie die Sicherheit der Büro-IT, Informationssicherheit im engeren Sinne, OT- oder ICS-Sicherheit (Produktionsanlagen), IoT-Sicherheit (internetfähige Geräte), Produktsicherheit (bei „intelligenten“ Produkten) und Datenschutz auffächern – all das verknüpft mit menschlichen Faktoren und Social-Media-Aktivitäten. In diesem wild wuchernden Geflecht kann schon ein Mensch mit solidem Security-Hintergrund kaum noch behaupten, den vollen Überblick zu haben – wie geht es dann erst fachfremden Kräften aus dem Controlling oder dem Business-Management, die qua zugewiesener Rolle ein Wörtchen mitzureden haben?

Diese Parameter schaffen ein Management-Szenario, in dem Entscheidungen über Sicherheitsbelange oft für geraume Zeit hin und her gewälzt werden und zu unschönen, weil ins Persönliche abgleitenden Diskussionen führen [1,2]. Zuweilen fallen die Entscheidungen am Ende auch alles andere als fundiert aus, was sich in Konsequenzen wie Datenskandalen äußert oder – ebenfalls folgenreich – im Versagen bei Compliance-Audits. Kurz: Es geht um ein „Spiel“, in dem manch eine Figur schon gar nicht mehr mitmachen mag und erst recht nicht mehr glaubt, das Metier souverän zu beherrschen – auch wenn sie dies tapfer nach außen hin behauptet.

Mit sechs Zutaten zum Erfolg

Nun mag all das zwar sehr schlimm klingen – aber Cyber-Security ist bei Weitem nicht das einzige derart komplexe Management-Gebiet, das Wirtschaft und Gesellschaft beschäftigt. Beispielsweise bewirken der Energiesektor, die Ökologie, die Medizin und die gesamten Disziplinen der Politik nicht minder herausfordernde Konstellationen. Aus diesem Grund existieren bereits Management-Modelle, die praktikable Lösungsansätze für entsprechende Gemengelagen bieten.

Dass diese Schätze bisher nur selten für ISMS- und Datenschutzbelange gehoben wurden, liegt möglicherweise in der noch immer verbreiteten Ansicht, das Cybersecurity-Metier sei doch im Grunde ein Abkömmling der guten alten Informatik und damit eine deterministisch organisierte Welt, der man im Grunde mit mathematischer Logik beikommen müsse.

Das hat jedoch noch nie gestimmt und trifft beim heutigen Grad der Verflechtung der IT mit gesellschaftlichen und wirtschaftlichen Sphären noch weniger zu als je zuvor. Das Autorenteam hat sechs Lösungsansätze aus dem größeren Umfeld der Management- und Kommunikationslehre identifiziert, die ineinandergreifen und für ein effektives und zielführendes Sicherheitsmanagement hilfreich sein können:

• das St. Galler Management-Modell
• Subsidiarität als Prinzip
• Prozesse als Orientierungsrahmen
• Vertrauen als ökonomisches Prinzip
• Rollenbewusstsein im Abstimmungsprozess
• Investition in Kommunikation

St. Galler Management-Modell: Der Blick auf die Anspruchsgruppen

Das St. Galler Modell [3,4] zeichnet sich durch einen ganzheitlichen Blick auf die Management-Anforderungen moderner Organisationen aus, der die pure Erfüllung des Hauptzwecks einer Unternehmung im engeren Sinn nicht als einzigen Orientierungspunkt für gute Führungsqualität akzeptiert: Eine wirtschaftliche Organisation und ihr Erfolg hängen diesem Konzept zufolge etwa nicht allein von der Gewinnmaximierung ab.

Jede Organisation agiert in einem Geflecht von Anspruchsgruppen (Stakeholdern), die aus unterschiedlicher Perspektive etwas von der jeweiligen Institution erwarten: Unternehmensführung, Besitzer und Angestellte streben beispielsweise angemessene finanzielle Erlöse an, wollen zugleich aber auch mit dem Unternehmen und mit ihrer Tätigkeit darin gut leben können (Work-Life-Balance).
Kunden wiederum sind darauf aus, optimal und bequem bedient zu werden, drängen aber auch auf einen verantwortungsvollen Umgang mit ihren Daten. Die Bevölkerung schließlich – ob Kunde oder nicht – wünscht sich eine akzeptable Umweltbilanz und ein sozialverträgliches Auftreten der Organisation.

Wie viele Anspruchsgruppen es gibt und über welche Institutionen sie ihre Interessen an die Organisation herantragen (etwa mithilfe eines Datenschutzbeauftragten via Audit, durch strafrechtliche Sanktionen oder im Extremfall durch Boykott), ist von Wirkungsbereich zu Wirkungsbereich verschieden. Das Florieren einer Organisation hängt deshalb nicht allein davon ab, dass sie ihre Kassen füllt und maximale Dividenden und Gehälter zahlt, sondern auch davon, wie sie den anderen auf sie gerichteten Interessen gerecht wird. Die deutsche Automobilindustrie lieferte unlängst ein hervorragendes Beispiel: Umweltsünden und Tricksereien führten zu Sanktionen, und das zu späte Reagieren auf Mobilitätstrends kann selbst gestandene „Dinosaurier“ an den Rand des „Aussterbens“ bringen – so jedenfalls würde es ein Anhänger evolutionärer Wirtschaftstheorien beschreiben.

Das St. Galler Modell, welches das permanente Regeln (nicht Lösen!) von Zielkonflikten als normalen Aspekt des unternehmerischen Tuns betrachtet, passt hervorragend zur Situation des Cybersicherheits-Managements. Wie im ersten Teil dieser Miniserie beschrieben, agieren Sicherheitsfachkräfte ununterbrochen zwischen divergierenden und sich überschneidenden Anforderungen, zum Beispiel:

• Der Datenschutz wendet sich gegen rein auf Zeit und Gewinn hin optimierten Umgang mit personenbezogenen Daten.
• Risiko-Abwägungsprozesse stehen dem Wunsch nach schneller Digitalisierung im Weg.
• Auditoren verlangen die Berücksichtigung von Gesellschaftsinteressen und Branchenstandards.
• Sicherheit ist erwünscht, aber dem Controlling zu teuer.

Der wichtigste Beitrag des St. Galler Management-Modells zum Umgang mit dieser Ausgangslage liegt im Aufruf begründet, sie zu akzeptieren und dazu passende Praktiken einzuführen. Ansätze, die rein gewinnorientierte, hierarchische Vorgehensweisen bevorzugen, tendieren demgegenüber dazu, das Anspruchsgruppen- und Bedingungsgeflecht moderner Organisationen als eine Art Störfall zu betrachten. Wer sich an diesem Bild orientiert, wird zwangsläufig versuchen, mit dem Ziel eines möglichst einfachen, stringenten Vorgehens hinderliche „Nebenbedingungen“ zu umschiffen oder auf deren Verschwinden zu hoffen. In der Cyber-Security wird das nie mehr zu erreichen sein!

Zielführender ist es, Analysen der diversen an eine Organisation gerichteten Erwartungen und die daraus resultierenden, mitunter schwer zu vereinbarenden Ziele in die Entscheidungsfindungs-Prozesse zu integrieren. In der Praxis hat dies zur Folge, dass die unterschiedlichsten Disziplinen in kommunikativen, teils sequenziell ablaufenden Prozessen an Entscheidungen abwägend teilnehmen müssen. Bei der Umsetzung helfen die folgenden Ansatzpunkte, vor allem Subsidiarität und Prozessdenken.

Subsidiarität als Prinzip: Dort entscheiden, wo man es kann

Wer das St. Galler Management-Modell als geeignete Leitlinie für das Organisationsmanagement betrachtet, muss sich dazu durchringen, auch Entscheidungskompetenzen zu delegieren. Das bedeutet, die aus der Politik der meisten westlichen Staaten bekannte Maxime der Subsidiarität auf das Management von Business-Institutionen zu übertragen: Ein möglichst großer Anteil jeder unternehmerischen Entscheidung sollte dort getroffen werden, wo sich das dafür notwendige Fachwissen konzentriert, wo man die Anspruchsgruppen und Bedingungsgeflechte des Entscheidungsbereichs aus erster Hand kennt und wo auch die Umsetzung der Resultate aus den Entscheidungen erfolgen muss. Höhere Hierarchieebenen sollten sich demgegenüber als Entscheidungs-Helfer verstehen, die nur dann auf den Plan treten, wenn Angehörige der unteren Ebenen die ihnen übertragenen Aufgaben nicht bewältigen können oder wenn die Tragweite eines Vorhabens das gesamte Unternehmen erfasst.

Typische Beispiele, bei denen das Subsidiaritätsprinzip in der Cybersecurity greift, sind Risiko-Assessments und die Auswahl und Dimensionierung von Sicherheitsmaßnahmen. Kräfte aus Fachabteilungen (Subject-Matter-Experts, SMEs) wissen oft am besten, welche Sicherheitslücken in ihrem Einflussbereich existieren, welches Risiko damit verbunden ist – und vor allem: ob eine bestimmte Abhilfemaßnahme zur Praxis in einem bestimmten Bereich passt.

Trotzdem muss das übergeordnete Management zuweilen mit Schulungen und der Beistellung von Spezialisten aus Beratungsfirmen helfen, etwa weil die Praxis der sinnvollen Risikoeinschätzung nicht jedem vertraut ist und hier und da zu Ängsten und überzogenen Einschätzungen führt. Ein Mittel, das dann hervorragend greift, ist die Definition von Entscheidungsfindungs-Prozessen.

Prozesse als Orientierungsrahmen: Die Akkumulation sachgerechter Entscheidungskriterien

Eine der besten Möglichkeiten, multidisziplinäre und hierarchieübergreifende Perspektiven effektiv bei Entscheidungen zu berücksichtigen, ist die Definition von sequenziellen Entscheidungsprozessen. Im Securitysektor geht es dabei meist um die obligatorischen Sicherheits- und Risikobetrachtungen, die bei neuen Projekten oder Investitionen in vorab bestimmten Stadien des Unterfangens anzustellen sind. Sie ermöglichen es, je nach Art des Vorhabens, etwa IT-, OT-, I(I)oT, Produkt-, Datenschutz- oder Media-Spezialisten in der eigenen Organisation zu konsultieren.

Wirkungsvoll ist dieses Instrument aber nur, wenn die Einschätzungen der Beteiligten in den Fachbereichen und auf den unterschiedlichen Hierarchieebenen nicht einfach vom höheren Management ausgehebelt oder standardmäßig ignoriert werden können. Dies fordert vom Management ein gewisses Grundvertrauen in die Kompetenz und die Intentionen seiner Belegschaft.

Vertrauen als ökonomisches Prinzip: Man kann nicht auf alles achten

Vertrauen ist gut, Kontrolle ist besser – dieses Prinzip mag seine Berechtigung haben, aber ebenso sicher hat es Grenzen. Als Beleg mag (mit Variationen) ein altes Gedankenexperiment aus Seminaren zur „Psychologie der Informationssicherheit“ an der Universität München dienen, in dem eine kontrollversessene Person aus ihrem Homeoffice in die Stadt aufbricht, um eine Pizza zu kaufen:

Schritt 1: Hat der Bus zum Ziel einen TÜV-Stempel? Aber ist der auch echt? War der Prüfer wirklich aufmerksam, als er dem Fahrzeug Betriebstauglichkeit bescheinigte? Schwer zu beurteilen – der erste Vertrauensfall. Und ist der Busfahrer fahrtüchtig und hat auch wirklich den richtigen Führerschein?

Schritt 2: Auf dem Weg in die Stadt folgen eine Ampel und eine Brücke. Funktioniert die Lichtzeichenanlage zuverlässig oder gibt sie vielleicht plötzlich allen Seiten „grün“? Und diese Brücke – sie scheint ja zum Verkehr freigegeben zu sein, aber trägt sie auch wirklich? Sollte man erst selbst einen Blick auf Statik-Unterlagen und das Baujahr werfen? Aber stimmen diese Daten überhaupt?

Schritt 3: In der Pizzeria angekommen, kassiert der Besitzer wegen der Pandemieauflagen sofort und bittet dann darum, draußen zu warten. Kann man das riskieren? Oder läuft der jetzt gleich mit dem Geld hinten raus? Und diese Pizza – ist das wirklich Mozzarella darauf, wie die Karte behauptet, oder irgendein billiger, vielleicht sogar künstlicher Ersatz? Und so weiter und so fort.

Die Lehre dieses etwas launigen Konstrukts lautet: Je mehr man selbst im Detail kontrollieren will, desto schlechter kommt man mit seinen eigenen Aufgaben voran. Ohne Vertrauen geht es nicht – und je komplexer das eigene Handlungsumfeld ist, desto häufiger wird Vertrauen zum notwendigen ökonomischen Prinzip [5,6]. Letztlich muss man auf die absolute eigene Handlungssicherheit zugunsten des Erhalts der Handlungsfähigkeit verzichten.

In der Informationssicherheit müssen höhere Hierarchieebenen standardmäßig darauf vertrauen, dass die von ihnen beschäftigten Fachkräfte kompetent und ehrlich agieren und im Sinne des Unternehmens handeln (wollen) – etwa bei den bereits erwähnten Stellungnahmen zu Risiken und Maßnahmen. Anderenfalls ist das höhere Management beim Thema Cyber-Security weitgehend verloren und kommt bei den Verifizierungsschritten irgendwann nicht mehr hinterher.

Rollenbewusstsein im Abstimmungsprozess: Ein Spiel mit Masken, aber offenen Karten

Entscheidungsprozesse, bei denen unterschiedliche Fach- und Zielperspektiven aufeinandertreffen (und auch aufeinandertreffen sollen!), bergen grundsätzlich Konfliktpotenzial und gehen nicht ohne den Wettbewerb der teilweise einander widersprechenden Positionen einher. Niemand wird seine Vorstellung komplett durchsetzen können, aber jeder kann auf die angemessene Berücksichtigung seiner Ansprüche pochen.

Das Ergebnis ist ein Kräftemessen, das – so der Vorschlag des Autorenteams – bewusst als eine Verhandlung inszeniert werden sollte, in der die Beteiligten explizit ihre Rollen in den Vordergrund stellen: Der SME muss seine Fachperspektive einnehmen und gegebenenfalls als Security-Perfektionist auftreten, der Controller hat den kritischen Pfennigfuchser zu geben, der CIO darf nicht von seinem Wunsch nach progressiver Digitalisierung abweichen, der CISO hat eine Vermittlerrolle, der Compliance-Officer ist verpflichtet, reflexartig mit dem Auditor zu drohen – und so weiter.

Egal ob das Aushandeln der endgültigen, balancierten Entscheidung in Meetings erfolgt oder Schritt für Schritt per E-Mail und Online-Präsentationen: Die Vermeidung des Abgleitens ins Persönliche sollte eine hohe Priorität genießen! Wie dies im Detail aussehen könnte, hat die schon im Beitrag „Commedia della Sicurezza“ [2] behandelt.

Zugegebenermaßen problematisch bleibt, wie man auf dieser Grundlage zur endgültigen Entscheidung bei extrem teuren, unternehmensrelevanten Maßnahmen kommt. Abstimmung könnte ein Weg sein – oder es läuft bei extrem hoch angesiedelten Projekten am Ende doch auf die klassische Vorstands- oder Geschäftsführungs-Entscheidung hinaus, die dem hier vorgestellten Modell zufolge dann aber alle Positionen abzuwägen hat und von SMEs gesetzte „harte“ Grenzen, wie Verweise auf Mindeststandards, akzeptieren muss.

Dies ist durchaus keine weltfremde Vorstellung, da mit einem entsprechenden Schlusswort im Cyber-Security-Umfeld ja gewöhnlich eine dokumentierte Risiko-Akzeptanz einherzugehen hat. Das bedeutet auch: Weicht das Management bei seiner Beurteilung von den ebenfalls dokumentierten Einschätzungen der Fachebenen ab, muss es für daraus resultierende Verletzungen der Informationssicherheit oder gar einen Datenskandal mitunter persönlich die Verantwortung übernehmen.

Bei Vorhaben mit geringerem Investitionsbedarf sehen das Subsidiaritätsprinzip und das St. Galler Modell ohnehin vor, dass die Entscheidung darüber fast vollständig auf der Fachebene erfolgt.

Investition in Kommunikation: Eine gemeinsame Basis schaffen

Damit eine „verteilte“ oder delegierte Entscheidungsfindung gelingt, müssen alle Beteiligten möglichst auf dem gleichen Informationsstand agieren. Für SMEs bedeutet das zum Beispiel, dass sie ihre fachlichen Einschätzungen zu erklären haben, und zwar auch – so weit wie möglich – fachfremden Kollegen. Sie müssen Zeit investieren und einen gewissen Aufwand treiben, um ihre Perspektive nachvollziehbar zu machen.

Das Gleiche gilt für die Aufbereitung von Rahmendaten wie etwa der aktuellen Bedrohungssituation, den Ergebnissen des Security-Monitorings und so weiter. Die Fachebene vermeidet auf diese Weise Anlässe für Unsicherheit und Misstrauen bei den Security-Laien im Management-Prozess.

Die Business-Seite wiederum sollte unter anderem feste wirtschaftliche Rahmenbedingungen oder neue Ziele nicht für sich behalten – vor allem nicht, wenn für ein Vorhaben, das in der Entscheidungskompetenz der Fachebenen liegt, eine feste Grenze in Sachen Maximalbudget nicht überschritten werden darf. Die Experten können ihre Entscheidungen dann von vornherein auf die real existierenden Bedingungen hin optimieren und müssen einmal entwickelte Modelle nicht immer wieder an neu aufgedeckte Parameter anpassen.

Fallbeispiel

Das folgende Beispiel der Dimensionierung eines umfassenden Security-Programms beruht auf einer anonymisierten, zugespitzten und durch zusätzliche Erfahrungen aus dem Consulting-Netzwerk des Autorenteams angereicherten Geschichte. Es zeigt, was geschehen kann, wenn bei der Bewältigung von Sicherheitsmanagement-Aufgaben die hier erläuterten Ansätze komplett außer Acht gelassen werden.

Wir befinden uns in einem nationalen Tochterunternehmen eines international aktiv agierenden Mutterkonzerns. Die „Mutter“ hat herausgefunden, dass es um die Cyber-Sicherheit bei der „Tochter“ nicht optimal bestellt ist. Sie fordert die Durchführung eines umfassenden Security-Programms zur effektiven Statusverbesserung – die Tochter steht jedoch finanziell unter Druck, zusätzliche Ausgaben für Sicherheitsmaßnahmen kommen ihr ungelegen.

Da Teile des Tochterunternehmens im fraglichen Land als kritische Infrastruktur gelten, ist ein vollständiges Ignorieren von Sicherheitslücken allerdings auch keine Option.

Der Beauftragte für IT-Sicherheit (ITSiBe) wird deshalb damit betraut, ein Security-Programm zu entwerfen, das den erwähnten Anspruchsgruppen – Mutterkonzern einerseits, Kunden und Gesellschaft andererseits – gerecht werden soll. Der IT-SiBe aktiviert dazu interne Fachkräfte und zieht aus eigenem Abteilungsbudget Berater hinzu (vgl. [1]).

Unter den internen Kräften befinden sich auch Angestellte, die prinzipiell als Auditoren für die Bewertung der Absicherung kritischer Infrastrukturen qualifiziert sind. Sie gleichen die externen Anforderungen mit der internen Situation ab und stellen auf dieser Basis einen aus ihrer Sicht geeigneten Maßnahmenkatalog zusammen, der auch eine Verstärkung des existierenden, aber personell und vom Werkzeugarsenal her unterversorgten Security Operations-Centers (SOC) enthält.

Die geltenden Compliance-Regeln fordern ein SOC zu diesem Zeitpunkt zwar nicht explizit ein, schreiben aber eine Orientierung an „Best Practices“, dem „Stand der Technik“ und der Bedrohungslage vor und legen es auf diesem Weg nach Einschätzung der Fachkräfte nahe, das SOC im fraglichen Unternehmen stark auszubauen. Externe Berater kommen zu demselben Schluss.

Bereits der Bereich OT-/Produktionssicherheit umfasst eine Fülle divergierender Fachkompetenzen und Anspruchsgruppen – wer kann oder mag da noch allein entscheiden?

Schließlich findet eine erweiterte Vorstandssitzung statt, in der das Security-Programm diskutiert werden soll. Im Zentrum steht der IT-SiBe, der sein gemeinsam mit den SMEs entwickeltes Programm erklärt – darunter auch die Komponente SOC, die allein schon aufgrund der Analysten-Situation auf dem Arbeitsmarkt zwangsläufig besonders kostenträchtig ausfällt. Im Meeting anwesend sind: diverse Vorstandsmitglieder, darunter der IT-Vorstand, der Compliance-Beauftragte, der Chef-Controller, der Risikomanager und eine Delegation der Berater.

Der IT-Vorstand reagiert vor versammelter Mannschaft auf die Präsentation des IT-SiBe: „Aha, SOC. Wegen Best Practices? Was soll das sein? Ich sehe das in den Vorschriften nicht. Wenn ich jetzt den Kollegen X von Firma Y anrufe, die letztlich fast dasselbe machen wie wir: Sagt der mir das auch so? Oder finde ich dann heraus, dass das mit dem SOC Ihr ganz persönliches Hobby ist, das Sie hier ausleben?“

Die Hälfte der Anwesenden goutiert sichtlich die Abkanzelung des IT-SiBe, der sich mit rot angelaufenem Gesicht hinsetzt. Die andere Hälfte kann aus verschiedenen Gründen nur mäßig unterstützend eingreifen: Die Berater etwa würden zwar gern dem IT-SiBe beistehen, dessen Meinung sie sind und der ja ihr direkter „Sponsor“ ist, aber ihre Firma ist auch beim Mutterkonzern präsent – also müssen sie aus ureigenem Interesse erst die Reaktion dieser Instanz abwarten.

In der Folge geschieht Bemerkenswertes: Die internen Auditoren werden aus allen Entscheidungsprozessen abgezogen und das Beraterteam erhält direkt vom Vorstand eine Neudefinition seiner Aufgaben: Fachliche Unterstützung sei ab jetzt ausdrücklich nicht mehr erwünscht – stattdessen möge man doch bitte das Programm auf den Investitionsbetrag Z herunterkürzen. Die SMEs seien dazu erneut zu befragen und zu einer „realistischeren“ Budgetierung anzuhalten.

Unter zähem Ringen entsteht schließlich auf diese Weise über Monate hinweg eine deutlich abgespeckte Strategie, hinter der die Security-Teams im Unternehmen nicht stehen. Sie wird dem Mutterkonzern präsentiert – der das Konstrukt prompt abschmettert: nicht umfangreich und schlagkräftig genug!

Und so landet das Projekt zum dritten Mal bei den SMEs, die alle Maßnahmen unter erneut veränderten
Rahmenbedingungen noch einmal zu kalkulieren haben und dabei zum dritten Mal Zeit für dasselbe, im gleichen Stadium festhängende Projekt fi nden müssen – neben ihren operativen Aufgaben, versteht sich. Das Ganze droht, zur „Never Ending Story“ zu werden.

Wie hätte es besser laufen können?

Im Beispiel hat der IT-Vorstand zwar die Ausarbeitung des Security-Programms delegiert, nicht aber die Entscheidung darüber. Das ist hier zwar verständlich, da bei einem umfassenden Maßnahmenpaket dieser Art hohe Investitionen und durchaus relevante Eingriffe in die Praxis zu erwarten sind. Allerdings hätte der Vorstand vertrauensvoll die engen finanziellen Grenzen offenlegen und die Vorgaben des Mutterkonzerns genauer prüfen können (Kommunikation), um dem IT-SiBe und den SMEs von vornherein einen realistischen Einschätzungsrahmen vorgeben zu können (Entscheidungsprozess, Subsidiarität).

Herausgekommen wären dann wahrscheinlich auch Argumentationshilfen für ein priorisiertes, abgestuftes Vorgehen, das mit einiger Wahrscheinlichkeit vom Mutterkonzern und von potenziellen Auditoren hätte akzeptiert werden können. Stattdessen wurde viel Zeit nutzlos vertan und die Belegschaft unnötig strapaziert: Wären die SMEs im Bilde gewesen, hätten sie aus ihren Überlegungen beispielsweise mehrere Programmvarianten mit unterschiedlichem Investitionsvolumen, aber auch unterschiedlichem Restrisiko ableiten können.

Überdies hat der Vorstand im zentralen Meeting ein fundamentales Misstrauen in die Kompetenz und die Intentionen der Fachebenen zur Schau gestellt. Er orientiert sich zwar gewissermaßen selbst an „Best Practices“, indem er die Meinung anderer Vorstände einholt, traut aber nur seiner eigenen Peer-Group als Orientierungsgeber. Das gezielte Anwerben von Fachleuten, deren Expertise dann ignoriert oder fundamental infrage gestellt wird, ist jedoch ein Management-Fehler und kostet Motivation und Effizienz (Vertrauen als ökonomisches Prinzip).

Und nicht zuletzt hat der Vorstand mit seiner „Argumentation“ die Grenze zum Persönlichen überschritten. Zielführender wäre es gewesen, die Ergebnispräsentation des IT-SiBe als Resultat erfolgreichen Rollenhandelns zu akzeptieren und dann aus der eigenen Rolle heraus Fragen zu stellen.

Der dritte und letzte Teil dieser Miniserie beleuchtet in der nächsten <kes> anhand von Interviews mit Praktikern und Wissenschaftlern weitere Aspekte des Managements komplexer Cyber-Sicherheit.

Bettina Weßelmann ist freie Fachjournalistin, berät Unternehmen bei Kommunikationsthemen im Bereich Cyber-Security und deckt dabei Felder wie Security-Awareness, Social-Engineering und zielgruppengerechtes Security-Marketing ab. Johannes Wiele arbeitet als Manager OT-Security bei einem Hersteller von Flurfördertechnik und war zuvor als IT-Fachjournalist, Berater für Informationssicherheit und Hochschuldozent für Managementlehre und Informationssicherheit aktiv.

Literatur

[1] Bettina Weßelmann, Johannes Wiele, Management komplexer Cyber-Sicherheit in IT, OT, (I)IoT – Teil 1: Die Problem-Landkarte, <kes>2021#2, S. 46
[2] Bettina Weßelmann, Johannes Wiele, Commedia della Sicurezza, Rollen und Zwänge in Sicherheitsprojekten, <kes> 2020#2, S. 10
[3] Johannes Rüegg-Stürm, Simon Grand, Das St. Galler Management-Modell, Management in einer komplexen Welt, 2. überarbeitete Aufl age, UTB, März 2019, ISBN 978-3-8252-5092-8
[4] Rolf Dubs, Das St. Galler Management-Modell, Ganzheitliches unternehmerisches Denken, Trauner, November 2020, ISBN 978-3-99113-050-5
[5] Tanja Rippberger, Ökonomik des Vertrauens – Analyse eines Organisationsprinzips, Einheit der Gesellschaftswissenschaften, Band 101, 2. Edition, Mohr Siebeck, Mai 2003, ISBN 978-3-16-148066-9
[6] Mihai Nadin, Lutz Becker und Thomas Eicher (Hrsg.), trust//das.prinzip.vertrauen, Beiträge zum internationalen Kolloqium „Vertrauen. Das 21. Jahrhundert und darüber hinaus“, Synchron, Januar 2001, ISBN 3-935025-11-1