Balance zwischen IT-Sicherheit, operativer IT und Datenschutz

Gewichtsverteilung – Grundbegriffe

Warum Unternehmen umdenken müssen

Krisen wie Covid-19 zwingen Unternehmen zum Umdenken in ihren Prozessen und der Anpassung ihrer IT-Struktur auf diese Prozesse. Unternehmen müssen dabei ausgeglichene Balance zwischen den verschiedenen Sachgebieten innerhalb ihrer Unternehmen wahren. Bei den hier diskutierten Fachbereichen handelt es sich um die technische Unterstützung der Ausführung der unternehmerischen Tätigkeit (Operative Tätigkeit – IT), dem Schutz der personenbezogenen Daten von Kunden und Mitarbeiter (Datenschutz) und gleichzeitig der Sicherstellung eines individuell angemessenen Schutzes der dafür notwendigen IT-Infrastruktur (IT-Sicherheit) finden.

Die drei Kernbereiche im Überblick

Angewandte Unternehmenspraxis besteht oft darin, das operative Geschäft durch den Einsatz „operativer“ IT aufrecht zu erhalten. Die Umsetzung von Datenschutz wird dabei heute als gesetzlich notwendig angesehen und, obwohl als störend empfunden, zumeist durch entsprechende personelle Ausstattung umgesetzt. Der stetige Verlierer in diesem Ablauf ist der Bereich der klassischen IT-Sicherheit.

Historische Vermengung und ihre Folgen

Oft sind Strukturen so aufgebaut, dass der Bereich „IT“ sich um alle drei Gebiete in gemeinsamer Verantwortung kümmert. Historisch wurden gesetzliche Anforderungen, wie z.B. Datenschutz, von Unternehmensführungen oft zu den „Spezialisten der IT“ geschoben. Eine solche Vermengung der verschiedenen Bereiche stellt sich aus heutiger Sicht als unklug heraus.

Zielsetzungen der einzelnen Bereiche

Um dies nachvollziehen zu können, muss man sich die Zielsetzungen der verschiedenen Bereiche anschauen:

• IT-Operations → Durchführung des Geschäftsbetriebes
• IT-Sicherheit → Sicherheit der IT-Infrastruktur
• Datenschutz → Schutz von personenbezogenen Informationen

Operative IT versus Sicherheits- und Datenschutzanforderungen

Grundstein ist immer die allgemeine Verwendung von IT basierten Systemen zur Durchführung des Unternehmenszwecks. Dabei steht im Fokus das Erreichen von Unternehmenszielen. Hier werden Lösungen gesucht und umgesetzt, welche die Arbeit des Unternehmens ermöglichen und ggf. effizienter gestalten. In einer hypothetischen optimalen Umgebung sind die operativen Einheiten der IT-Struktur frei in ihrer Entwicklung und können Unternehmensabläufe nach den aktuellen technischen Möglichkeiten unterstützen. Dies sollte der Fokus einer aktiven innovativen IT-Abteilung sein.
Dagegen stehen in gewisser Weise IT-Sicherheit und Datenschutz, für eine vereinfachte Betrachtung lasse ich finanzielle Aspekte an dieser Stelle außen vor.

Der Balance-Akt und typische Risiken

Unternehmensführungen haben die Aufgabe, unter anderen Faktoren risikobasiert zu entscheiden, wie sie mit der Gewichtung der hier schemenhaft dargestellten Arbeitsfelder umgehen. Oft führt dies zur folgenden Argumentation und Ergebnis:
Die operative IT wird mit der notwendigen Mindeststärke ausgestattet, um die benötigten IT-Verfahren zum Support im Betrieb zu halten. Daneben wird die operative IT mit der Aufgabe betraut, neue Verfahren auf deren Machbarkeit zu prüfen und ggf. zu implementieren. Aufgrund der jetzt durch die DSGVO gestiegenen Risikobewertung im Bereich Datenschutz wurden in den meisten Fällen Regelungen umgesetzt, welche sicherstellen, dass alle neuen Verfahren ordnungsgemäß dokumentiert werden, und Betroffenen schnell Auskunft gewährt werden kann. Oft wird die IT-Sicherheit aufgrund von geringerer rechtlicher Relevanz, und vollständiger Ignoranz des operativen Risikos, in Personaleinheit mit der operativen IT ausgeführt. – Das Bild ist natürlich etwas überspitzt und verkürzt dargestellt.

Fazit: Bewusste Entscheidungen für Innovation

Nach meiner Ansicht führt dies in den meisten Unternehmen zu einer deutlichen Verlangsamung von innovativen Lösungen. Es ist nicht Aufgabe der Fachbereiche, diese Entscheidungen und Abwägungen abschließend zu treffen und den Entscheidern vorwegzunehmen. Ein modernes digitales Unternehmen muss diese entscheidungserheblichen Kompetenzen auf höchster Ebene besitzen. Am Ende steht eine unternehmerische Entscheidung, welche Gewichtung gewählt wird. Diese kann von Anwendung zu Anwendung sehr individuell sein. Sie muss jedoch immer bewusst und unter Kenntnis aller Umstände getroffen werden. Dies ist nur durch neutrale unabhängige Berichterstattung der unterschiedlichen Fachbereiche möglich.
Ziel bleibt die Erreichung des unternehmerischen Erfolges unter Einhaltung der rechtlichen Rahmenbedingung bei kalkulierten Risiken. – Es gilt, die Balance zu wahren.