![[Illustration]](06-6-076-1.jpg)
Verschiedene "Kundentypen"
Die aktuelle <kes>/Microsoft-Studie hat erneut gezeigt, dass die Bereitstellung von Finanzmitteln einer der größten Stolpersteine bei der Verbesserung der Informations-Sicherheit (ISi) in Unternehmen ist (vgl. <kes> 2006#4, S. 24): 55 % der Befragten äußerten, es fehle an Geld! Und dass, obwohl ISi bei diesen Unternehmen hoch im Kurs steht: Immerhin haben 64 % von ihnen eine ISi-Strategie. Zum Vergleich: Laut einer Studie des IfM Bonn erarbeiten nur 40 % der deutschen mittelständischen Unternehmen strategische Geschäftskonzepte und mittel- bis langfristige Planungsvorgaben.
Wenn die Sicherheit und Nachhaltigkeit von IT-gestützten Geschäftsprozessen ein anerkannter Erfolgsfaktor mit sprunghaft zunehmender Bedeutung ist, warum werden dann Investitionen in die Informations-Sicherheit im Vergleich zu anderen Investitionsvorhaben oft geringer priorisiert? Das häufig zitierte Argument "Sicherheit ist ein gefühlter Wert" kann dafür keine lösungsorientierte Erklärung sein. Viel zielorientierter ist dagegen die Behauptung: "Investitionen in den Informationsschutz werden häufig – zumindest intern – schlecht verkauft!"
Noch immer sind Nutzen-Argumentationen vieler Informationsschutz-Beauftragter häufig zu technisch ausgelegt und berücksichtigen wichtige Entscheider-Regeln zu wenig. Budgetierungen von Informationsschutz-Projekten fokussieren meist leicht quantifizierbare Lizenzkosten und Beratertage. Darüber hinausgehende Budget-Parameter werden oft vernachlässigt und die Gefahr wiederholter "schlechter" Erfahrungen der Entscheider mit IT-Projekten ist hoch.
Wie bei der Vermarktung von Investitionsgütern oder "einfacheren" Produkten gilt es auch bei der ISi einige zentrale Verkaufs- und Entscheidungsregeln zu beachten, allem voran:
Ohne Entscheider keine Entscheidung – was in kleineren Häusern recht einfach ist, kann bei mittelständischen Unternehmen bereits der erste Stolperstein sein: Für die Umsetzung von Informationssicherheits-Strategien oder -budgets muss man zunächst einen handelnden Entscheider identifizieren. Dabei sollten die internen "Geschäftspartner" ähnlich wie in der Auftragsakquisition differenziert werden:
Entscheidungs-Empfehler werden den Informationsschutz-Beauftragten gegebenenfalls bei seiner Argumentation funktionaler, technischer und lösungsorientierter Fakten unterstützen. Negativ eingestellte "Empfehler" bedeuten in aller Regel das Scheitern eines Investitionsvorhabens.
Die wichtigste Rolle spielt der Entscheidungs-Macher. Für ihn sind die zentralen Entscheidungskriterien meist Lizenzkosten, Projektlaufzeit oder Referenzen der Lösung. Es ist dabei hilfreich, zusätzliche quantifizierbare Fakten zu dokumentieren und die Entscheidungsfaktoren auch anderen Investitionsvorhaben des Unternehmens gegenüberzustellen.
Der Entscheidungsmacher präsentiert die von ihm präferierte Lösung dem Empfänger der Entscheidung – dem Entscheidungs-Nehmer. In größeren Unternehmen ist dies oft die Geschäftsführung, welche üblicherweise den Empfehlungen der kaufmännischen Leitung folgt. Zum "Akquisitionserfolg" des Informationsschutzbeauftragten gehören dennoch auch Kenntnisse der Kriterien von Entscheidungsnehmern, die sich meist an bekannten Finanzkenngrößen orientieren (z. B. dem ROI).
Sind Entscheider und ihre zentralen Entscheidungskriterien bekannt, gilt es den Bedarf für die Leistung zum Informationsschutz aus Sicht des Entscheiders aufzubereiten: Seine subjektiven Vorstellungen sind mit den formalen, objektiven Erfordernissen der Informationssicherheit in Übereinstimmung zu bringen. Eine einfache Regel: Je präventiver eine vorgeschlagene IT-Sicherheits-Lösung ausgelegt ist, desto mehr muss man im Rahmen der Budget-Akquisition "die Sprache der Entscheider" sprechen.
Aus der Berater-Praxis heraus lassen sich plakative vier Unternehmenstypen erkennen, die Erfahrungen im Bereich der IT-Security widerspiegeln (vgl. Abb. 1): Havariekunden haben aus ihrer aktuellen Situation heraus einen definierten IT-Sicherheits-Bedarf, der dennoch nicht allein technisch abgewickelt werden sollte. Vielmehr geht es um Budgets für klar strukturierte Investitionen, eingebettet in einen zukunftsorientierten Informationsschutz. Dies erleichtert zusätzlich die Budget-Akquisition in den Folgejahren.
Verschiedene "Kundentypen"
Bei Aktionisten und Steuerern sind ISi-Strategie und daraus abgeleitete Maßnahmen von überdurchschnittlicher Bedeutung. Die beiden Typen unterscheiden sich dabei durch den Grad der Integration von IT-Prozessen in die Geschäftsprozesse. Insbesondere Aktionisten ist für die künftige Akzeptanz von IT-Security-Investitionen zu empfehlen, genau diejenigen Aktivitäten voranzustellen, die die Kernprozesse des Unternehmens robuster gestalten.
Die anteilig größte "Kundengruppe" sind – wie zu erwarten – die späten Folger, die bislang nur wenig für den Informationsschutz ausgegeben und auch nur eine geringe Qualität hierfür erzielt haben. Hier muss der Bedarf aktiv durch den Informationsschutz-Manager definiert werden. An erster Stelle der Investitionen stehen neue Funktionen: schnellere, stabilere Informationsübertragungen oder beispielsweise das Erfüllen gesetzlicher Regelungen.
Aber Entscheider betrachten neben dem Nutzen der Lösung für das Unternehmen auch das persönliche Risiko, das mit dieser Investitionsentscheidung verbunden ist. Hier gilt die zentrale Regel: Ein "Kunde" kauft nur, wenn er versteht, was er erhält! Dies lässt sich mit den im Folgenden beschriebenen Vorgehensweisen erreichen.
Die Argumentation über die Sicherheit einzelner IT-Funktionen ist nicht zielführend – zu schnell verliert man sich in Details. Die Zusammenfassung von Einzelanwendungen und Teilfunktionen zu internen Leistungen (Services) ermöglicht hingegen die Verbindung solcher Services mit den Geschäftsprozessen des Unternehmens und liefert für den Entscheider verständlichere Bewertungsgrundlagen.
So können zum Beispiel Anwendungen, die der Außendienst mit Auftragsinformationen versorgt, die Datenbanken, die diese Information dann Konstruktionsanwendungen zur Verfügung stellen und gegebenenfalls auch Teile der Konstruktionsanwendung selbst zum Service "Auftragsdaten für die Konstruktion" zusammengefasst werden. Was verfälschte Informationen in einer komplexen Konstruktionszeichnung bedeuten, kann sich jeder betriebswirtschaftlich ausgebildete Entscheider wahrscheinlich besser vorstellen als die Wirkung von Inkonsistenzen in einer Datenbank.
Zur Bewertung der definierten Services sollten einfache und vor allem immer die gleichen Indikatoren und Kriterien herangezogen werden. Hinweise zur Definition sinnvoller Indikatoren kann beispielsweise die Information Technology Infrastructure Library (ITIL) geben. In der Praxis haben sich zur ersten Bewertung von Informationen und Services auch die (erweiterten) Standard-Sicherheitsziele bewährt: Verfügbarkeit, Vertraulichkeit, Integrität (Unversehrtheit von Daten und korrekte Funktionsweise von Systemen) sowie Verbindlichkeit (Authentizität und Nichtabstreitbarkeit).
Die klare Zuordnung von Services zu den Geschäftsprozessen – wo wird welcher Service mit welcher Ausprägung benötigt?! – ermöglicht die Bewertung von Services unter Aspekten des Informationsschutzes anhand klarer Kriterien (z. B. der vorgenannten). So lassen sich konkrete Anforderungen in der Ausgestaltung der Services umsetzen. Ein Entscheider ist damit in der Lage mögliche Risiken, die er bei Unterlassung der vorgeschlagenen Investition eingeht, besser zu quantifizieren.
Im obigen Beispiel könnten vielleicht erhöhter Personalaufwand bei den Konstrukteuren oder gar ein möglicher Kundenverlust aufgrund von Fehllieferungen der Auslöser für eine positive IT-Investitionsentscheidung sein. Das Motto, erst aus Schaden klug zu werden, erlebt man zwar immer wieder – empfehlenswert ist solches Handeln aber nicht!
Gerade bei länger laufenden IT-Informationsschutz-Projekten gibt es kaum ein nachhaltigeres Argument als "schnellen" Nutzen. Denn nichts schreckt Entscheider mehr ab als die Aussicht, erste Projektergebnisse erst nach Monaten oder gar Jahren bewerten zu können. Darüber hinaus fördern zügige erste Ergebnisse die Entscheidungsorientierung im Unternehmen: wenn also in überschaubaren Zeiträumen erfolgssichernde Nachjustierungen möglich sind, weil bereits bewertbare Ergebnisse vorliegen.
Häufig werden in der Praxis einzelne Investitionsvorschläge unterbreitet, ohne sinnvolle Alternativen zu konzipieren und vergleichend darzustellen. Zur Auswahl stehende Alternativen oder Ziele sind jedoch eine wichtige Grundlage für den Entscheidungsprozess. Dabei gilt grundsätzlich, dass auch die unveränderte Situation als Alternative in Betracht kommen kann ("so weiter wie bisher ...").
Neben leicht quantifizierbaren Planungsgrößen (z. B. Aufwand für Software- und Hardware oder für in- und externe Serviceleistungen) geht es bei Investitionen in den Informationsschutz insbesondere auch um Aufwendungen, die häufig mit dem Grad der Anwender-Akzeptanz hinsichtlich "neuer" Lösungen verbunden sind.
Grundsätzlich sollte man dokumentieren, welche möglichen Risiken gegebenenfalls in Form vorgesehener Planungsreserven zu berücksichtigen sind. Hierzu sind unter anderem die folgenden Einfluss-Größen in einer Investitions- oder Kaufentscheidungsvorlage (zumindest ansatzweise) zu betrachten:
Sind erst einmal "direkte" Kosten einer Lösungsalternative sowie damit verbundene "Unsicherheitskosten" analysiert und dokumentiert, dann sind mögliche Ergebnisgrößen zur Beschreibung der "neuen" Lösung zu ermitteln. Hier gilt: Je stärker die IT-Abteilung in einer Profit-Center-Funktion organisiert ist, desto strukturierter werden mögliche Ergebnisgrößen vorliegen. In der Praxis werden häufig Stundensätze oder prozentuale Umlagen in andere Produkte festgesetzt. Darüber hinaus kann in der Konzeption der Alternativen deutlich werden, welche Qualitätswirkung im entsprechenden Service mit jeder Lösung verbunden ist. Daraus ergeben sich konkrete Ansätze für die Darstellung des finanziellen Nutzens.
Die dritte Säule erfolgreicher IT-Budget-Umsetzung ist die Existenz eines Wertsystems. Entscheider benötigen das Wertsystem beziehungsweise ein Wertmodell, damit sie aus konzipierten Lösungsalternativen auswählen können. Gibt es bereits strukturierte Wertsysteme im Unternehmen, dann ist es sinnvoll die Auswirkungen der "neuen" Lösungen explizit im vorhandenen Wertsystem darzustellen. Zum Beispiel können Wertsysteme von einfachen Nutzendarstellungen (Kosten-Nutzen-Bewertung) hin zur Darstellung von Kapitalbarwerten der IT-Investition reichen.
Im oben begonnenen Beispiel war die ursprüngliche Intention des Unternehmens eine Erhöhung der Verfügbarkeit vertrieblicher Informationen in der Konstruktion und Auftragsvorbereitung. Die "teurere" von zwei Alternativen sieht zusätzliche Systeme vor, welche die Integrität und Verbindlichkeit der Informationen erhöhen, um die Anzahl von Fehlkonstruktionen und fehlerhaften Fertigungsleistungen zu senken. Im Ergebnis könnte trotz höherer Investitionskosten diese Alternative akzeptiert werden, da sie eindeutig eine geringere Ausfallwahrscheinlichkeit von Kernkompetenzen nach sich zieht.
Grundsätzlich sind Alternativen mit der höheren Stabilität empfehlenswert: Entweder werden damit höhere Renditen erwirtschaftet oder zumindest sind die Risiken am geringsten.
Diplom-Betriebswirt (FH) Steffen Kintz ist Senior Consultant, Diplom-Physiker Peter Herold ist Account Manager bei der ASTRUM IT GmbH (![[externer Link]](../../../../images/link.gif)
www.astrum-it.de).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#6, Seite 76
| 