Die Digitalisierung ist im Mittelstand angekommen. Nicht immer ist es jedoch der Wunsch nach der nächsten ganz großen Innovation oder nach vollkommen neuen disruptiven Geschäftsmodellen. In der Regel ist es der Wunsch nach erhöhter Wettbewerbsfähigkeit, höherer Produktivität oder Verschlankung von Prozessen und Abläufen, der die digitale Transformation im Mittelstand prägt – die Evolution des Status quo steht häufig im Vordergrund und die technologischen Möglichkeiten führen auch bei bestehenden Unternehmen und etablierten Geschäftsmodellen zu enorm gestiegenen Marktpotenzialen. Sei es der Einsatz von Cloud-Diensten, Prozessautomatisierungen, der Einsatz von Datenanalysen („Big Data“, „Data Analytics“, „Smart Data“), der zunehmenden Vernetzung von Geräten in IT- und Produktionsnetzen bis hin zu smarten Fabriken („Industrie 4.0“, „Smart Factory“) – die technologische Entwicklung und die daraus resultierenden Chancen erscheinen nahezu unbegrenzt.
Doch wer steuert bei dieser Technologievielfalt und der darin enthaltenen Komplexität eigentlich die Risiken, die sich hieraus ergeben? Die Bewertung von Digitalisierungsrisiken erfordert sehr tiefe Kenntnisse der jeweiligen Technologien und auch entsprechendes Erfahrungswissen, um Eintrittswahrscheinlichkeiten und Schadens-potenziale richtig vorhersagen und einschätzen zu können. Gleichzeitig erhöhen sich die Anforderungen an ein professionelles Risikomanagement in Unternehmen. Das liegt einerseits an der Marktentwicklung und andererseits am Gesetzgeber. Letzterer hat etwa jüngst mit der Datenschutz-Grundverordnung (DSGVO) das Bundesdatenschutzgesetz, samt drastischer Erhöhung der möglichen Bußgeldstrafen, zu einem europäischen Exportschlager gemacht. Auch Unternehmen, deren Geschäftsmodell bislang eher wenig von Informationstechnologie abhing und die ein vermeintlich niedrigeres Risikoprofil hatten, werden durch den Trend zur Digitalisierung einem massiven Ausbau ihrer IT-Kompetenz gegenüberstehen. Dies kann entweder durch eigenen Antrieb oder auf Druck von Mitbewerbern, Kunden oder Lieferanten geschehen. So müssen sich z.B. Automobilzulieferer aufgrund von Einkaufsanforderungen ihrer Kunden nach TISAX (eine branchenspezifische Variante eines Managementsystems zur Informationssicherheit) auditieren und zertifizieren lassen. Die Aufgaben und Verantwortlichkeiten für Informationssicherheit und Datenschutz in mittelständischen Unternehmen zu verteilen und zu steuern kann jedoch eine große Herausforderung für die Unternehmensführung sein. Täglich werden neue IT-Risiken und Schwachstellen bekannt und auch ausgenutzt – und die Digitalisierung erhöht das Tempo zudem nachhaltig, sodass die Lösung dieser Aufgabe nicht einfacher wird. Die Komplexität und schiere Quantität an möglichen Bedrohungen und Maßnahmen übersteigt oft bereits den zeitlich leistbaren Aufwand.
Im Rahmen einer Studie konnte im letzten Jahr jedoch festgestellt werden, dass Digitalisierung und Cybersicherheit sowie Datenschutz kein Widerspruch sein müssen. Denn es gibt Methodenmodelle, die dabei unterstützen, die entstehenden Digitalisierungsrisiken zu erkennen und mit geeigneten Maßnahmen wirksam zu behandeln. Insofern sind die Herausforderungen der Digitalisierung auch in mittelständischen Unternehmen lösbar, erfordern allerdings pragmatische Anpassungen von bestehenden Managementsystemansätzen für Risikomanagement, Datenschutz und Cybersicherheit, gerade weil trotz aller Komplexität die Umsetzungsgeschwindigkeit ein zentraler Wettbewerbsvorteil ist. Insofern gilt es, sich nicht von den vermeintlichen Risiken von der Digitalisierung oder technischen (R)Evolutionen abhalten zu lassen, sondern professionell zu bewerten, indem identifizierte Risiken dokumentiert und durch Auswahl und Umsetzung geeigneter und wirksamer Maßnahmen auf ein akzeptables Niveau vermindert werden können. Denn nur durch die Berücksichtigung von nicht-funktionalen Anforderungen aus den Bereichen Cybersicherheit und Datenschutz kann eine Digitalisierungsstrategie nachhaltig erfolgreich sein.
Teilen:
