CIO 043 – Integrierte Governance, Risk & Compliance Konzepte und Systeme – Interview mit Samuel Brandstätter

Samuel Brandstätter

Samuel Brandstätter

Hallo und herzlich willkommen zur CIO Podcast Folge 43. In der heutigen Folge geht es um das Thema Governance, Risk & Compliance, oder besser gesagt dem ganzen Themenkomplex rund um die Themen Governance, Risk & Compliance (GRC), Information Security Management System (ISMS) und EU-Datenschutz-Grundverordnung (EU-DSGV). Dazu spricht Petra Koch mit Samuel Brandstätter.

In diesem Zusammenhang schauen Samuel Brandstätter und Petra Koch sich Konzepte an, Tool-Unterstützungen und beleuchten wie Sie in der IT das ganze Thema aufbauen und angehen können. Die EU-Datenschutz-Grundverordnung wird ebenfalls Thema sein, damit Sie für Mai 2018 vorbereitet sind.

Folgende Aspekte werden in der Podcast-Folge besprochen:

  • Aktuelle Herausforderungen für CIOs? [00:00:30]
  • Fragmentierter vs. integrierter IT-Governance Risk und Compliance (GRC) Ansatz [00:05:00]
  • Was hat die EU-Datenschutz-Grundverordnung (EU-DSGV) mit GRC zu tun? [00:09:30]
  • Motivationen für CIOs & Geschäftsführer sich mit der EU-Datenschutz-Grundverordnung auseinander zu setzten [00:13:00]
  • Lösungsansätze für integriertes Governance Risk und Compliance (GRC) Management inkl. der EU-Datenschutz-Grundverordnung [00:15:30]
  • Nutzen von Tool-Unterstützung im GRC Kontext [00:17:50]
  • Ein Tipp an CIOs und IT-Manager [00:23:30]

Samuel Brandstätter verantwortet als geschäftsführender Gesellschafter und Co-CEO der avedos GRC GmbH die strategische Ausrichtung des Unternehmens, Consulting & Implementation, GRC-Solutions sowie Finance & Controlling. Samuel Brandstätter hat ausgehend von seinen Wurzeln in der Informationstechnologie eine breite Expertise im fachlichen Umfeld Governance, Risk und Compliance aufgebaut. Er greift darüber hinaus auf über 15 Jahre Erfahrung in der Organisationsberatung zurück und unterstützt seit dieser Zeit große Unternehmen und Konzerne mit der technologischen Abbildung und Integration verschiedenster Management-Systeme. Mit einer wissenschaftlichen Arbeit im Kontext Risikomanagement, Informationssicherheit und Business Continuity Management sowie einem parallel geführten Pilotprojekt legte er den fachlichen Grundstein der heutigen GRC risk2value. 2005 gründete er gemeinsam mit Dr. Mache avedos.

Die avedos GRC GmbH wurde wie schon gesagt 2005 gegründet und ist ein europäisches Software-Unternehmen in privater Hand mit circa 80 Mitarbeitern und dem Hauptsitz in Wien. Das Unternehmen hat sich auf Governance Risk und Compliance Management spezialisiert. Im Kern der Bemühungen steht die Integration der verschiedenen GRC Disziplinen. Die avedos Softwarelösungen fungieren als Bindeglied zwischen operativen Ebenen und dem Top-Management. Sie ermöglichen risikobewusste und wertorientierte Entscheidungen in einer komplexen Unternehmenswelt. Die Software-Plattform risk2value deckt eine Vielzahl von GRC Anwendungsbereichen ab. Dazu zählen Enterprise Risk Management, das interne Kontrollsystem Compliance Management, Audit Management, Informationssicherheits-Management und vieles mehr.

Zu den Kunden zählen die weltweit größten und erfolgreichsten Automobilhersteller, Versicherungen, Telekommunikations- und Handelsunternehmen. Freuen Sie sich also mit mir auf ein spannendes Interview zum Thema Governance, Risk und Compliance und wie gesagt der EU-Datenschutz-Grundverordnung, wie man da richtig drauf eingeht und wie man da das bestehende, was man schon im Unternehmen hat, sinnvoll nutzen und integrieren kann. Viel Spaß. Wir freuen uns auf Ihre Kommentare zum Interview, diskutieren Sie mit. Weitere Links finden Sie hier.

Transkript des Interviews

Petra Koch: Herr Brandstätter, was sind aus Ihrer Sicht aktuelle Herausforderungen für CIOs? #00:03:17-0#

Samuel Brandstätter: Wir sprechen mit vielen CIOs, weil wir in große Konzerne hineingehen mit unserer Governance, Risk und Compliance Management Software, da natürlich oft Berührungspunkte mit der IT haben, einerseits die IT als Fachbereich, aber dann auch die IT als Unterstützer für die Risk-Management Fachbereiche. Was wir da oft sehen ist, dass sowohl externe als auch interne Herausforderungen in den letzten Jahren doch erheblich gestiegen sind. Wir sehen so Themen wie, dass von Geschäftsführungsseite eine starke Dynamisierung der Geschäftsmodelle gefordert ist, die in vielen Fällen extreme Auswirkungen auf die IT haben.

Es gibt einen ganzen Haufen unterschiedlicher Megatrends, die wir wahrnehmen, Themen wie Digitalisierung, Thema Industrie 4.0, Spezialthemen wie Predictive Maintenance, die natürlich alle auch für die IT in Organisationen eine erhebliche Auswirkung haben und dementsprechend natürlich Herausforderungen für den CIO bringen, in diesem Umfeld. Die sich verändernden Anforderungen Sicherheit, Performance, Nachhaltigkeit, Verlässlichkeit, der IT sicherzustellen und das Ganze ist jetzt nur ein Teil der Medaille.

Der zweite Teil, den wir dann eben auch noch sehen ist, dass auch gleichzeitig noch der Druck von Seiten der Regulatorien massiv steigt. Dinge wie die EU-Datenschutz-Grundverordnung, die wir in den letzten Jahren immer häufiger hören und die jetzt dann mit nächstes Jahr schlagend wird, sind natürlich Themen, die auch wiederum auf die IT Auswirkungen haben und diese ganzen vielschichtigen Elemente zusammen zu orchestrieren und dabei Performance und Integrität der IT sicherzustellen, das ist etwa, was wir im Moment bei den CIOs, mit denen wir zu tun haben, als große Herausforderung sehen. #00:05:02-3#

Petra Koch: Sie haben da ja schon angesprochen, Sie sind schwerpunktmäßig in dem Thema Governance, Risk und Compliance unterwegs. Inwieweit kann ein integrierter IT Governance Risk und Compliance, also GRC-Ansatz helfen, diese Herausforderungen zu meistern und was steckt genau dahinter? #00:05:17-7#

Samuel Brandstätter: Da muss ich am Beginn mal anschauen, was ist GRC eigentlich seiner Definition nach und das ist nicht mal speziell IT, sondern weil allgemein betrachtet, Governance, Risk und Compliance Management ist am Ende eine integrierte Sammlung von Fähigkeiten, die eine Organisation in die Lage versetzen, Ziele verlässlich zu erreichen, mit Unsicherheiten umzugehen und als Organisation integer zu handeln.

Was heißt integer zu handeln? Das bedeutet eigentlich, nach außen das widerzuspiegeln, was man intern auch wirklich lebt. Und diese drei Elemente, nämlich Ziele verlässlich zu erreichen, mit Unsicherheiten umgehen und integer zu handeln, das ist das, was GRC ausmacht. Wenn ich das jetzt umlege auf die IT, dann ist IT GRC als Begriff mit genau den gleichen Zielsetzungen ausgestattet und hilft mir natürlich genau bei der Thematik in sich verändernden Umfeld-Bedingungen als Organisation integer zu bleiben, seine Ziele im Fokus zu haben und auch die Ziele mit den Zielen meiner Umwelt und das ist natürlich auch der Vorstand, das ist der Vertrieb, das sind die verschiedenen Fachbereiche, die wir als IT unterstützen, dann ausgerichtet zu haben und diese Ziele am Ende des Tages dann auch als IT wirklich erbringen und erfüllen zu können. #00:06:31-1#

Petra Koch: Und wenn ich jetzt nicht so einen integrierten Ansatz habe, sondern fragmentierte Ansätze, was habe ich als Unternehmen oder als IT-Abteilung dann für Herausforderungen? #00:06:40-6#

Samuel Brandstätter: Wir sehen das bei vielen Unternehmen diese fragmentierten Ansätze, es gibt ganz interessante Beispiele, gerade in der Bankwirtschaft. Wenn man sich anschaut und Finanzinstitutionen, die halt einem starken regulatorischen Druck unterliegen, dann sieht man da einen Reflex in den Organisationen, der problematisch ist und zwar kommt es oft zu diesen fragmentierten Systemen, wenn es eine externe Prüfung gibt, wo im ganzen Haus dann Findings identifiziert werden. Ich muss an der Stelle was was tun, ich muss da die Sicherheitsmaßnahmen verbessern, ich muss da meine Prozesse verbessern. Für jedes dieser Findings wird dann dementsprechend auch ein Projekt aufgesetzt und ein Projekt führt dann am Ende des Tages meistens zu irgendeiner Art von Management System.

Wo es uns hinbringt, ist, dass wir bei vielen Organisationen heute sehen, dass das Thema z.B. Business Impact Analyse, also die Qualität von gewissen Geschäftsdaten und Prozessen festzulegen etwas ist, was aus unterschiedlichen Perspektiven zigmal im Unternehmen gemacht wird, das heißt, ich habe ein Business Contuinity Management, ich habe ein Informationssicherheits-Management, ich habe ein IT-Risikomanagement, die reden nicht miteinander im schlimmsten Falle, schon gar nicht werden gleiche Informationen verwendet und das führt natürlich dazu, dass sich auf der einen Seite die Organisation, nämlich all diejenigen, die mir Informationen liefern müssen in diese Management-Systeme überbordend beansprucht.

Das ist ein erheblicher Ressourcen Aufwand, der in den Organisationen da mittlerweile anfällt, zumal ja auch die Anzahl der Management-Systeme tagtäglich steigt, ich habe vorhin das Datenschutzthema schon angesprochen, da kommt wieder ein neues Management-System und wenn ich nicht beginne diese Dinge quasi in sync zu halten, das heißt miteinander zu verknüpfen und festzustellen, aha, es wurden schon Kritikalitäten für Geschäftsprozesse erhoben, an denen sollte ich mich angliedern und die nicht noch mal erheben. Man hat es, genau diese Problematik mit Aufwand in der Organisation, der passiert, mit Komplexität, die entsteht, mit Redundanz und diese Redundanz ganz massiv auch zu Fehlern, weil natürlich im besten Falle bekomme ich, wenn ich jemanden zweimal die gleiche Frage stelle, die gleiche Antwort.

Oft ist es aber nicht so, weil das von der Tagesverfassung abhängig ist, ob er etwas kritischer oder weniger kritisch sieht. Das heißt, je öfter ich jemand dauernd abfrage, desto kritischer werden auch diese Inkonsistenzen und Aussagen. #00:08:51-5#

Petra Koch: Ja. Und wahrscheinlich je größer das Unternehmen ist, desto größer ist auch die Herausforderung die Sachen integriert zu halten oder? #00:08:59-3#

Samuel Brandstätter: Ja durchaus. Natürlich ist es, je mehr Personen involviert sind und vor allem je mehr Verantwortliche involviert sind, schwieriger. Wir sehen bei den großen Unternehmen das Thema GRC Integration auch unter dem sage mal Mantel der Politik, der internen Unternehmenspolitik, nicht ganz einfach, weil oft sind da auch Befindlichkeiten von Einzelpersonen mit dabei, ich habe meinen Bereich, für den ich verantwortlich bin und ich will mich gar nicht zu sehr mit anderen verbünden. Diese Barrieren, die gilt es natürlich auch wirklich durch einen guten Tonfall on top zu durchbrechen, um dann hier für das Unternehmen Mehrwert schaffen zu können. #00:09:33-4#

Petra Koch: Ja. Sie haben gerade schon angesprochen, die EU-Datenschutz-Grundverordnung ist ja momentan in aller Munde. Sie haben auch gesagt, da kommt schon wieder neues Management-System. Welche Änderungen bringt das mit sich und was hat das mit dem Thema GRC zu tun? Wie sollten das die CIOs und IT-Manager angehen? #00:09:50-8#

Samuel Brandstätter: Was wir sehen, ist, es gibt ganz viele verschiedene Herangehensweisen um das Thema Datenschutz-Grundverordnung. Wenn man sich ein bisschen auf Veranstaltungen tummelt, dann sieht man, dass es ganz viel gibt auf den IT-Veranstaltungen zum Thema: Wie setze ich technisch die Datenschutz-Grundverordnung um? Das heißt, das ist eine starke technische Komponente, die da auch dahinter hängt. Was klar ist, weil am Ende des Tages geht es darum, dass ich in allen meinen Systemen, über alle auch Archiv-Systeme, Backup-Systeme, sicherstellen kann, dass, wenn eine Anfrage kommt, dass jemand seine persönlichen Daten gelöscht haben will, ich in der Lage bin, das flächendeckend zu machen.

Die wenigsten Unternehmen, muss man ganz realistisch sagen, sind heute dazu in der Lage. Denn die wenigsten Unternehmen wissen auch überhaupt, wo sie diese personenbezogenen Daten denn überall speichern und was sie von einer Person alles gespeichert haben. Die Datenschutz-Grundverordnung, die fordert mich mal heraus eigentlich in meinen Datenwust sehr viel mehr Klarheit rein zu bekommen und sie fordert einen ganz massiven Paradigmenwechsel und der Paradigmenwechsel, der tut vielen Unternehmen weh, nämlich in der Hinsicht, wir haben in den letzten Jahren einen starken Trend, auch durch Big Data und durch Analytics getrieben, gesehen, dass Unternehmen begonnen haben, alles, was sie an Daten bekommen können, zu sammeln und diese Daten dann nach unterschiedlichsten Kriterien auszuwerten und quasi diesen Datenschatz, den sie aufgebaut haben, sukzessive zu beginnen zu nutzen.

Dem wird jetzt ein ganz massiver Riegel vorgeschoben, denn in der Datenschutz-Grundverordnung steht beispielsweise auch drin, dass ich ganz klar von Anfang an bekannt geben muss, was ist der Zweck, zu dem ich einen gewissen Datensatz speichere. Und das heißt, ich muss den Zweck schon vorab determinieren können, damit ich die Daten überhaupt speichern darf. Diese Herangehensweise und dieser Paradigmenwechsel in Organisationen hat einen immensen Impact und er einen immensen Impact gerade auch auf die Denkweise über Sicherheitsprozesse, über Sicherheitsmaßnahmen, über technische Maßnahmen. Da sehen wir einfach, dass hier viele Herausforderungen auf die Unternehmen zukommen.

Was hat das jetzt mit GRC zu tun, um auf Ihre Frage zurückzukommen? Am Ende des Tages ist alles, was im Kontext Sicherheit, Performance und Integrität der Unternehmen steht, Teil von Governance, Risk und Compliance Management, weil es sich diesem Ziel unterordnet als Organisation meine Ziele zu erreichen, mit Unsicherheit umzugehen und integer zu handeln. Das heißt auch, die Datenschutz-Grundverordnung ist im Endeffekt eine regulatorische Anforderung, die von außen auf mich hereinprasselt als Unternehmen. Ich muss damit umgehen und ich muss auch darstellen können, dass ich damit umgehen kann.

Viele Unternehmen beginnen jetzt im Reflex darauf ein eigenes Datenschutz-Management-System aufzubauen und das ist natürlich etwas, was ich tun kann, wo ich aber feststellen werde, dass es doch viele Verknüpfungen gibt, die schon zu bestehen Management-Systemen, Beispiel Informationssicherheit-Management-System, wo ich schon eine Business Impact Analyse fahre, jetzt muss eine Privacy Impact Analyse fahren, wo ich Daten klassifiziere, nach deren Kritikalität hinsichtlich Datenschutz. Das ist eigentlich nur ein neues Kriterium für einen bestehenden Prozess. Das heißt, es ist viel gescheiter sich mit der Frage auseinander zu setzen, wie kann ich denn in meine bestehenden Management-Systeme die Datenschutz-Denkweise mit involvieren als hier wieder ein neues Management-System zu etablieren. #00:13:04-8#

Petra Koch: Ja. Sie haben das jetzt gerade schon angesprochen, wie mächtig das ganze Thema ist. Ich könnte mir jetzt vorstellen, manche CIOs und IT-Manager oder auch Geschäftsführer trauen sich da momentan noch gar nicht so richtig ran. Welche Motivation stellen Sie denn fest, dass CIOs, IT-Manager, auch vielleicht Geschäftsführer sich Maßnahmen überlegen und sich auf die EU-Datenschutz-Grundverordnung vorzubereiten? #00:13:27-9#

Samuel Brandstätter: Wir erleben immer wieder Unternehmen, die, mit dem im Moment noch vorsichtig umgehen. Wobei man dazu sagen muss, dass sich damit jetzt nicht auseinanderzusetzen eigentlich viel gefährlicher ist als sich damit auseinanderzusetzen. Die Motivation ist eigentlich jetzt mal aus einer Außenbetrachtung relativ simpel.

Der Gesetzgeber hat für eine starke Motivation gesorgt, indem lakonische Strafen drohen bei Vorfällen. Da geht es um 2 bis 4 Prozent des Brutto-Jahresumsatzes und zwar konzern-konsolidiert. Das heißt, wenn ich irgendwann in meinem Konzern eine Tochterfirma habe, wo ein Datenschutzvorfall ist, dann kann es zu solchen Strafen kommen, betrifft aber den Gesamtkonzern. Das heißt, es ist damit auch sichergestellt, dass das Ganze wirklich zu einem Headquarter-Thema wird und man jetzt nicht einfach nur sagen kann: Ja, die legal entity [Tochtergesellschaft] soll sich mal selber drum kümmern und gut ist und ich zentral bin damit aus dem Schneider. Das ist nicht der Fall.

Das heißt, es gibt auf der einen Seite diese regulatorische Motivation sage ich mal, die durchaus heftig ist. Auf der anderen Seite sehen wir aber auch, dass bei vielen Personen im Top-Management und in den Geschäftsführungen, in den Vorständen, ein Sinneswandel beginnt zu greifen, dass Sicherheit zu schaffen nicht etwas ist, was einfach nur ein Kostenblock ist, den wir halt irgendwie tun müssen, weil es halt nicht anders geht, sondern dass das auch Teil meines Geschäftsmodells ist und ein wichtiger Faktor eben genau meine Ziele zu erreichen.

Gerade, wenn man bei den CEO Fraud, als ein Beispiel nimmt, ja auch zu diesem Sinneswandel beigetragen hat in den Geschäftsführungsetagen vieler Unternehmen, dann ist es ja so, dass man da von einigen Unternehmen gehört hat, die Millionenschäden tragen mussten durch diesen CEO Fraud, bei vielen hat das nicht gehört. Und all diese Aspekte, die passieren, die öffentlichkeitswirksam werden, die auch in den Vorstandsetagen dann eben für Fragezeichen sorgen, die sorgen auch für einen Sinneswandel hinsichtlich der Bedeutung von Sicherheit, gerade im Sinne der zunehmenden Digitalisierung von Geschäftsmodellen, weil viele mittlerweile verstanden haben, dass Daten heute eigentlich das wertvollste Gut sind, mit dem wir handhaben und dementsprechend die Sicherheit eigentlich der immanente Schutz für meine Unternehmenswerte sind. #00:15:39-7#

Petra Koch: Wenn die CIOs und IT-Manager, auch die Geschäftsführung, das jetzt zu ihrem Thema gemacht hat und sie sagen, okay das wollen wir angehen, wie können Sie diesen Herausforderungen vor allen Dingen beim Thema GRC und auch beim Thema Datenschutz-Grundverordnung begegnen und das ganze Thema integriert angehen? #00:15:55-5#

Samuel Brandstätter: Ich habe vorhin schon kurz angeteasert, wir sehen bei unseren Kunden einen starken Trend, den wir auch stark unterstützen. Unternehmen, die sich schon seit Jahren mit dem Thema Informationssicherheit, mit dem Thema Business Continuity auseinandersetzen und andere Management-Systeme schon auch etabliert haben und dabei ist es jetzt egal, ob das schon zertifiziert ist nach irgendeiner ISO-Norm oder nicht, sondern mehr einfach diese Denkweise im Unternehmen schon etabliert ist und gewisse Management-Systeme schon existieren, die leben.

Diese Unternehmen, die das schon haben, da merken wir, dass der Gedankenprozess in diese Richtung geht, die Anforderungen aus der Datenschutz-Grundverordnung wirklich da zu integrieren. Warum ist das so sinnvoll? Wenn wir uns anschauen, was muss ich denn tun, um die Regularien der Datenschutz-Grundverordnung einhalten zu können? Eine der ganz wesentlichen Eckpfeiler ist, ich brauche ein Datenschutz-Management-System, das bedeutet, ich muss eine Privacy Impact Analyse machen, das heißt auf gut Deutsch, ich muss in der Organisation identifizieren, wo haben wir denn überhaupt welche Daten, wo speichern wir zum Beispiel von Kunden irgendwelche persönlichen Vorlieben oder irgendwelche Einkaufsmuster oder ähnliche Dinge und wie gehen wir mit diesen Daten um?

Das zu klassifizieren und zu erheben, ist etwas, das vom Prozess her einer Business Impact Analyse, die wir im Informationssicherheitsumfeld schon Jahre machen, nicht so fremd. Das heißt, da sind wir relativ nahe dran vom Prozess her. Das heißt, es geht wirklich darum, bestehende Strukturen, bestehende Management-Systeme und Prozesse, die bereits etabliert sind in der Organisation, um einen weiteren Nutzen zu erweitern, nämlich genau die Anforderungen, die aus dem Datenschutz-Management kommen und das ist auch das, wo glaube ich GRC ganz eine wesentliche Rolle spielt.

Governance, Risk und Compliance Management, da geht’s genau um diese Integration. Da geht es nicht darum, dass ich für jede Anforderung ein eigenes Management-System baue, sondern dass ich mir substanziell, inhaltlich, gesamtheitlich überlege, was bedeutet denn ein integriertes Management-System aufzubauen, mit dem ich diese unterschiedlichen Anforderungen aus Sicherheitsmanagement, Qualitätsmanagement, Datenschutzmanagement und so weiter dann integriert erfüllen kann. #00:17:56-1#

Petra Koch: Okay. Wir haben das eben schon mal ganz kurz angeschnitten, da ging es ganz am Anfang darum, dass die Unternehmen oder vor allem die IT-Abteilung sich jetzt gerade mit der Tool-Frage beschäftigen und auch häufig da schauen, wie sie das Ganze technisch abwickeln. Welchen Nutzen hat denn Tool-Unterstützung im GRC Kontext? #00:18:12-8#

Samuel Brandstätter: Ich glaube, einer der wesentlichsten Faktoren ist, wenn wir von Tool sprechen, gibt es zwei Arten von Tools, die wir differenzieren müssen. Es gibt so diese Werkzeuge, die einem zentralen Risikomanager, zentralen Datenschutzverantwortlichen helfen zu wissen, was er zu tun hat. Das ist quasi ein Werkzeug für ihn persönlich. Das hat meines Erachtens einen relativ geringen Mehrwert in der Organisation, weil ich nicht die Leute im Feld, wo wirklich das tägliche Leben passiert mit involviere in diesen Prozess, sondern weil der Nutzer im Endeffekt nur eine zentrale Stelle ist. Immer mehr Unternehmen erkennen aber, dass sie eben diese Prozesse dezentral ausrollen müssen.

Beispiel: Wenn ich von IT Risikomanagement spreche, dann macht es natürlich Sinn, dass sich die ganze Systemverantwortlichen, die für verschiedene IT-Systeme die Verantwortung tragen und die die Risiken damit am besten einschätzen können, dass wir dort Datenverlust haben oder dass uns dort jemand einbricht, irgendwelche Daten klaut, dass ich die in den Prozess involviere. Und je mehr ich das mache, das heißt je stärker ich mit einem Thema in die Organisation hinausgehe, desto stärker wird auch der Tool-Nutzen zum Tragen kommen, denn man kann sich das relativ simpel vorstellen, viele Unternehmen beginnen mit Excel sowas zu machen, wenn ich dann aber mal weiß nicht 50, 100, 200, 500 Leute habe, die an seinem Prozess partizipieren, dann ist es relativ schwierig die ganzen Daten in sync zu halten mit 500 Excels.

Es ist auch relativ schwierig Maßnahmen nachzuverfolgen, das heißt ich habe irgendwo unterschiedlichste Excels liegen, wo irgendwelche Maßnahmen drinstehen, aber wer hat den Überblick, wer verfolgt die nach, gibt’s irgendwelche Workflows, die die Leute daran erinneren, dass noch was zu tun ist? Es fehlt oft ganz viel an Verbindlichkeit, wie genau der Mehrwert ist von einem Werkzeug, wenn ich ein Software-Werkzeug einsetze, das Workflow unterstützt, das Nachverfolgung unterstützt, das E-Mail-Notifikationen unterstützt und das die Leute damit in einem Prozess involviert und nicht nicht nur im Sinne von, du kriegst eine Frage gestellt, dann gibst du mir eine Antwort und dann war es das und in dann einem Jahr komme ich wieder. Also kein klassisches Assessment-Prozess, sondern wirklich ein Management-System. #00:20:12-5#

Petra Koch: Sie haben das gerade schon angesprochen, die Vielfalt der Prozessbeteiligten. Was sind noch andere Gründe, aus denen so ein GRC-Tool oder auch häufig Information-Security-Management-System, ISMS genannt, eingeführt wird? #00:20:26-9#

Samuel Brandstätter: Ich glaube, einer der positiven Gründe, den wir uns wünschen in den Organisationen, weil er am meisten Impact hat, ist, dass es vom Top-Management als Auftrag gegeben wird und dementsprechend vom Top-Management getragen wird. Weil das Top-Management verstanden hat, dass Sicherheit in der Organisation zu schaffen, etwas ist, was immanent die Resilienz des Unternehmens steigert und damit auch die Performance des Unternehmens steigern kann. Oft ist natürlich die Welt nicht so rosa gefärbt, sondern es gibt andere Gründe.

Wir sehen bei vielen Unternehmen, dass sie sich so mit dem Thema Sicherheit auseinandersetzen ganz trivial, weil sie Vorfälle hatten, die geschmerzt haben. Es gibt so einen Ausspruch, der Mensch lernt nur durch Schmerz. Das stimmt sicher zum Teil, Gott sei Dank nicht überall und nicht immer, aber natürlich ist es ein Motivator für viele Organisationen, wenn sie schon in den Vergangenheit Sicherheitsvorfälle hatten, die wehgetan haben, wo kritische Situationen passiert sind. Das wünschen wir keinem, aber es ist etwas, wo wir sehen, dass dann oft ein Umdenkprozess stattfindet und man sich mit dem Thema stärker auseinandersetzt. Wenn man es jetzt mal spezifisch runterbricht auf den Punkt, warum führen Unternehmen ein ISMS-Tool ein oder ein GRC-Tool ein, dann sind es eigentlich vor allem zwei Begriffe, die hier zum Tragen kommen.

Das ist Effizienz und Effektivität. Wenn ich mit der Effizienz beginne, wir haben vorher gesagt, je stärker ich einen GRC-Prozess in die Organisation hinaustrage und damit die Anzahl der Involvierten erhöhe, desto aufwändiger wird es, wenn ich nicht einen wirklich gut umgesetzten systemseitig unterstützten Prozesse habe. Das heißt, gerade wir in der IT wissen am besten, dass so ein IT-System einen solchen Prozess gut unterstützen kann und dass wir dadurch Effizienz schaffen, weil die Leute eben nicht die gleiche Frage fünfmal beantworten müssen, sondern das System erkennt, dass die schon mal beantwortet worden ist und diese Information wieder verwendet. Weil wir zum Beispiel eben nicht 700 E-Mails in die Weltgeschichte schicken müssen mit irgendwelchen Erinnerungen, sondern das System macht das automatisiert und zu den richtigen Zeitpunkten und mit dem richtigen Inhalt. Das heißt, hier kann ich viel Effizienz schaffen.

Auf der anderen Seite die Effektivität und das ist mir das fast Wichtigere, auch wenn es für ROI vielleicht nicht so der vordergründige Treiber ist, die Effektivität bedeutet, dass wir die Sicherheitsmaßnahmen, die wir setzen, also wenn das Top-Management beschlossen hat, wir wollen einen Sicherheitsprozess, dann wird die Effektivität dieses Sicherheitsprozesses dramatisch steigen, wenn wir strukturierte Werkzeuge einsetzen. Ganz einfach, weil wir uns weniger mit dem Prozess als solches und mehr mit den Inhalten auseinandersetzen können.

Ich will, dass die zum Beispiel IT-Risikomanagmentprozess die IT-System-Verantwortlichen, die an dem Prozess teilnehmen, nicht darüber nachdenken müssen, wo macht man das jetzt und wo muss ich da reingehen und wie ist das letztes Jahr gegangen und was muss ich jetzt da alles tun? Die sollen sich nicht über diese Dinge Gedanken machen, sondern sie sollen sich über die Inhalte Gedanken machen, über die konkreten Risiken, die sie in ihren Systemen haben und wie sie die managen. Und wir die Leute freisetzen, das zu tun, weil das Rundherum funktioniert und systemseitig so gut und so usable ist, dass ich damit nicht viel Zeit verbrennen muss, dann bekomme ich Effektivität in diesen Sicherheitsprozessen. #00:23:32-9#

Petra Koch: Ja super. Wenn sie einem CIO beziehungsweise einem IT-Manager einen einzigen Tipp geben könnten, welcher wäre das? #00:23:39-6#

Samuel Brandstätter: Wir haben bewusst als Company einen Slogan für uns und für unser Offering gewählt, der aus drei ganz simplen Wörtern besteht und der heisst „Performance with Integrity“. Denn der fasst alles zusammen, was im GRC Governance, Risk und Compliance Management, jetzt worüber wir jetzt auch in dem Gespräch uns ausgetauscht haben, nämlich am Ende müssen wir als Unternehmen es schaffen den Ausgleich zu bekommen zwischen Performance, also das, was wir schaffen zu erreichen, unserer Ziele zu erreichen, Wachstumsraten zu erreichen, die von den Shareholders irgendwie vorgegeben sind und das aber in Balance zu stellen mit Integrity, das heißt mit der Art und Weise, wie wir diese Ergebnisse erreichen.

Und wenn ich in die IT-Organisationen hineinschaue, dann sehen wir an vielen Stellen immer noch einen starken Fokus auf Performance und einen sehr viel schwächer ausgeprägten Fokus in der Integrität, das heißt in den Sicherheitsprozessen, in den Management-Prozessen für die IT selbst und ich glaube, dass die IT da aber eine wirkliche Leuchtturm-Funktion in der Organisation wahrnehmen kann. Denn, wenn man sich anschaut, in der IT ist es wirklich so, dass die zum Beispiel Sicherheitsprozesse seit Jahren ein wesentlicher Kernbereich sind.

Es ist jedem ITler klar, dass wenn ich etwas entwickle, muss ich es testen, es ist jedem klar, dass wenn ich ein System live bringe, muss ich schauen, sind da irgendwelche Sicherheitslücken drin. Das heißt, wir haben viele Gedanken, Prozesse und Vorgehensweisen in der IT schon etabliert, die im Gesamtunternehmen sich so noch nicht überall wiederfinden.

Und das ist mein Appell an die CIOs und die IT-Manager an diese Leuchtturm-Funktion, gerade in diesen Prozessen der Digitalisierung die im Moment stattfinden, wo die IT sehr viel stärkeren Stellenwert bekommt auch im gesamten Offering eines Unternehmens, diesen Leuchtturm-Effekt zu versuchen voranzutreiben, indem sie in der IT die IT-GRC-Prozesse sauber aufsetzen und denen einen entsprechenden Stellenwert in der Steuerung der IT geben. #00:25:46-7#

Petra Koch: Herr Brandstätter, super. Vielen Dank für die spannenden Informationen zum GRC-Thema und auch zur EU-Datenschutz-Grundverordnung. Ich denke, das wird vielen CIOs weiterhelfen. Vielen Dank! #00:25:56-4#

Samuel Brandstätter: Vielen Dank auch von meiner Seite.  #00:25:57-9#

Ihr Feedback

Wenn Ihnen der Podcast gefällt, bewerten Sie ihn bitte auf iTunes!
Eine Anleitung finden Sie hier. Sie helfen damit den Podcast bekannter zu machen. Herzlichen Dank!

Wie gefällt Ihnen diese Folge des CIO Podcasts? Senden Sie Ihr Feedback, Anregungen und Wünsche einfach über das Kontaktformular direkt an die Redaktion des CIO Podcasts (nicht öffentlich):



* = Pflichtfeld

Weitere Podcast Folgen finden Sie hier.

Getagged mit: , , , , , ,