IT-Sicherheit und Datenschutz

Der Bereich IT-Sicherheit und Datenschutz verfolgt das Ziel, Schutz- und Steuerungsmaßnahmen für Informations- und Kommunikationssysteme in und zwischen Unternehmen zu gestalten und ökonomisch fundiert zu bewerten. Vor diesem Ziel sollen u.a. Investitionen in die IT-Sicherheit durch die geeignete Kombination quantitativer Methoden des finanzwirtschaftlichen Risikomanagements sowie nicht-monetärer bzw. qualitativer Ansätze analysiert werden, um eine multidimensionale Bewertung und Steuerung von Maßnahmen zur Erhöhung der IT-Sicherheit zu ermöglichen. Auf dieser Basis soll die Ableitung kosten- und nutzeneffizienter Portfolios von proaktiven und reaktiven IT-Sicherheitsmaßnamen unterstützt werden, damit nicht nur Großunternehmen, sondern insbesondere auch mittelständische Unternehmen trotz begrenzter Budgets und Ressourcen ökonomisch sinnvolle IT-Sicherheitsstrategien verfolgen können. Die Entscheidungsunterstützung erfolgt dabei in Form von zu entwickelnden Tools, die eine teilautomatisierte Ableitung und Bewertung von Handlungsalternativen ermöglichen. Besonders im Fokus stehen die Themen IT-Sicherheit in Kritischen Infrastrukturen (KRITIS) und der Schutz von Unternehmen vor systemischen Risiken durch IT-basierte Wirtschaftskriminalität in komplexen und interdependenten Wertschöpfungsnetzen.

So sind Unternehmen bei der Steuerung der IT-Sicherheit in KRITIS mit Risikoereignissen konfrontiert, die zwar extrem selten eintreten, jedoch ein immenses Schadenpotential aufweisen, da in der Regel nicht nur die einzelnen Unternehmen, sondern ein großer Teil der Wirtschaft und Gesellschaft betroffen ist. Bei der Steuerung von Risiken aus IT-basierter Wirtschaftskriminalität sind insbesondere die zahlreichen und intransparenten Abhängigkeiten zu beachten, die aus der immer stärkeren Einbindung von Unternehmen in globale und zunehmend virtualisierte Wertschöpfungsnetze resultieren. Auch die Motivation der Angreifer auf die IT-Systeme unterscheidet sich im Normalfall. Während KRITIS etwa ein bevorzugtes Ziel terroristischer Angriffe sein können, ist im Bereich der IT-basierten Wirtschaftskriminalität beispielsweise die Spionage von Konkurrenten ein möglicher Beweggrund für Angriffe.

Der zweite große Schwerpunkt ist das Thema Datenschutz. In einer immer stärker vernetzten Welt muss über den Schutz von Daten neu nachgedacht werden. Trotz vorhandener Datenschutzbedenken wird heutzutage freigiebig und unbedarft (mobil) kommuniziert und damit eine ständige passive Datenerhebung ermöglicht. Betrachtet man den so genannten »Return on Privacy Investments« eines Unternehmens aus einer »Protection-Sicht«, dann sollten die Auszahlungen für Protection-Maßnahmen in einem optimalen Verhältnis zu den erwarteten zahlungswirksamen Verlusten durch Privacy-Risiken wie Umsatzeinbrüche durch Reputationsschäden oder Strafzahlungen stehen. Zusätzlich zur Wahrnehmung von Privacy aus einer Protection-Sicht mit Fokus auf der Risikominimierung kann Privacy auch aus einer Enabling-Sicht gesehen werden. Privacy kann durch Vertrauensgewinn und gute Reputation Treiber für neue Geschäftsmodelle sein.