Der Covid-19 Lockdown-hat der global vernetzten ICT-Branche drastisch vor Augen geführt wie verletzlich globale Lieferketten sind, wie wichtig der Aspekt "Sicherheit" im globalen Supply Chain Management ist. Lieferketten- bzw. Wertschöpfungskettensicherheit ist ein Faktor, dem in der Vergangenheit nur bedingt Rechnung getragen wurde. Dementsprechend hektisch haben die ICT wie viele weitere Branchen reagiert, versucht Risiken zu minimieren, entstandene Lücken nachhaltig zu schließen, Produkt- wie Service-Verfügbarkeit während und nach dem Lockdown aufrecht zu erhalten.
Erlebtes Fehlen von Sicherheit führt zu Aktivität
Ähnliche Situationen sind im Kontext "Sicherheit" seit Jahren bekannt. Ob Security oder Backup - die bewusste Beschäftigung mit diesen Themen erfolgt oftmals erst nachdem erlebtes Fehlen von Sicherheit stattgefunden hat, sich beispielsweise Hacker erfolgreich Zugriff zu Rechnern oder Netzwerken verschafft haben, Daten und Informationen aufgrund unzureichender Sicherheits- bzw. Sicherungsstrategien entwendet wurden oder verloren gingen.
Der in der Regel unter starkem Zeitdruck stehende und vielfach äußerst zeitaufwendige Recovery-Prozess führt zu einer veränderten Wahrnehmung. Sind es vor dem Eintritt eines sicherheitsrelevanten Ereignisses häufig Compliance Regelungen und Befürchtungen/Ängste, die Investitionen in Security begünstigen, sind es nach dem Eintritt eines Ereignisses der Aufwand, den Schaden zu beseitigen sowie die Einschätzung der Größe des entstandenen Schadens kombiniert mit den zu ergreifenden Maßnahmen, um ähnliche Vorfälle in Zukunft zu vermeiden. So verwundert es nicht, dass die Cyber-Kriegsführung mit dem Trojaner "Stuxnet", der darauf ausgelegt war, iranische Atomanlagen auszuspionieren und lahmzulegen, im Jahr 2010 durch die gesamte Weltpresse ging, dass Trojaner wie Emetot es schaffen, Rechner auch zum wiederholten Male zu infizieren, oder dass Warnungen des BSI selbst von Unternehmen nur bedingt berücksichtigt werden.
Anbieter von Sicherheitslösungen wie deren Vertriebspartner machen diese Erfahrung im täglichen Geschäft: eine Reihe von Kunden steht objektiv-erforderlichen Security-Investitionen aufgrund einer unterschiedlichen subjektiven Risiko-Einschätzung bzw. eines subjektiv erlebten Sicherheitsgefühls skeptisch bis abwartend gegenüber, obwohl die Faktenlage klar dagegen spricht. Selbst das Grundbedürfnis nach Sicherheit führt somit im Geschäftsalltag nicht zwingend zu entsprechenden Investitionen und Mehrumsätzen.
Risko-Faktor Nr. 1: der Mensch, der Nutzer selbst
Der im Geschäftsleben agierende Nutzer mit seiner stark subjektiv geprägten Risiko- wie Sicherheitswahrnehmung ist somit Risiko-Faktor Nr. 1, sowohl für die Implementierung erforderlicher Security-Lösungen, wie auch für denkbare Bedrohungsszenarien:
fehlendes Sicherheitsbewusstsein,
menschliche Fehler und
Unwissenheit bzw. Informationsdefizite
führen die Liste der Sicherheitsrisiken im geschäftlichen Alltag an (siehe Abbildung). Ergänzend zu dem klassischen Security Portfolio der Anbieter - Endpoint & Server Security, Cloud &Cyber Security, Managed Security Services u.a. - ist es daher zwingend erforderlich Kunden in den unterschiedlichen Unternehmensbereichen wie Hierarchieebenen für Security Risiken angemessen zu sensibilisieren. Dies hat zwei einfache wie vorteilhafte Konsequenzen zur Folge:
das objektive, faktische Sicherheitsrisiko des Kunden reduziert sich nachhaltig, da die Vielfältigkeit an Bedrohungsszenarien erfahren wird, Best möglichst mit ihnen umgegangen werden kann
das subjektive, empfundene Sicherheitsempfinden des Kunden reduziert sich zeitgleich und führt somit im besten Falle zu weitem Investment
Diese auf den ersten Blick widersprüchliche Aussage kann als Security Paradox bezeichnet werden, ähnlich zum (aktuell erlebten) Prävention Paradox der Covid-19 Pandemie, dass aufgrund des Erfolges bisheriger Maßnahmen sichtbar wird.
Risiko-Horizont und Security Paradox
Vereinfacht gesagt, beschreibt das Prävention Paradox den Zusammenhang zwischen getroffenen Präventionsmaßnahmen und der Motivation diese weiter zu befolgen: weil Präventionsmaßnahmen funktionieren, weil wir uns sicher fühlen, weil es so scheint das wir die Pandemie im Griff hätten, sinkt die Motivation, diesen Maßnahmen weiter zu folgen - im Gegenteil wir beginnen diese anzuzweifeln, grundsätzlich in Frage zu stellen oder weniger bis nicht zu befolgen.
Das Security-Paradox beschreibt das analoge Prinzip für unser Grundbedürfnis nach Sicherheit - jedoch ist die gegenläufige Perspektive " Risiko" entcheidend:
Je mehr wir über IT-Risiken wissen, je breiter unseren Risiko-Horizont wird, je mehr wir faktisch & objektiv Sicherheit beachten, umso umfassender werden wir uns der Risiko-Situation bewusst. Das neue Detail-Wissen über das, was alles sicherheitstechnisch passieren könnte, führt zu einem größeren subjektiv-wahrgenommenen Sicherheitsrisiko und somit in vielen Fällen zu einem zusätzlichen Investment in Security.
Das Paradox lässt sich im praktischen Leben anhand von Aussagen wie "ich weiß was alles bei z.B. Flugreisen passieren kann und deswegen mache ich mir Gedanken über die Sicherheit …" nachvollziehen. Vorbildlich im Nutzen des Security-Paradox ist auch die Security Industrie um Umfeld von SmartHome - hier werden mehr und mehr potentielle Überwachungsmöglichkeiten aufgezeigt, die Kunden aufgrund ihres dadurch stark erweiterten Risiko-Horizonts zuhause installieren, um - trotz eines bereits hohen Sicherheitsstandard - alle denkbaren weiteren Unwägbarkeiten abzusichern.
Die Situation der SmartPhone-Industrie zeigt dagegen, dass - obwohl bei den meisten Nutzern sicherlich ausreichend Security Awareness vorhanden ist - der Risiko-Horizont nicht ausreichend groß ist, um zusätzliche Investitionen in Security über die installierte Basisabsicherung hinaus zu tätigen. Dies ist äußerst positiv für die Verwendung und somit für die Nachfrage von SmartPhones, weniger positiv allerdings für die Nachfrage nach zusätzlichen Security Services in diesem Marktsegment. Der Markt für Tablets & Notebooks die rein im privaten Umfeld genutzt werden, bewegt sich in eine ähnliche Richtung.
Content Marketing - emotional & fokussiert
Vorrangige Aufgabe von Anbietern, Distributoren und des Channels muss es daher sein, mittels Content-Marketing den Risiko-Horizont der Kunden zu erweitern, das Gefahrenpotential was passieren könnte und zu welchen Konsequenzen dies führen kann, plakativ, illustrativ und lebendig aufzuzeigen. Mit den hierbei geweckten Emotionen wird Handeln, d.h. zusätzliches Investment in Sicherheit wahrscheinlich. Eine immer wieder geführte Diskussion um Security Awareness führt zu einem eher gegenteiligen Effekt, wie die verwendete Begrifflichkeit "Security" bereits nahelegt. Kunden machen sich vom Prinzip Sicherheit bewusst, was zu tendenziell abwartendem Investitionsverhalten führt. Security-Investment erfordert die Diskussion über neue, zusätzliche Risikoaspekte.
"Je planmäßiger der Mensch vorgeht, umso wirkungsvoller trifft ihn der Zufall.", stellte Friedrich Dürenmatt bereits vor längerem fest. Dem folgend hat erfolgreiches Content Marketing und Sales im Security Umfeld die Aufgabe diese "Risiko-Zufälle" aufzuzeigen und geeignete Sicherheitslösungen anzubieten. Neue, digital-vernetzte Prozessen wie auch die Komplexität flexibel gestaltbarer Lieferanten- und Kundennetzwerke bieten eine Vielzahl an Möglichkeiten. Security-Management bedeutet, für die vielfältigen Bedrohungsszenarien komplexer wie vielfältig vernetzter IT-Umgebungen vorbereitet zu sein. Das ist die Chance, die Wachstums- wie Umsatzpotential über die nun beginnenden 2020er Jahre hinaus verspricht. Diese gilt es für Anbieter, Distributoren und den Channel schon im Jahr 2021 zu nutzen!
Weitere iSCM-Analysen:
Tech-Distribution
Remarketing und Refurbishing
E-Health
Retail
Smart Home
Home-Office
Corona als Chance
Digitalisierung