Warum so viele Security-Transformationsprojekte scheitern

Wie Ihnen richtiges Projektmanagement bei der Umstellung auf eine sichere IT-Umgebung helfen kann ‒ und wie Sie diese Prozesse in Bezug auf Cybersecurity anwenden.

Fabian Faistauer
Director, Head Cybersecurity Technology & Transformation, PwC Schweiz

Oliver Schönenberger
Senior Manager, Cybersecurity und Privacy, PwC Schweiz

Cybersecurity ist ein komplexes Themengebiet in einem schwierigen und sich schnell verändernden Umfeld. Cybersecurity-Projekte werden oft als reine Technologieübung resp. Technologieimplementierung gesehen. Deshalb werden menschliche und organisatorische Aspekte nicht angemessen berücksichtigt. In diesem Beitrag gehen wir der Frage nach, wie der richtige Ansatz zum Management von Security-Transformationen dafür sorgen kann, dass Cyber-Projekte erfolgreich durchgeführt werden können.

Unternehmen sind stark von einer funktionierenden IT-Infrastruktur abhängig, die den gesamten Betrieb erfolgreich gewährleistet. Die aktuellen Cyber-Bedrohungen veranlassen viele Unternehmen dazu, erheblich in Security-Transformation und in die Verbesserung der Cybersicherheit zu investieren. Deshalb ist auch die Anzahl der Projekte im Bereich der IT-Sicherheit exponentiell gestiegen.

Cybersecurity ist nicht mehr nur eine Angelegenheit für CISOs. Laut der PwC-Studie «Global Digital Trust Insights 2023» fordern mehr als die Hälfte der CEOs ein besseres Management der Cyber-Security-Transformation. Auch Mitglieder der Verwaltungsräte sind heute zunehmend bereit, sich mit dem Thema Cybersicherheit zu befassen, um die Bedrohungen zu verstehen und die Massnahmen an den Sicherheitszielen der Unternehmung auszurichten.

Um diese Ziele zu erreichen, benötigen Unternehmen nicht nur die entsprechenden Fähigkeiten und Techniken zur erfolgreichen Security-Transformation, sondern müssen auch sicherstellen, dass es innerhalb der Organisation qualifizierte Personen gibt, die wissen, wie eine solche Transformation zu begleiten ist.

Cybersecurity and Privacy

Cybersecurity und Datenschutz

Cyber-Angriffe stellen eine fortwährende Gefahr für Unternehmen aus allen Geschäftsfeldern dar. Wir helfen Ihnen, die Risiken zu erkennen und ihnen wirksam zu begegnen.

Mehr erfahren


Was ist Security-Transformation-Management?

Erfolgreiche Unternehmen zeichnen sich dadurch aus, in einem rasch wandelnden Umfeld schnell auf Veränderungen reagieren und sich anzupassen zu können. Dies gelingt jedoch nur, wenn optimale Prozesse eingeführt sind, klare Zuständigkeiten festgelegt wurden und Unternehmen während der gesamten Transformation den Überblick über die verschiedenen Erfolgsfaktoren behalten. Im Bereich Cybersecurity ändert sich das Umfeld jedoch so schnell, dass nicht alle relevanten Erfolgsfaktoren auf den ersten Blick zu sehen sind. Es kann schwierig sein, die wichtigsten Elemente der Veränderung klar zu erkennen.

Erschwerend kommt hinzu, dass Cybersecurity-Projekte innerhalb von Unternehmen oft als kleinere Transformationen angeschaut werden, die in erster Linie die reine Implementierung einer neuen Technologie betrifft. Die Auswirkung auf die Organisation als Ganzes und ihre Mitarbeitenden wird dabei vernachlässigt. Aus diesem Grund werden Cyber-Transformationen oft unzureichend begleitet und die gewünschten Ziele deshalb nicht erreicht.

Hier knüpft das Security-Transformation-Management an. Es soll das Thema Cybersecurity im Unternehmen verständlich machen und diejenigen Elemente bewerten, denen Priorität einzuräumen ist. Der Prozess umfasst Initiierung, Planung, Durchführung und Abschluss. Er stellt die erfolgreiche Umsetzung der Projektziele sicher, ohne die Mitarbeitenden der Organisation zu vernachlässigen.

Warum ist das Security-Transformation-Management so wichtig?

Die Rolle der Sicherheitsorganisation sollte darin bestehen, innovative Technologien zum Schutz des Unternehmens in einem sich ständig verändernden Umfeld einzusetzen. Früher konzentrierten sich IT-Organisationen jedoch häufig auf Senkung der Betriebskosten, anstatt in Innovationen zu investieren. Das Ergebnis? Die Unternehmen haben meistens zu wenig Ressourcen für Sicherheitslösungen bereitgestellt. Die Folgen daraus können im Falle eines Cyberangriffs verheerend sein. In einer Cyber-Krisensituation versuchen viele Unternehmen, neue Lösungen möglichst schnell einzuführen, ohne sich dabei auf einen Plan oder eine Strategie zu stützen. Infolgedessen scheitern viele Sicherheitsprojekte, bevor sie überhaupt begonnen haben. Dafür gibt es viele Gründe:

Fehlendes gemeinsames Verständnis des Leadership-Teams

Unterschiedliche Auffassungen bzgl. der Durchführung und Wichtigkeit des Projekts innerhalb der Unternehmensführung. Dies hat mangelnde Unterstützung zur Folge, was letztlich auch die Mitarbeitenden, die an der Transformation beteiligt sind, merken.

Schlechte Planung, unklare Ziele und Strategie

Zeitplan und Budget sind nicht angemessen definiert. Die Ziele des Security-Projekts sind nicht auf die allgemeine Unternehmensstrategie abgestimmt.

Keine Methoden und Prozesse

Es werden keine geeigneten Projektmethoden eingesetzt. Es gibt keine Prozesse zur richtigen Durchführung der Transformation.

Unvorbereitete Mitarbeitende

Die Mitarbeitenden wurden vor oder nach der Transformation nicht geschult und sind mit der neuen Situation überfordert. Sie stehen der Transformation skeptisch gegenüber, da sie der Ansicht sind, dass die Veränderung für sie im Alltag zu mehr Unannehmlichkeiten führen wird.

Hier hilft das Security-Transformation-Management. Es unterstützt die IT- und/oder Sicherheitsorganisation, indem es deren Tätigkeit gezielt weiterentwickelt. Es stellt sicher, dass die wichtigsten Beteiligten von Anfang an einbezogen werden, und dass die richtigen Projektmanagementfähigkeiten, -techniken und -methoden vorhanden sind. Das Security-Transformation-Management ist einer der Schlüssel zur Förderung innovativer Technologien in Sicherheitsorganisationen.

Wie gehen Sie bei der Security-Transformation vor?

Damit die Security-Transformation auch erfolgreich umgesetzt wird, müssen kritische Aspekte, welche zum Scheitern des Vorhabens führen können, beseitigt werden. Dabei gilt es folgende Faktoren kritisch zu überwachen:

Eine wirksame Security-Transformation gewährleistet, dass während der gesamten Transformation diese kritischen Faktoren überwacht und gegebenenfalls angepasst werden. Eine Transformation besteht dabei aus unterschiedlichen Phasen, welche auf Projektmanagementmethoden beruhen:

Zunächst gibt es eine Initiierungsphase, um die Anforderungen und
den Umfang der Transformation zu bestimmen.

Dann hilft die Planungsphase bei der Festlegung der korrekten Planung der einzelnen Lieferobjekte und Meilensteine des Projekts.

Die Ausführungs- bzw. Durchführungsphase ist die Phase, in der die Projektumsetzung aktiv vom Team durchgeführt wird.

In der Abschlussphase des Projekts werden die Ergebnisse mit den Zielen verglichen, die in der Initiierungsphase festgesetzt wurden.

Menschen sind ein entscheidender Faktor in der Security-Transformation

Bei der Durchführung eines Transformationsprojekts wird der menschliche Faktor oft vernachlässigt. Angesichts der grossen Bedeutung von Menschen im Cybersecurity-Bereich besteht eines der Ziele der Security-Transformation darin, sie besser in den Veränderungsprozess einzubeziehen. Ein Problem besteht dabei darin, dass die von der Transformation betroffenen Personen der Transformation gegenüber möglicherweise negativ eingestellt sind oder nicht über das notwendige Wissen verfügen, um die Veränderung nachvollziehen zu können. Aus diesem Grund ist es wichtig, die betroffenen Mitarbeitenden mit den neuen Sicherheitstechnologien und ihren Vorteilen für die gesamte Organisation vertraut zu machen und sie aktiv einzubeziehen.

Ein weiterer wichtiger Aspekt ist die Zusammenarbeit zwischen den verschiedenen Funktionen innerhalb der Sicherheitsorganisation. So müssen beispielsweise Verantwortliche für die Security-Architektur, Security-Engineering und dem Security Operations Center eng miteinander zusammenarbeiten und sich aktiv für neue innovative Sicherheitslösungen und Konzepte zum Nutzen des gesamten Unternehmens einsetzen.


Wie misst man den Erfolg der Security-Transformation?

Ob eine Security-Transformation erfolgreich umgesetzt wurde, hängt natürlich stark mit dem Gesamterfolg des Projekts ab. Voraussetzung dafür ist die Überwachung der (oben dargelegten) Erfolgsfaktoren während des gesamten Transformationsprozesses.

Ein Erfolg ist nur dann möglich, wenn die Projektleitung und das Projektteam effektiv miteinander kommunizieren und alle Beteiligten über den Gesamtfortschritt proaktiv informiert werden. Noch wichtiger ist es, hervorzuheben, dass eine Security-Transformation nur dann erfolgreich sein kann, wenn die Geschäftsleitung den Wandel unterstützt. Insbesondere im Bereich der Cybersecurity ist dieser Faktor wesentlich, da die meisten Mitarbeitenden sich vor der Vorstellung fürchten, dass ihnen Gewohntes weggenommen und eine neue Technologie vorgesetzt wird. Dabei muss deren Mehrwert klar aufgezeigt werden können.

Die Ergebnisse einer umfassenden Security-Transformation lassen sich wie folgt einteilen:

Strategische Ausrichtung

Eine Security-Transformation gewährleistet die strategische Ausrichtung auf die Geschäftsanforderungen (z. B. unterstützt sie strategische Initiativen wie die Umstellung auf die Cloud).

Risikominderung

Die Security-Transformation reduziert die Angriffsfläche des Unternehmens (z.B. durch genauere Identifizierung von Schwachstellen).

Ressourcenmanagement

Menschen und Technik werden korrekt eingesetzt.

Mehrwert

Das Projekt schafft einen Mehrwert für das Unternehmen.

Messbare KPIs

Es werden Messgrössen entwickelt, um Leistung zu bestimmen und zu verbessern.

Eine Security-Transformation beginnt vor dem eigentlichen Projektstart mit der Vision und Strategie. Es muss ein klares Ziel vorgegeben werden, dessen Fortschritt im Laufe der Transformation gemessen werden kann. Durch den Einsatz geeigneter technischer Lösungen und fortlaufender Schulung der Mitarbeitenden kann die Sicherheit in jedem Unternehmen verbessert werden.


#social#

Kontaktieren Sie uns

Bitte nehmen Sie Kontakt mit uns auf, wenn Sie mehr über unsere Kompetenzen im Bereich Security-Transformation erfahren möchten. Wir leben in unserer eigenen Organisation das vor, was wir unseren Kund:innen empfehlen. Unser Team unterstützt Sie gerne bei Ihrer eigenen Security-Transformation.

https://pages.pwc.ch/core-contact-page?form_id=7014L000000DXy6QAG&embed=true&lang=de

Mit Vertrauen zum Erfolg

Vertrauen Sie auf ein Team, das bei der Transformation Ihres Unternehmens wirklich mitdenkt, die passenden Cybersecurity-Lösungen entwickelt, implementiert und kontinuierlich begleitet. So schaffen wir gemeinsam mit Ihnen nachhaltigen Wert und Vertrauen – heute und in Zukunft.

Mehr zu unseren Dienstleistungen

Contact us

Fabian Faistauer

Fabian Faistauer

Director, Cybersecurity Technology & Transformation, PwC Switzerland

Tel: +41 58 792 13 33

Oliver Schönenberger

Oliver Schönenberger

Senior Manager, Cybersecurity and Privacy, PwC Switzerland

Tel: +41 58 792 40 17