Vertrauenswürdigkeit schafft Vertrauen – Vertrauen ist der Schlüssel zum Erfolg von I - Prof. Dr. Norbert Pohlmann
Vertrauenswürdigkeit schafft Vertrauen – Vertrauen ist der Schlüssel zum Erfolg von IT- und IT-Sicherheitsunternehmen | |
 | U. Coester, N. Pohlmann: Aufgrund der zunehmenden IT-Technisierung und damit einhergehend stetigen Veränderung der Lebensbedingungen ist es notwendig, dass Menschen den IT-Lösungen und Unternehmen weiterhin und kontinuierlich vertrauen können. Denn durch den höheren Grad der IT-Technisierung steigt die Komplexität, wodurch es für den Nutzer zunehmend schwieriger wird, einzelne IT-Lösungen und deren Hintergründe zu verstehen sowie zu bewerten. Diese Veränderung hat Auswirkungen: Zum einen macht sie grundsätzlich den Nutzern – den Menschen – Angst [1], da gewohnte Vorgänge beständig ihre Gültigkeit verlieren. Zum anderen entsteht dadurch sowie durch die Komplexität latent das Gefühl, eine falsche Entscheidung zu treffen, weil nicht alles bedacht werden kann. So fällt dem Aspekt der Interdependenz von Vertrauen und Vertrauenswürdigkeit für deutsche und europäische Unternehmen eine hohe Bedeutung zu, insbesondere auch da sich internationale Tech-Unternehmen zunehmend weniger vertrauenswürdig im komplexen Cyber-Raum verhalten. Dies eröffnet die Möglichkeit, sich über den Aufbau von Vertrauen weltweit gegen internationale Unternehmen nachhaltig zu profilieren und positionieren. Um dieses Ziel zu realisieren, bedarf es einer strategischen Vorgehensweise – zum Beispiel auf Basis des Vertrauenswürdigkeitsmodells. Im Prinzip möchten Menschen Vertrauen schenken und müssen dies auch, um grundsätzlich handlungsfähig zu sein. Denn die damit verbundene Gewissheit – also die Annahme, dass es möglich ist, sich auf etwas Bestimmtes zu verlassen – reduziert Komplexität, weil dadurch die subjektive Überzeugung der Richtigkeit von Handlungen entsteht. Übertragen auf die digitale Transformation lässt sich daraus ableiten, dass Unternehmen ihre IT-Lösungen so gestalten müssen, dass Nutzer Vertrauen aufbauen können. Denn nur so gewährleisten sie, dass es möglich ist, die damit verbundenen, potenziell risikobehafteten Handlung zu akzeptieren und schaffen darüber für Nutzer die Möglichkeit zur Teilhabe an der digitalen Zukunft. Doch für diese Komplexitätsreduzierung ist die Qualität der Vertrauensgrundlage zwischen Unternehmen und Nutzer von Bedeutung, da diese entscheidend dafür ist, dass ein erforderliches Maß an Vertrauen aufgebaut werden kann. 1. Framework: Vertrauenswürdigkeitsmodell Das Vertrauenswürdigkeitsmodell zeigt auf, was Unternehmen tun können, um ein Vertrauen, das normalerweise zwischen zwei Menschen entsteht, auf Unternehmen zu übertragen. Relevant im Vertrauenswürdigkeitsmodell sind der Vertrauensgeber – also der Nutzer – auf der einen Seite sowie der Vertrauensnehmer auf der anderen Seite [3]. Bei dem Nutzer – der generisch sowohl für Privatanwender als auch für Mitarbeiter von Anwendungsunternehmen, die IT-Lösungen nutzen, steht – sind zwei Eigenschaften von Bedeutung beziehungsweise notwendig: einerseits die Kompetenz zum Aufbau eines institutionellen Vertrauens, andererseits die eigene Vertrauensfähigkeit. Bei dem Vertrauensnehmer sind verschiedene Dimensionen zu unterscheiden, die jeweils mit entsprechenden Aspekten ihre Vertrauenswürdigkeit dokumentieren: 1) Unternehmen als Hersteller oder Anbieter von IT- und IT-Sicherheitslösungen. 2) IT-Lösungen – im Kontext der IT-Sicherheit – sind allgemein Technologien, Anwendungen, Produkte oder Dienstleistungen mit entsprechenden IT-Sicherheitsmechanismen oder separate IT-Sicherheitssysteme. 3) Domänen im Sinne eines kollaborativen Zusammenwirkens von Herstellern und Stakeholdern aus einer Branche sowie Nutzern. Die konkrete Aufgabe, die mithilfe des Vertrauenswürdigkeitsmodells bearbeitet werden kann (und soll), ist somit, die richtigen Maßnahmen zu ergreifen, um das Vertrauen eines Nutzers zu gewinnen. Hierbei spielt die wahrgenommene Vertrauenswürdigkeit eine entscheidende Rolle. Denn Vertrauen basiert allgemein auf der Annahme, dass es möglich ist, sich auf etwas bestimmtes zu verlassen. Dies können Unternehmen ihren Nutzern aufzeigen, indem sie relevante Aspekte der Vertrauenswürdigkeit sowohl für die IT-Lösung als auch für das Unternehmen explizit darstellen. So ist es möglich, eine Vertrauensgrundlage zu schaffen – wobei sich deren Güte in der Übereinstimmung der wahrgenommenen Vertrauenswürdigkeit mit der echten Vertrauenswürdigkeit widerspiegelt. Mit anderen Worten, Unternehmen sind schlecht beraten, wenn sie den Nutzern etwas vormachen würden. 2.2.4 Aspekt: Sicherheit des UnternehmensDas Anerkennen der Bedeutung von Cyber-Sicherheit sowie deren Umsetzung gewährleistet, dass IT-Lösungen im Cyber-Raum risikoarm zu nutzen sind. Dieser Anspruch ist jedoch (noch) eine Fiktion, da unter anderem Ransomware, DDoS– oder Phishing-Angriffe heute an der Tagesordnung sind. Alltäglich genutzte Dienste, wie etwa E-Mail-Programme, Online-Banking oder Online-Shops, bieten bei Weitem nicht den Level an Cyber-Sicherheit und Vertrauenswürdigkeit, der notwendig ist, um damit kritische Geschäftsprozesse sicher abwickeln zu können. Von daher benötigen Unternehmen eine adäquate und ausformulierte IT-Sicherheits-Richtlinie, um im Sinne der Kunden den bestmöglichen Schutz gewährleisten zu können. Die kontinuierliche Umsetzung gemäß aktueller IT-Sicherheitsanforderungen ist notwendig, da Nutzer im Allgemeinen nicht dazu in der Lage sind, sich allein angemessen zu schützen. Unter anderem haben die folgenden Faktoren im Kontext der Sicherheit eine hohe Relevanz: Darstellung der verwendeten IT-Sicherheitsmaßnahmen: Hier sollten die Hersteller aufzeigen, was sie tun, um sowohl die jeweilige IT-Lösung als auch ihr eigenes Unternehmen vor IT-Sicherheitsrisiken zu schützen. Anders als beim „Beipackzettel IT-Sicherheit“ können Beschreibungen und Hintergrundinformationen hier detaillierter ausfallen. Zertifizierung der IT-Lösung und des Unternehmens: Die Zertifizierung von Qualität und Vertrauenswürdigkeit der IT-Lösungen und Unternehmen müssen durch qualifizierte unabhängige Organisationen erfolgen, die nach definierten Kriterien überprüfen und testieren. Die Zertifizierungen unter verschiedenen Perspektiven sind eine wichtige Maßnahme zur Vertrauensbildung. Regelmäßige Überprüfung der IT-Lösungen und des Unternehmens: Das Ziel hierbei ist, Schwachstellen aktiv und kontinuierlich mithilfe von Penetrationstests, Red-Teams und Bug-Bounty-Programme zu identifizieren, damit Sicherheitslücken so schnell als möglich durch Updates eliminiert – und somit nicht für Angriffe verwendet – werden können. Dies gilt sowohl für die angebotenen IT-Lösungen als auch für die Unternehmen und deren Zulieferer. Dadurch lässt sich ein – für den Nutzer jederzeit nachweisbares – hohes IT-Sicherheitsniveau im laufenden Entwicklungsprozess und der Nutzung der IT-Lösung erreichen. IT-Sicherheitsstrategie: Eine IT-Sicherheitsstrategie ist ein längerfristig ausgerichtetes, planvolles Vorgehen mit dem Ziel, die vorhandenen Risiken eines Angriffes auf digitale Werte des Unternehmens so gering wie möglich zu halten. Da deren Darstellung die Vertrauenswürdigkeit eines Unternehmens erhöht, sollte die prinzipielle Strategie auch nach außen kommuniziert werden. In diesem Rahmen ist es möglich darzulegen, wie durch Vermeiden und Entgegenwirken von IT-Angriffen die vorhandenen Risiken reduziert sowie mit Erkennen von und Reaktion auf IT-Angriffe die verbleibenden Risiken behandelt werden. kostenlos downloaden Weitere Informationen zum Begriff “Vertrauenswürdigkeit schafft Vertrauen”: „Menschliche Basis fürs Business – Mechanismen zur Vertrauensbildung“ “Vertrauen – ein elementarer Aspekt der digitalen Zukunft” Artikelserie über Facetten der Künstlichen Intelligenz
Vorlesung: „Vertrauen und Vertrauenswürdigkeit“ Glossareinträge: Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit“ Bücher: Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download
Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit) Summary  Article Name Vertrauenswürdigkeit schafft Vertrauen Description Vertrauenswürdigkeit schafft Vertrauen und versetzt die Nutzer in der Lage, ihre grundsätzliche Vertrauensfähigkeit auf IT-Lösungen und deren Hersteller zu übertragen. Daher schafft Vertrauen Akzeptanz zur IT-Lösung sowie loyale Kunden. Author Prof. Norbert Pohlmann Publisher Name Institut für Internet-Sicherheit – if(is) Publisher Logo  |
| |