Das IT-Sicherheits-Paradox: Warum Unternehmen zu wenig in IT-Sicherheit investieren

Mit der zunehmenden Digitalisierung von Wirtschaft und Gesellschaft gehen auch immer größere IT-Sicherheitsrisiken einher. So werden mehr und mehr Unternehmen, nicht zuletzt kleine und mittelständische, Opfer von Sicherheitsvorfällen. Bitkom schätzt beispielsweise, dass durch IT-Sicherheitsvorfälle allein deutschen Firmen im letzten Jahr ein Schaden von 55 Milliarden Euro entstanden ist. Und es handelt sich dabei natürlich nur um die Spitze des Eisbergs. Viele Sicherheitsvorfälle werden gar nicht erst bekannt gemacht, entweder weil es den Unternehmen schlicht peinlich ist oder auch, weil sie einen Imageschaden befürchten. Darüber hinaus wissen die Unternehmen in vielen Fällen noch nicht einmal selbst, ob sie Opfer eines Sicherheitsvorfall wurden – frei nach dem Motto: Entweder der Feind ist schon drin oder du hast es noch nicht bemerkt.
Das Ziel dieses Kurzbeitrags besteht darin zu analysieren, ob Entscheidungsträgern in Unternehmen bestehende IT-Sicherheitsrisiken bewusst sind. Auf den ersten Blick erstaunt die Frage vielleicht etwas, weil es eine Vielzahl von Studien gibt, die besagen, dass IT-Sicherheit von vielen Entscheidern als das wichtigste Thema im Rahmen der digitalen Agenda angesehen wird (siehe z.B. Bitcom). Diese angebliche Priorisierung steht jedoch im Widerspruch zu einigen Expertengesprächen, die wir mit Führungskräften durchgeführt haben und die von vielen unterlassenen Investitionen in IT-Sicherheitslösungen berichteten. Daher haben wir uns entschieden, die Frage nach der Bedeutung des Themas IT-Sicherheit mit Hilfe einer etwas größer angelegten Studie zu untersuchen. Grundlage unserer Studie, die in Zusammenarbeit mit der Lünendonk GmbH durchgeführt wurde, ist eine Befragung von 103 Entscheidungsträgern, überwiegend CIOs und IT-Leitern. Dabei ist es natürlich naheliegend, diese Entscheider nicht direkt zu fragen, ob IT-Sicherheit ein wichtiges Thema ist. Die Antwort wäre klar und die Ergebnisse langweilig. Daher haben wir die Entscheider gebeten, einerseits zu bewerten, wie gut ihr eigenes Unternehmen auf Herausforderungen im Bereich IT-Sicherheit vorbereitet ist und einzuschätzen, ob das Gleiche für andere Unternehmen gilt. Die Antworten auf diese beiden Fragen sind in der folgenden Abbildung dargestellt.

Abbildung 1: Einschätzung der eigenen Vorbereitung auf IT-sicherheitsrelevante Herausforderungen im Vergleich zu konkurrierenden Unternehmen (von +2 sehr gut vorbereitet bis -2 gar nicht vorbereitet)

Die Ergebnisse zeigen, dass die Befragten der Meinung sind, dass ihr eigenes Unternehmen deutlich besser auf Herausforderungen im Bereich IT-Sicherheit vorbereitet ist als andere konkurrierende Unternehmen. Um es deutlich zu machen: Natürlich kann es in bestimmten Fällen sein, dass ein Unternehmen besser vorbereitet ist als andere Unternehmen, aber dass dies für alle Unternehmen gilt, ist nicht möglich. Die Ergebnisse sind auf Basis eines T-Tests statistisch signifikant. In der Psychologie spricht man in diesem Fall auch von einem sogenannten unrealistischen Optimismus. Dieser besagt, dass Menschen dazu tendieren, ihr eigenes Risiko im Vergleich zu anderen verzerrt wahrzunehmen und zu unterschätzen.
Überträgt man diese Ergebnisse aus der psychologischen Forschung auf unser Beispiel, bedeutet dies, dass die Unternehmen ihr eigenes IT-Sicherheitsrisiko systematisch unterschätzen. Eine Vermutung ist, dass sich Unternehmen hinsichtlich ihrer Investitionen in IT-Sicherheit ähnlich verhalten wie es Endnutzer bei der Preisgabe von persönlichen Informationen tun. Man spricht hier auch vom sogenannten Privacy-Paradox, das vereinfacht ausgedrückt bedeutet, dass viele Leute zwar behaupten, dass ihnen ihre Privatsphäre sehr wichtig sei, tatsächlich aber andere Werte höher bewerten und sich unvorsichtig verhalten. So geben die Nutzer Informationen preis und bereuen dies später nicht selten. Dabei gehen sie häufig (unrealistisch optimistisch) davon aus, dass ihnen schon nichts passieren wird. In der Wissenschaft spricht man hier von einem Intention-Behavior-Gap. Ein ähnliches Verhalten scheint es in Unternehmen zu geben: Kaum jemand würde behaupten, dass IT-Sicherheit für Unternehmen kein relevantes Thema wäre. Dennoch werden wichtige Investitionen in IT-Sicherheit aufgrund eines unrealistischen Optimismus nicht getätigt oder verschoben. Auch hier scheint die Maxime zu gelten, die sich auch bei Endnutzern beobachten lässt: „Uns wird schon nichts passieren.“ Dieses IT-Sicherheits-Paradox ist aus zwei Gründen hochproblematisch. Zum einen wird im Extremfall auf diese Weise die Existenz des gesamten Unternehmens aufs Spiel gesetzt. Zum anderen können unterlassene Investitionen in die eigene IT-Sicherheit die gesamte Wirtschaft und Gesellschaft gefährden. Was für die Digitalisierung der Wirtschaft als solche gilt, gilt auch für den Bereich IT-Sicherheit – der manchmal auch als die „ugly sister of digitalization“ bezeichnet wird – sie muss Chefsache werden.

Literaturverzeichnis
Bazerman, Max H., Ann E. Tenbrunsel, and Kimberly Wade-Benzoni. “Negotiating with yourself and losing: Making decisions with competing internal preferences.” Academy of Management Review 23.2 (1998): 225-241.
Sheeran, Paschal. “Intention—behavior relations: A conceptual and empirical review.” European review of social psychology 12.1 (2002): 1-36.
Sonnenschein, Rabea, André Loske, and Peter Buxmann. “Which IT Security Investments Will Pay Off for Suppliers? Using the Kano Model to Determine Customers’ Willingness to Pay.” 49th Hawaii International Conference on (2016).
Weinstein, Neil D., and William M. Klein. “Unrealistic optimism: Present and future.” Journal of Social and Clinical Psychology 15.1 (1996): 1-8.

Künstliche Intelligenz – Eine Managementperspektive (Teil 3): Die Anbieterseite

Die Anwendungspotenziale von KI für die Wirtschaft wurden bereits im zweiten Teil dieses Blogs behandelt. Daher wollen wir uns im Folgenden die Anbieterseite anschauen. Wer sind die wichtigsten Akteure auf dem KI-Markt? Es hat ein regelrechter Kampf um die Vorherrschaft begonnen. So hat Google kürzlich die Software „TensorFlow“, eine Bibliothek für Machine-Learning-Software, unter einer Open-Source-Lizenz kostenlos für Nutzer verfügbar gemacht. Interessanterweise folgten sowohl Microsoft als auch Facebook unmittelbar und stellten den Quellcode ihrer Tools „CNTK“ bzw. „Caffe2“ ebenfalls unter einer Open-Source-Lizenz bereit. Die Zielsetzung und die Strategie dieser Unternehmen ist klar: Es geht darum, sich Marktanteile auf dem Gebiet der KI zu sichern. Google war mit dieser Open-Source-Strategie übrigens vor ein paar Jahren schon mit dem Betriebssystem Android sehr erfolgreich, das mittlerweile – je nach Quelle – auf ca. 80 bis 90 Prozent aller Smartphones läuft.

Wie schon im ersten Blog dargelegt, bieten die immer größeren weltweit verfügbaren Datenmengen, verbesserte Algorithmen und nicht zuletzt auch steigende Rechner- und Prozessorleistungen der KI eine Vielzahl neuer Anwendungsmöglichkeiten. Im Bereich der Rechner- und Prozessorleistungen kommt gerade „the next big thing“ auf uns zu. Es ist noch unklar, wann diese Technologie einsatzbereit sein wird, aber Firmen wie Google oder IBM arbeiten bereits mit Hochdruck daran: Ein Quantencomputer könnte die Rechenleistung von IBM Watson millionenfach übertreffen. Das heißt, es könnten viel größere Datenmengen in kürzester Zeit von Algorithmen verarbeitet werden. Das hat übrigens nicht nur Auswirkungen auf die Anwendbarkeit von KI-Algorithmen. Ein Beispiel für die Anwendung von Quantencomputern, das eher nachdenklich macht, sind die Möglichkeiten Krypto-Algorithmen in kürzester Zeit zu knacken. Wann ist es soweit, dass diese Quantencomputer-Technologie einsatzbereit ist? Hier gehen die Prognosen der Experten weit auseinander – sie reichen von drei Jahren (Google) bis hin zu mehreren Jahrzehnten.

Kommen wir zurück zur KI: Sowohl für Anbieter als auch für anwendende Unternehmen ist es höchste Zeit, sich mit diesen neuen Technologien und den Auswirkungen auf ihr Geschäft auseinanderzusetzen. Der Markt ist gigantisch. Accenture beispielsweise geht gemäß einem Bericht der Frankfurter Allgemeinen Zeitung davon aus, dass die weltweite Wirtschaftsleistung um zwölfeinhalb Billionen Euro zulegen kann.  PwC greift mit 14 Billionen sogar noch etwas höher. Schauen wir uns die Anbieter an, die diesen gigantischen Markt dominieren wollen, findet sich ein altbekanntes Muster: Es sind wieder US-amerikanische Firmen, die dabei sind, auf dem Gebiet der KI eine Führungsrolle zu übernehmen. Google und IBM übernehmen hier eine Vorreiterrolle. Auch Facebook, Microsoft und Amazon investieren kräftig. China ist ebenfalls mit dabei: So kündigte der chinesische Technologieminister Wan Gang vor wenigen Tagen einen nationalen KI-Plan an.  Europäische Anbieter laufen dagegen hinterher und die EU-Kommission kümmert sich anscheinend stärker darum, Digitalisierungsindexe von Ländern zu erstellen oder auch Firmen wie Google und Facebook zu verklagen (was nicht verkehrt sein muss, aber doch eher defensiv als zukunftsorientiert erscheint). Denn KI wird die Wirtschaft und Gesellschaft dramatisch verändern und es entsteht gerade ein gigantischer Markt. Viele haben das erkannt. Die Zukunft hat bereits begonnen.

Künstliche Intelligenz – Eine Managementperspektive in drei Teilen

Seit vielen Jahren beobachtet und erforsche ich gemeinsam mit den Wissenschaftlichen Mitarbeiterinnen und Mitarbeitern an unserem Lehrstuhl, wie die Digitalisierung und neue Technologien Wirtschaft und Gesellschaft verändern. Mit dem Thema Künstliche Intelligenz (KI) steht die nächste drastische Veränderung an. Die Zeit ist reif für KI und Unternehmen jeder Größe und jeder Branche sollten sich jetzt intensiv mit dem Thema beschäftigen. Ich starte hier einen dreiteiligen Blog. Im ersten Teil würde ich Sie gerne davon überzeugen, dass es sich bei KI nicht um einen Hype handelt, wie vielfach behauptet wird. Im zweiten Teil wollen wir untersuchen, wie KI die Wirtschaft verändern wird. Gegenstand des dritten Teils werden dann Anbieterstrategien und ein Zukunftsausblick sein.

Warum KI kein Hype ist

Skeptiker behaupten, dass es noch lange dauern würde bis KI Einzug in die Praxis Einzug hält. Immer wieder höre ich auch, dass es ähnliche Überlegungen wie heute doch schon vor dreißig Jahren gegeben habe und KI überschätzt würde. Diesen Skeptikern halte ich immer entgegen, dass es beispielsweise Künstliche Neuronale Netze (KNN) tatsächlich schon seit den 40er Jahren gibt, aber wer deswegen Deep Learning bzw. allgemeiner KI heute nicht auf die eigene Agenda setzt, begeht dennoch einen großen Fehler.

Schon bei den Anfängen des Internet oder genauer des World Wide Web in den 90er Jahren argumentierten die Kritiker ganz ähnlich: Damals hieß es, dass es Netze doch schon lange gäbe und die Technologien wie TCP/IP oder HTML noch gar nicht ausgereift seien und es das alles schon einmal gegeben hätte (in der Tat sagte Tim Berners Lee einmal, dass er HTML gerne besser gemacht hätte, wenn er gewusst hätte, wie weit sich die Sprache verbreiten würde). Aber die Zeit war reif für den Siegeszug von Internet und WWW – nicht aufgrund der Technologie, sondern weil sich die Rahmenbedingungen geändert hatten: Der Zugang zum Internet war schon damals nahezu kostenlos und damit fiel eine wichtige Barriere. Genau so ist es mit KI: Auch heute kann man natürlich argumentieren, dass es Genetische Algorithmen, KNN und andere Machine-Learning-Ansätze schon lange Zeit gibt, aber die Rahmenbedingungen für KI haben sich drastisch verbessert und auch hier sind einige Barrieren weggefallen bzw. neue Voraussetzungen geschaffen worden:

  • Daten bzw. Big Data – etwa zum Training von KNN – sind heute in einer nie gekannten Menge verfügbar und die Datenmenge steigt exponentiell.
  • Rechenpower und Prozessorleistungen sind so kostengünstig wie nie zuvor.
  • Die Performance von „Deep Learning Algorithmen“ hat sich in den letzten Jahren verbessert.
  • Es existiert eine Vielzahl von kostenlos verfügbaren Toolkits und Bibliotheken zur Entwicklung von KI- oder Machine-Learning-Anwendungen.

Dass die Entwicklung im Bereich KI auch von Experten massiv unterschätzt wird, zeigt das Beispiel Go – ein ursprünglich aus China stammendes strategisches Brettspiel, das weit komplexer als Schach ist. So prognostizierten KI-Experten im Jahr 2015 in einer Studie der University of Oxford, dass ein KI-Algorithmus erst im Jahre 2027 in der Lage sein würde, die besten menschlichen Go-Spieler zu schlagen. Es kam anders und bereits im letzten Jahr siegte das von Google Deepmind entwickelte alphaGo gegen verschiedene Weltklassespieler. Dieser Sieg der KI über die besten menschlichen Spieler ist vor allem deswegen von großem Interesse, weil die Komplexität von Go es KI-Algorithmen trotz aller Rechenpower und Prozessorleistungen unmöglich macht, alle Züge vollständig zu enumerieren bzw. durchzuprobieren. Auch die besten (menschlichen) Spieler benötigen Intuition, um Go erfolgreich zu spielen. Genauso wie alphaGo: Die Entwickler fütterten ihre Software, die wie viele KI-Entwicklungen auf KNN basiert, zunächst mit Millionen von Go-Partien. Dann ließen sie die Software gegen sich selbst spielen, um weiter zu lernen – wie Dr. B. aus Stefan Zweigs Schachnovelle, der Schach-Meister wird, nachdem er monatelang Partien im Kopf gegen sich selbst spielt, um in der Isolationshaft nicht wahnsinnig zu werden.

In meinen Augen zeigt das Beispiel, dass KI eher unter- als überschätzt wird. Daher sollten sich auch Führungskräfte in Unternehmen mit dem Thema eingehend beschäftigen. In meinem nächsten Blog werde ich dann darauf eingehen, wie der Einsatz von KI-Algorithmen die Arbeit von morgen verändern wird.

Der Wert von Daten und die Entwicklung datenbasierter Geschäftsmodelle

Wie lässt sich der ökonomische Wert von Daten bestimmen?

Mit der Digitalisierung sind viele Optionen entstanden, große Datenmengen zu sammeln, mit denen Firmen wie Facebook oder Google viel Geld verdienen. Und es kommen ständig neue Unternehmen dazu, die um die neue Währungseinheit im 21. Jahrhundert, das vielzitierte „neue Öl“, konkurrieren. Es stellt sich die Frage: Was sind unsere Daten eigentlich wert? Und wie lässt sich ihr ökonomischer Wert bestimmen?

Wir wollen uns diesen Fragen zunächst aus wissenschaftlicher Perspektive nähern: Jacob Marschak und Helmut Laux haben Modelle zur Berechnung von Datenwerten entwickelt. Diese Modelle basieren auf der (normativen) Entscheidungstheorie, die Modelle bereitstellt, um unterschiedliche Handlungsoptionen zu bewerten. Mithilfe dieser Modelle lässt sich der Wert von Informationen bestimmen, die eingeholt werden, um die beste der bestehenden Handlungsoptionen auszuwählen. Anmerkung: Ich schließe mich hier Carl Shapiro und Hal Varian an, die in ihrem wegweisendem Buch „Informationen Rules“ von 1998 Information als „everything that can be digitized“ definieren. Das Buch stellt die zentralen ökonomischen Grundlagen der digitalen Wirtschaft dar, die im wesentlich auch heute noch gelten.

Zurück zur Bewertung von Informationen. Ich möchte Ihnen ein paar Beispiele nennen, die zeigen, für welche Fälle diese Modelle zur Bewertung von Informationen grundsätzlich geeignet sind, ohne hier auf die Mathematik dahinter einzugehen:

  • Ein Unternehmen muss entscheiden, an welchen Standorten eine neue Niederlassung eröffnet werden soll. Es beschafft sich Informationen über das Bildungsniveau und die Kosten für Personal und Grundstücke an diesen Standorten.
  • Ein Unternehmen möchte ein etabliertes Produkt durch ein Neues ablösen und befragt seine Kunden, was sie für das neue Produkt zahlen würden.
  • Eine Familie sammelt Informationen zu verschiedenen Ländern, Hotels und Flügen, um den nächsten Sommerurlaub zu planen.

Wenn man nun die neuen Informationen in die Bewertungsbögen einträgt, die auf den Modellen zu Ermittlung der Informationswerte beruhen, dann verändert sich möglicherweise die Wahrscheinlichkeit, mit der ein bestimmtes Ereignis eintritt. Es ergibt sich ein neuer Gewinnerwartungswert. Und die Differenz zwischen dem alten und dem neuen Gewinnerwartungswert beschreibt den Wert der neuen Informationen.

Diese Modelle bestimmen folglich den Wert von Informationen, mit denen die beste Handlungsoption ausgewählt werden kann.

Bis dato gibt es aber keine Modelle, anhand derer sich der Wert einer Kundendatenbank oder der Wert der Daten eines Social-Media-Anbieters direkt ermitteln ließen. Der Wert dieser Daten muss für den konkreten Einzelfall ermittelt werden, denn er hängt vom verwendeten Geschäftsmodell ab.

Wie lassen sich datenbasierte Geschäftsmodelle entwickeln?

Heute sammeln viele Unternehmen Daten, ohne überhaupt zu wissen, was sie damit später einmal anfangen wollen. Wie gesagt, Daten haben einen Wert – da ist es naheliegend, sie vorbeugend schon mal zu sammeln. Ich bekomme relativ häufig Anfragen von Unternehmen, die wissen möchten, was sie mit ihren gesammelten Daten denn nun anfangen können und wie man in diesem Zusammenhang mit dem Thema Privatsphäre umgeht.

Zum Einstieg bieten sich Verfahren an, die die Kreativität anregen, wie Brainstorming, ein Hackathon oder auch Design Thinking.

Wenn sich auf Basis der ersten Ergebnisse zeigt, dass es sich lohnen könnte, ein Geschäftsmodell zu entwickeln, dann eignet sich das mittlerweile sehr bekannte  Modell Canvas von Alexander Osterwalder und Yves Pigneur, um bestehende Geschäftsmodelle zu veranschaulichen oder zu dokumentieren. Wenn es aber darum geht, gänzlich neue Geschäftsmodelle zu entwickeln, habe ich mit dem so genannten St. Gallener Ansatz von Alexander Gassmann sehr gute Erfahrungen gemacht. Dieser Ansatz stellt 55 Muster von erfolgreichen Geschäftsmodellen bereit. Bei der Arbeit an einem konkreten Fall, schaut man sich diese etablierten Muster an und überlegt, ob es sinnvoll sein könnte, sie auf eine neue Branche zu übertragen.

Wir haben kürzlich einen Workshop mit 12 Mitarbeiterinnen und Mitarbeitern eines großen Unternehmens aus dem Maschinenbau durchgeführt, um Ideen zu entwickeln, wie sich die Daten, die alltäglich u.a. von verschiedensten Sensoren gesammelt werden, gewinnbringend nutzen lassen. Das Ziel bestand darin, Geschäftsmodellinnovationen zu entwickeln, mit denen das Unternehmen von seiner Datensammlung profitiert.

Nach einer kurzen Einführung in das Thema Entwicklung von Geschäftsmodellen haben wir gemeinsam eine Datenlandkarte erstellt. Bei der Vorbereitung des Workshops hatten wir aus den verfügbaren Geschäftsmodell-Mustern des St. Gallener Ansatzes 27 herausgepickt, die uns im konkreten Fall interessant erschienen.

Im Verlauf des Workshops wurde dann jeweils eine Karte gezogen, bspw. das Muster „Razer & Blade“: Ein Produkt oder Service wird also sehr günstig oder sogar kostenlos an (potenzielle) Kunden verteilt, um im Anschluss mit  ergänzenden Dienstleistungen oder Produkten Geld zu verdienen.

Wenn alle das Prinzip des Musters verstanden hatten, diskutierte die Gruppe, ob diese Idee für das Unternehmen geeignet sein könnte. Alle Ideen wurden dokumentiert. Wenn die Diskussion abebbte, wurde die nächste Karte gezogen. Am Ende des Tages hatten wir knapp 40 Ideen entwickelt, wie auf Basis der verfügbaren Daten Services für Kunden entwickelt werden könnten. Auf Basis dieser 40 Ideen lässt sich nun auch der Wert der Daten für das jeweils konkrete Szenario berechnen – allerdings ohne Metamodell wie es von Jacob Marschak und Helmut Laux entwickelt wurde.