Softwarerisiko ist ein unternehmerisches Risiko
Zeit für Führungskräfte jetzt aktiv zu werden
Es ist fast schon ein Gemeinplatz die Aussage, dass heute jedes Unternehmen ein Softwareunternehmen ist. Aber was genau ist damit gemeint? Ein Softwareunternehmen zu sein, bringt zunächst einmal beides mit sich – Chancen ebenso wie Risiken. Die Chancen liegen eindeutig in den potenziellen Wettbewerbsvorteilen.
Was die Risiken anbelangt, ist es nicht ganz so simpel. Das liegt nicht zuletzt daran, dass die Risiken oft nicht wirklich verstanden werden und, dass sie seitens der Führungsebene unzureichend gemanagt werden. In diesem Gespräch erläutert Jason Schmitt, was Unternehmens- und Technologie-Leader tun sollten, um ihr Unternehmen erfolgreich zu transformieren und gleichzeitig die Software-inhärenten Risiken in den Griff zu bekommen.
Herr Schmitt, wie verändert die digitale Transformation die Beziehung eines Unternehmen zu Software?
Unternehmen betreiben die digitale Transformation nicht um ihrer selbst willen. Sie ist Mittel zum Zweck, mit dem Unternehmen sich Wettbewerbsvorteile verschaffen wollen. Software fungiert dabei als Enabler. Das Ziel ist ja nicht, mehr digitale Assets zu schaffen. Vielmehr geht es darum, die Leistungsfähigkeit der Technologie im Sinne der Transformation zu nutzen. Entweder durch die Automatisierung aktueller Prozesse oder um die Kundenerfahrung/Customer Experience neu zu gestalten. Software eröffnet neue, unternehmerische Wege, aber sie birgt auch Risiken.
Welchen Softwarerisiken sind Unternehmen aktuell ausgesetzt?
Es gibt eine ganze Reihe von Risiken, die mit Software verbunden sind. Dazu zählen eine mangelnde Softwarepflege grundsätzliche Sicherheitsbelange und die Zuverlässigkeit von Software.
Diese Risiken entstehen, weil Unternehmen dem Thema Sicherheit bei der Entwicklung, Beschaffung und dem Management ihrer geschäftskritischen Software noch immer keine Priorität einräumen.
Wir unterstützen Unternehmen dabei, Sicherheit deutlich früher in den Prozess einzubeziehen.
Jason Schmitt
Unser Interviewpartner
Jason Schmitt ist General Manager der Synopsys Software Integrity Group. In dieser Position kombiniert Schmitt sein Wissen im Bereich Sicherheit mit seiner Expertise bei der Bereitstellung von SaaS- und Cloud-basierten Lösungen. Sein Ziel ist es, die Art und Weise, wie Unternehmen Software entwickeln und bereitstellen, grundlegend zu verändern.
Es gilt, Firmen dabei zu unterstützen, Innovationen zu beschleunigen und gleichzeitig unternehmerische Risiken zu minimieren.
Es ist wichtig, Vertrauen darin zu schaffen, wie Ihre Software entwickelt, erstellt und getestet wurde – unabhängig davon, ob sie intern entwickelt oder von Dritten bezogen wurde. Denn sobald Sie eine Software einsetzen oder verwenden, tragen Sie auch das damit verbundene Risiko. Schwachstellen in einer Software können Kundendaten und geistiges Eigentum offenlegen. Das wiederum zieht finanzielle und rechtliche Risiken nach sich. Scheinbar harmlose Fehler oder Versäumnisse wachsen sich schnell zu einer existenziellen Bedrohung für ein Unternehmen aus. Versäumt man es, diesen Risiken den nötigen Stellenwert beizumessen, schädigt das in den weitaus meisten Fällen die Reputation. Aber es führt eben auch zu finanziellen und juristischen Konsequenzen.
Inwiefern trägt Open Source Software zu dieser problematischen Gemengelage bei?
Open Source ist nicht per se stärker risikobehaftet. Dennoch ist es hilfreich, an dieser Stelle über ausreichende Transparenz zu verfügen. Wo beispielsweise wurde die Software entwickelt? Von wem? Open Source hat in den letzten Jahren stark an Popularität gewonnen. Nicht zuletzt, weil sie die digitale Transformation unterstützt. Aber wenn Sie Software einsetzen und Sie zu einem wichtigen Bestandteil Ihres Unternehmens machen, wirft das Fragen auf. Fragen, wie genau diese Software entwickelt wurde, aber auch hinsichtlich der Qualität und Zuverlässigkeit.
Was können Technologieführer tun, um ihre Software besser zu kontrollieren?
Das Wichtigste ist, die Risiken zu priorisieren. Wägen Sie ab, wie hoch der potenzielle Schaden sein könnte und was für Ihr Unternehmen noch innerhalb des Toleranzbereichs liegt.
Gehen Sie bei Ihren Überlegungen davon aus, was für den Betrieb des Unternehmens zwingend notwendig ist. Einige Risikosäulen wie Gesetze und Vorschriften sind nicht verhandelbar. Sie sollten also den Toleranz- und Gefährdungsbereich für Ihre Firma objektiv quantifizieren und qualifizieren. Eine risikobasierte Priorisierung ermöglicht es Ihnen, sich auf das Wesentliche zu konzentrieren. Dann wird Sicherheit auch nicht zu einem Hemmschuh für die Leistungsfähigkeit des Unternehmens.
Wie können Unternehmen das Problem entschärfen, ohne die Produktivität auszubremsen oder Innovationen zu hemmen?
Die Unternehmensführung sollte sich auf die Geschäftsziele konzentrieren. Und die bestehen in erster Linie darin, Wettbewerbsvorteile zu entwickeln. Zunächst müssen Sie erkennen, dass Software-Risiken nie ein ausschließlich technologisches Problem sind. Sie sind immer auch ein unternehmerisches. Sie sollten sich jederzeit bewusst sein, dass Software die Integrität von Kundenbeziehungen gefährden und die Marktposition des Unternehmens kompromittieren kann.
Sie brauchen Prozesse, die sich mit den Risiken von Software befassen, und zwar sehr früh innerhalb dieses Lebenszyklus – sobald die Software im Unternehmen eingeführt wird. Dies gilt unabhängig davon, ob Sie die Software selbst entwickeln, sie von der Stange kaufen, sie aus einer Open-Source-Distribution herunterladen oder sie sogar auslagern und jemanden mit der Entwicklung beauftragen. Solche Probleme frühzeitig zu erkennen, ermöglicht es Unternehmen, schneller zu handeln und Innovationen voranzutreiben. Und daraus dann strategische Vorteile zu ziehen.
Was empfehlen Sie Ihren Kunden bei der Behebung von Softwarerisiken?
Die meisten Anbieter für Softwaresicherheit arbeiten reaktiv – also mit anderen Worten, wenn es bereits zu spät ist. Wir krempeln diese Vorgehensweise um und setzen auf einen ganzheitlicheren Ansatz. Dabei konzentrieren wir uns darauf, frühzeitig Vertrauen in die Software zu schaffen und aufrechtzuerhalten. Unternehmen sind dann nicht gezwungen, unter Druck zu reagieren, sondern können sich darauf konzentrieren, ihr Geschäft voranzutreiben. Führungskräfte sind dringend gehalten, Software als Business Asset zu betrachten, und zwar von der Entwicklung oder der Einführung im Unternehmen an.
Wir unterstützen Unternehmen dabei, Sicherheit deutlich früher in den Prozess einzubeziehen. Dazu wird sie bereits im Fundament einer Software und in den entsprechenden Entwicklungsprozessen verankert. Indem Sie eine systematische Methode zur Entwicklung Ihrer Software verwenden und weiterentwickeln, wird sie zu einem vertrauenswürdigen Asset. Statt zu Etwas, das per se verdächtig ist…