Die Lücke im Markt für IT-Sicherheit

Tool-Hersteller verkaufen Software, Beratungsunternehmen liefern Konzepte. Dazwischen liegt jedoch der
Bereich, in dem gekaufte Technik und erarbeitete Pläne in einen stabilen, funktionierenden Betrieb
überführt werden müssen. Gerade dort, wo Sicherheit im Alltag zuverlässig wirken soll, fehlt oft eine klar
zugeordnete Verantwortung oder ein eindeutiger Anbieter. Die praktischen Konsequenzen tragen letztlich
die Unternehmen selbst.

Dass sich der Markt in dieser Form entwickelt hat, ist kein Zufall, sondern folgt einer klaren ökonomischen
Logik. Lizenzen lassen sich skalieren, ebenso Tagessätze für Beratung. Die Arbeit jedoch, die nach der
Implementierung eines Tools und der Abnahme eines Konzepts beginnt, entzieht sich dieser Logik. Sie findet im Unternehmen im Zusammenspiel von IT, Fachbereichen und Geschäftsführung statt. Diese Phase ist schwer zu standardisieren, kaum skalierbar und lässt sich nicht in ein Produkt- oder Leistungsblatt
überführen. Gerade deshalb bleibt sie häufig unzureichend bearbeitet. Nicht aus Nachlässigkeit, sondern
weil sie im bestehenden Marktangebot strukturell nicht vorgesehen ist.

Was liegen bleibt, wenn niemand zuständig ist

Analysen, deren Ergebnisse nie den Weg in den Betrieb finden. Pläne, auf die sich im Alltag niemand verpflichtet sieht. Werkzeuge, die eingeführt, aber nur zu Teilen genutzt werden. Zwischen IT-Leitung und Geschäftsführung liegen Fragen, auf die es keine klare Antwort gibt. Wer priorisiert, wenn Budget und Bedrohungslage auseinanderlaufen. Wer entscheidet, ob ein Restrisiko getragen oder geschlossen wird. Wer trägt die Verantwortung, wenn Regulatorik in Kraft tritt und das Unternehmen darlegen muss, warum es welche Maßnahme in welcher Reihenfolge getroffen hat. Diese Fragen lassen sich nicht durch ein Produkt und durch ein Konzept beantworten. Sie müssen im Kontext der konkreten betrieblichen Praxis geklärt werden, und zwar innerhalb der Unternehmen, die sie betreffen. Ohne dieses Verständnis bleibt die Wirksamkeit vieler Sicherheitsinvestitionen unklar.

Der Maßstab verschiebt sich

Eine andere Form der Arbeit setzt dort an, wo nicht der Output, sondern der Outcome, also die erzielte Wirkung, zum entscheidenden Maßstab wird. Das klingt selbstverständlich, verschiebt aber die gesamte Logik. Ein Projekt gilt nicht als abgeschlossen, wenn Tools eingerichtet und Dokumente übergeben sind, sondern wenn die Organisation mit ihnen wirksam umgehen kann. Verantwortung wird nicht delegiert, sondern innerhalb des Unternehmens geklärt, bevor irgendetwas Technisches aufgesetzt wird. Der Partner bleibt nur so lange, wie die Organisation ihn benötigt, und arbeitet darauf hin, sich selbst überflüssig zu machen. Drei Verschiebungen, die im Ergebnis kaum auffallen, weil sie leise arbeiten. In der Praxis verändern sie, welche Sicherheitsmaßnahmen ankommen, welche nicht und warum. Arbeit, die im Betrieb ankommt

PORTFORMANCE arbeitet in genau diesem Zwischenraum. Das Unternehmen tritt weder als reiner Tool- Anbieter noch als klassische Beratung auf, sondern begleitet IT-Sicherheit von der Analyse bis zu dem Punkt, an dem sie im Betrieb verlässlich läuft. Risiken werden nach ihrer geschäftlichen Auswirkung sortiert, nicht nach technischer Sichtbarkeit. Verantwortung wird zwischen IT und Management benannt, bevor Maßnahmen aufgesetzt werden. Was danach umzusetzen ist, wird umgesetzt, und zwar so lange, bis erkennbar ist, dass das Unternehmen ohne weitere Begleitung zurechtkommt. Diese Haltung wirkt unspektakulär. In der Praxis ist sie die Stelle, an der sich entscheidet, ob Sicherheit wirksam wird. (438 Wörter)

Weitere Informationen unter www.portformance.de

Erfahren Sie mehr Perspektiven aus der deutschen Landschaft