Corporate Digital Responsibility
Was ist das und was haben Unternehmen davon?
Digitale Technologien pushen das Streben nach Effektivität und mehr Effizienz im Unternehmen. Gleichzeitig bieten diese die Chance für verbesserte und neue Produkte und Dienste mit hohem Monetarisierungspotenzial sowie Kundennutzen. Dem gegenüber stehen Risiken, die Kosten verursachen können, welche je nach Szenario, das Unternehmen oder aber die Gesellschaft tragen muss. Um diese Risiken einerseits im Eigeninteresse und andererseits im Rahmen der Übernahme gesellschaftlicher Verantwortung der Unternehmen frühzeitig zu erkennen und bestenfalls zu vermeiden bzw. zu kompensieren sind klare und möglichst einheitliche Leitplanken sinnvoll.
Leitplanke Corporate Digital Responsibility
Corporate Digital Responsibility (CDR) meint als Managementkonzept die Verantwortung von Unternehmen in der digitalen Gesellschaft. Kern von CDR ist Aufbau und Erhalt von Vertrauen als Grundpfeiler für wirtschaftlichen Erfolg. Themen wie die ethische und nachhaltige digitale Entwicklung unter der Berücksichtigung von sozialen, ökonomischen und ökologischen Wirkungen digitalen Unternehmenshandelns sollen damit frühzeitig erkannt werden, um daraus Aktivitäten abzuleiten. CDR ist dabei ganzheitlich über die Unternehmensgrenzen hinaus angelegt und schließt damit die gesamte Wertschöpfungskette und alle relevanten Stakeholder ein, wie z. B. Mitarbeitende oder Kundinnen und Kunden. Freiwillige Verantwortungsübernahme und Selbstverpflichtung der Unternehmen stehen dabei im Vordergrund. Themenfelder sind z. B. Digitale Kompetenz, Inklusion, IT-Sicherheit, Privatsphäre, Fairness im Umgang mit Daten und Transparenz.
CDR ist noch vergleichsweise jung und kann noch aktiv gestaltet werden. Ein Beispiel ist die „<CDR-Initiative>“ des Bundesministeriums für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz (BMUV), innerhalb derer seit 2018 gemeinsam mit Unternehmen CDR gestaltet wird.
Warum das Bundesamt für Sicherheit in der Informationstechnik?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) befasst sich mit allen Fragen rund um die IT-Sicherheit in der Informationsgesellschaft. Ziel des BSI ist es, den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben. Dabei prägen Unternehmen den digitalen Wandel maßgeblich. Gleichzeitig erhöht die zunehmende Digitalisierung das Risiko von Cyber-Angriffen. Die Frage nach der Verantwortung dieser Keyplayer für die IT-Sicherheit zwischen Gewinnabsichten und Verbraucherschutzinteressen, Freiwilligkeit und gesetzlicher Pflicht ist nicht leicht zu beantworten. Daher setzt sich das BSI dafür ein, IT-Sicherheit als wichtigen Teilbereich von Corporate Digital Responsibility mit zu gestalten. Insbesondere bietet sich für den Digitalen Verbraucherschutz die Chance, gemeinsam mit allen Stakeholdern Regeln zur Selbstverpflichtung aufstellen, um die IT-Sicherheit von Unternehmen und ihren Produkten zu stärken.
IT-Sicherheitsvorfälle ohne Ende
Warum das weiter notwendig ist, zeigt sich u. a. daran, dass aktuell kaum ein Tag ohne Meldungen über IT-Sicherheitsvorfälle vergeht. Ein Resultat daraus sind Millionen von Nutzerkonten, deren Informationen frei im Internet abrufbar sind. E-Mailadressen, Passwörter, Kreditkartendaten usw., die von den Nutzerinnen und Nutzern nicht für eine Veröffentlichung bestimmt waren, werden über sogenannte „Leaks“ öffentlich. Der Identity Leak Checker vom Hasso-Plattner-Institut führt die unglaubliche Zahl von rund 1.500.000 geleakten Accounts pro Tag.
Schicksale hinter den Zahlen – Verbraucherschutz geht alle an
In der Diskussion rund um diese Zahlen wird selten darauf eingegangen, welche Konsequenz das für die Einzelne/ den Einzelnen hat: Hinter jedem dieser Datensätze steht ein Mensch, dessen mehr oder weniger umfangreiche persönliche Informationen ohne eigenes Verschulden öffentlich werden. Jeden kann es treffen und offensichtlich hat es bereits viele getroffen.
Was passieren kann, ist nicht jedem immer sofort klar. Die Szenarien sind vielschichtig. Sie reichen von Identitätsdiebstahl, also vorzugeben, eine andere Person zu sein, über das Aussperren von eigenen Diensten, wie etwa dem eigenen E-Mail-Konto, bis hin zur konkreten finanziellen Schädigung durch Erpressung, Betrug und Diebstahl.
Neben den persönlichen Schicksalen haben Vorfälle – unabhängig davon, ob der Hintergrund z. B. kriminell oder ein Versehen ist – immer auch schädliche Auswirkungen auf das betroffene Unternehmen. Reputationsverlust bei Partnern und Kunden, Kosten im Zusammenhang mit dem Vorfall und schlussendlich Umsatzverluste. Dabei geht auch immer Vertrauen verloren, was am Ende allen schadet.
Verantwortung übernehmen – IT Sicherheit als Gemeinschaftsaufgabe
Wer trägt dann nun die Verantwortung – allein die Unternehmen? Keineswegs. IT-Sicherheit ist eine Gemeinschaftsaufgabe von Staat, Wirtschaft und Gesellschaft. Gleichwohl beginnt die Verantwortung mit dem Start einer Unternehmung und dem angebotenen Produkt bzw. der Dienstleistung und erstreckt sich über den gesamten Lebenszyklus derselben. Wichtige Grundlagen dafür werden innerhalb des Unternehmens gelegt. Das BSI bietet hierzu bereits umfangreiches Unterstützungsmaterial Beispielsweise Das hat das BSI sich als Konsortialleitung an der neuen DIN SPEC 27076 “Entwicklung eines Standards zur IT-Sicherheitsberatung für Klein- und Kleinstunternehmen” (KKU) beteiligt. Die KKU, bis 50 Mitarbeitende, können hierdurch ihren aktuellen Cyber-Risikostatus ermitteln. Diese erhalten anhand ihrer identifizierten Schwachstellen Handlungsempfehlungen, um die Lücken zu schließen.
Voraussetzungen müssen stimmen
Für den Endnutzenden (z. B. Verbraucherinnen und Verbraucher) müssen die richtigen Voraussetzungen geschaffen werden. So sollten beispielsweise speziell für den Handel durch das Unternehmen Vorkehrungen getroffen werden, dass keine bereits ab Kauf unsicheren Produkte vertrieben werden. Bei Diensten sollte immer eine 2-Faktorauthentisierung angeboten werden. Dass das digitale Produkt oder der Dienst selbst auch im „Inneren“ von Anfang an sicher (Security by Design) und ausgerichtet an der Zielgruppe (Usable Security) konzipiert wird, versteht sich dann von selbst. Wenn die Voraussetzungen umsetzbar vorhanden sind, dann sind auch die Verbraucherinnen und Verbraucher in der Verantwortung, diese zu nutzen. Auch bietet das BSI umfangreiches Material auf den Seiten des <Digitalen Verbraucherschutzes> an.
Wirtschaft und Digitaler Verbraucherschutz: Ein „Win-Win“
IT-Sicherheit hat im öffentlichen Diskurs an Bedeutung gewonnen und wird auch von Kunden wahrgenommen. Die konsequente Umsetzung von IT-Sicherheit innerhalb des Unternehmens sowie der Produkte und Dienste schafft eine wichtige Grundlage für den Aufbau von Kundenvertrauen – also auch von Verbraucherinnen und Verbrauchern. Eine dadurch intensivere Kundenbindung kann schlussendlich auch ein Mehr an wirtschaftlichen Erfolg generieren. Das Aktive Einsetzen für IT-Sicherheit bietet damit u. a. die folgenden Vorteile:
Jetzt dabei sein und mitgestalten!
Entscheidungen für oder gegen Maßnahmen in der IT-Sicherheit haben unmittelbaren Einfluss auf den einzelnen Menschen und dessen Leben. Das sollte immer mit bedacht werden, bevor es das nächste Mal heißt, dass wieder Millionen von Accounts geleakt wurden.
Corporate Digital Responsibility kann Sie unterstützen bei allen Fragen rund um den Einsatz digitaler Technologien im Sinne Ihres Unternehmens und Ihrer gesellschaftlichen Verantwortung die Kontrolle zu behalten und mögliche negative Folgen bereits ganz am Anfang zu erkennen und zu beseitigen. Seien Sie jetzt dabei und gestalten Sie CDR mit! Für den wichtigen Teilbereich IT-Sicherheit steht das BSI mit umfangreichem Know-how als Unterstützer zur Verfügung.
Autor: Steffen Waurick,
Referat 31 – Grundsatzfragen im Digitalen Verbraucherschutz und Kooperation.
Bundesamt für Sicherheit in der Informationstechnik
Sie möchten mehr über das Projekt erfahren und Kontakt zu uns aufnehmen? Erfahren Sie hier mehr.