4.2. Fazit

Zusammenfassend lässt sich sagen, dass der Reifegrad und die Awareness für Informationssicherheit in den Gesellschaften des Bayerkonzerns in der VR China unterschiedlich ausgeprägt sind. Organisationseinheiten, die schon seit Jahren vor Ort sind, sind mit ihren Konzepten deutlich fortgeschrittener, als die Gesellschaften, die ihr Geschäft aktuell aufbauen. Schwachpunkte befinden sich insbesondere in den auf Vertrieb im Konsumentenbereich ausgelegten Bereichen sowie den administrativen Funktionen. In den Bereichen der Produktion und des Engineering ist die Awareness für Informationsschutz höher, was zum Teil auch damit zusammen hängt, dass in der Produktion grundsätzlich Sicherheit-Standards eine größere Bedeutung haben. Im Bereich des Engineering berücksichtigen die vorhandenen Konzepte auch Aspekte des Schutzes von geistigem Eigentum (Intellectual Property), speziell auch mit Blick auf das chinesische Verständnis zum Umgang mit Informationen.

Derzeit gibt es in der VR China keine gesellschaftsübergreifenden Anstrengungen und Konzepte der Bayer-Gesellschaften für den Informationsschutz. Dies soll sich durch das vorliegende Programm „Framework for Information Security and Risk-Management“ verändern. Basierend auf der Analyse der Ist-Situation enthält es alle Merkmale einer modernen Methodik der IT- und Informationssicherheit. Im Vergleich zu anderen international tätigen Konzernen ist ein Konzept für den Aufbau eines systematischen Risiko-Managements für Informationsrisiken enthalten. Das Risiko-Management ermöglicht den effizienten und effektiven Einsatz von Ressourcen und stellt vorhandene Risiken konsolidiert im Überblick zur Verfügung. So werden in einem immer komplexer werdenden Gefüge aus externen und internen Vorschriften „managed decisions“ für den Informationsschutz möglich.

Das vorgelegte Framework integriert die Prinzipien des Business Context und deckt alle aus der IT-Governance abgeleiteten Anforderungen ab. Es wurde entlang eines Architekturmodells entwickelt, das auf der Corporate Compliance beruht, jedoch auch die lokalen Anforderungen und Rahmenbedingungen berücksichtigt. Die aus dem Architekturmodell abgeleiteten Ziele gliedern sich in Governance und Serviceaufgaben. Durch klare, einfache Strukturen der gewählten Prozesse und der Organisation soll den operativen Geschäftseinheiten ein Mehrwert geliefert, aber auch klare Vorgaben gegeben werden.

Vor dem Hintergrund der knappen Budgets müssen auch Investitionen der Compliance in ihrer Wirtschaftlichkeit hinterfragt werden. Die vorgelegten Überlegungen zum Wertbeitrag der Informationssicherheit, wie der Berechnung von ROIs oder einer „Balance Scorecard“ unterstützen dieses Vorgehen.

Die Analyse der Ist-Situation zeigt, dass der Erfolg einer Implementierung von einer Steigerung der allgemeinen Awareness abhängt. Hierfür wurden erste Überlegungen angestellt, in dem Meinungen und Verständnis verschiedener Organisationsteile erfasst wurden, Potentiale für Verbesserungen identifiziert und erste Schritte für ein begleitendes „Change-Management“ definiert wurden.

Im Vergleich zu anderen in der VR China tätigen multinationalen Unternehmen enthält das entwickelte Framework als Besonderheit einen Ansatz zum Risiko-Management und basiert auf einem strukturierten Architekturmodell. Die im Programm definierte Vorgehensweise bildet die Basis für eine erfolgreiche Einführung. Durch die Implementierung wird sich die Informationssicherheit in allen Bereichen signifikant verbessern. Wesentlicher Erfolgsfaktor ist dabei die Unterstützung des Top-Managements und die Steigerung der Awareness in den Gesellschaften.