Die Digitalisierung von Geschäftsmodellen und Prozessen entwickelt sich rasant, der Markt ist geprägt von Innovation und Disruption. Im Bereich Life Sciences in vielen Pharma- und Biotech-Unternehmen steckt dieser Wandel allerdings noch in den Kinderschuhen. Bei allem Einsatz neuer Technologien und Innovationen wird schnell der Datenschutz vergessen. Dies kann jedoch weitreichende Auswirkungen haben. Von Jan Hoffmeister, Drooms GmbH
In den globalen Fusions- und M&A-Prognosen für das Jahr 2017 wird die Healthcare-Industrie besonders wachsam beobachtet. Für die Branche der Life Sciences wird 2017 ein Peak erwartet[1]. Unter diesen Voraussetzungen gewinnen Ideen und Produkte innerhalb der Branche an Wert. Sie ziehen auch das Interesse von Cyberkriminellen an. Wie können Konzerne und Unternehmer ihre Ideen schützen?
Attacken mit weitreichenden Folgen
Das geistige Eigentum, also die immateriellen Vermögenswerte, können mehr als 80% des Unternehmenswertes ausmachen. Hiervon ist vor allen Dingen die Pharma-Branche betroffen. Der Schutz der Intellectual Property sollte daher die oberste Priorität jeder Unternehmensstrategie in dieser Branche sein.
Vor allen Dingen Informationen zu Produktforschung und -entwicklung sowie Patentierung und Einlizensierungen scheinen die anspruchsvollsten Cyber-Attacken auf sich zu ziehen. Nicht zu vergessen die Gefahr durch Datenklau und Wirtschaftsspionage durch die eigenen Mitarbeiter. Im Fall einer erfolgreichen Attacke reichen die Schäden von Reputationseinbußen durch eine negative Berichterstattung in der Presse bis hin zur Insolvenz und Schließung. Was dieses Szenario noch bedrohlicher macht: Die Attacken bleiben unter Umständen wochen- oder gar monatelang unsichtbar.
Schutz der Intellectual Property als Basis jedes Geschäftsprozesses
Früher wurde der Schutz des geistigen Eigentums gewährleistet, indem vertrauliche Informationen lediglich einem eingeschränkten Personenkreis innerhalb des Unternehmens in Papierform zugänglich gemacht wurden. Heutzutage jedoch, wo Arbeitsprozesse sich auf eine gemeinsam genutzte Datenbasis stützen, ist die Kontrolle über vertrauliche Informationen immer anspruchsvoller geworden. Dies gilt vor allen Dingen für Unternehmen, die sich wenig für die Technologien für den Austausch ihrer Daten mit Drittparteien interessieren.
Bei Verhandlungen zweier Unternehmen werden große Mengen an unternehmenssensiblen Informationen geteilt. Um dies ohne Verzögerung des gesamten Prozesses möglich zu machen, teilen sie ihre Dokumentation über die Tools, die sie bereits kennen, meist jedoch ohne Kenntnis der Sicherheitsanforderungen, die mit dem Austausch von Daten verbunden sein sollten. Konzerne haben in der Regel den Vorteil einer eigenen IT-Abteilung, die Cyber-Attacken aufspüren. Kleinere Unternehmen bemerken jedoch oft nicht einmal, dass sie gehackt wurden. Für diese Unternehmen kann es existenzbedrohend werden.
Risikoszenarien und Lösungen
Es gibt mindestens fünf Szenarien in der Biotechnologieindustrie, bei denen der Schutz des geistigen Eigentums stark gefährdet ist:
- R&D: Die Entwicklung von Arzneimitteln, ein Prozess, der potenziell bis zu sechs Jahre dauert, erfordert ein hohes Maß an Vertraulichkeit, vor allen Dingen bei Austausch oder Weitergabe von Informationen an Dritte.
- Finanzierungsrunden: Über die Finanzierungsrunden wird sichergestellt, dass stets ausreichend finanzielle Mittel in der jeweiligen Entwicklungs- oder Vermarktungsphase zur Verfügung stehen. Wettbewerber können bei einem Datenleck in einer dieser Phase umfassende Informationen stehlen, um beispielsweise ein Produkt schneller auf den Markt zu bringen.
- M&A: Für M&A-Transaktionen werden potenziellen Bietern die vollständigen Unternehmensinformationen für die Durchführung der Due Diligence zur Verfügung gestellt. Informationen werden dem Adressatenkreis stufenweise offengelegt.
- Lizensierungen: Bei Lizenzverhandlungen ist der Austausch von Informationen mit mehreren externen Spielern auf der ganzen Welt erforderlich. Hier erfolgt der Austausch von sensiblen Informationen nicht nur über Unternehmensgrenzen, sondern oft auch über Landesgrenzen hinweg.
- Datenmanagement: Auch die dauerhafte, effektive Verwaltung der Unternehmensinformationen und die gesamte Produktentwicklungshistorie sollte stets sicher gelagert sein und sicher zugänglich sein, um keine dauerhafte Sicherheitslücke in der Dokumentation entstehen zu lassen.
Dank der neuesten technologischen Entwicklung in Sachen Sicherheit ist es heute möglich, die Kontrolle über die Verbreitung vertraulicher Dokumente zu behalten. Man kann verfolgen, an wen und wann die eigenen Informationen weitergeleitet werden, und Maßnahmen ergreifen, sollte jemand diese Informationen unbefugt zu Gesicht bekommt.
Unternehmen teilen in der Regel Informationen über Cloud-Services und Content-Management-Systeme, die zwar intuitive Workflows ermöglichen, aber kein hohes Maß an Sicherheit gewährleisten können. Andere übliche Methoden zur gemeinsamen Nutzung von Daten, wie E-Mail, CD oder SFTP-Server, sind ebenfalls riskant, da sie die Informationen nicht verschlüsseln. Als Grundregel sollte immer sichergestellt sein, dass eine Verschlüsselung von Informationen über eine 256-Bit-Schlüssellänge läuft und Thawte-zertifiziert ist. Außerdem ist es wichtig zu klären, wo sich die Server für die Datenspeicherung befinden. Europäische Cloud-Anbieter mit Servern in Europa sind aufgrund der hier geltenden Datenschutzbestimmungen besonders sicher.
Speziell abgestimmte Software-Lösungen
Statt oft veraltete Tools an neue geschäftliche Herausforderungen anzupassen, ist es ratsam, nach Softwarelösungen zu suchen, die speziell auf den Schutz der Intellectual Property und dem Bedarf der Life-Sciences-Branche zugeschnitten sind. Virtuelle Datenräume bieten als Cloud-Lösung eine sichere Plattform, alle oben genannten Szenarien rund um den Austausch sensibler Informationen abzubilden. Dank des gleichzeitigen und weltweiten Zugriffs mehrerer Nutzer auf das Tool ist der Datenraum sowohl für den internen als auch den externen Austausch von Informationen mit Drittparteien geeignet. Der Zugriff jedes Nutzers wird überwacht und individuell gesteuert. Zudem werden über IP-Adress-Monitoring, der verschlüsselten Datenübertragung, dem Setzen von dynamischen Wasserzeichen auf jedem Dokument im Datenraum sowie einer Zwei-Faktor-Authentifizierung weitere Sicherheitsgaranten gesetzt. Jede Aktivität im Datenraum wird dokumentiert – so kann auch im Nachgang nachvollzogen werden, welchen Weg ein Dokument genommen hat.
Fazit
Der virtuelle Datenraum ist somit keine Eintagsfliege inmitten des schnellen Wandels hin zu verstärkt digitalen Prozessen in der Branche. Unternehmen, die in volatilen Märkten schnell agieren wollen, müssen ihre Assets unter Umständen schnell auf den Markt bringen. Eine durchgehende Dokumentenverwaltung für den gesamten Lifecycle ermöglicht schnelles und sicheres Handeln im Bedarfsfall.
Unternehmen im Bereich Life Sciences stehen vor der Herausforderung, neben dem Umbruch, der unter Umständen ihre gesamte Wertschöpfungskette betreffen kann, weiter wettbewerbsfähig zu sein und sich dabei keinen Sicherheitsrisiken auszusetzen.
ZUM AUTOR
Jan Hoffmeister ist Chairman von Drooms, einem internationalen Anbieter für virtuelle Datenraumlösungen. Er war viele Jahre lang als Manager, vornehmlich bei Siemens, in den Bereichen Corporate Finance und M&A in Deutschland, der Schweiz und den USA tätig.
[1] http://www.ey.com/gl/en/industries/life-sciences/vital-signs-ey-ma-outlook-and-firepower-report-2017