Die IT-Risiken erkennen und reduzieren

Reto Grünenfelder ist Senior IT Security Consultant bei Conpro Consulting in Bern. http://www.conpro.ch

Natürlich ist es schön, mit bekannten Werten zu argumentieren und dem Management ein auf branchenüblichen Zahlen abgestütztes Budget präsentieren zu können. Doch leider kann ich Ihnen keine konkrete Prozentangabe liefern - und diese wäre aus ökonomischer Sicht auch nicht sinnvoll. Das Motto muss sein: So viel IT Security wie nötig! Wie aber können wir bestimmen, was notwendig ist?

Je sicherer wir uns fühlen, desto weniger investieren wir in Sicherheit. Aus dem jährlich von der CSI/FBI veröffentlichten Report «Computer Crime and Security Survey» geht hervor, dass nur wenige Firmen die Risiken rechtzeitig erkennen und durch gezielte Schutzmassnahmen reduzieren. So meldeten im vergangenen Jahr 65 Prozent der befragten Firmen einen Befall mit Viren, 42 Prozent verzeichneten Insider-Angriffe über das interne Netzwerk, 25 Prozent DoS-Attacken (Denial of Service) und 20 Prozent erfolgreiche System Penetration.

All diese Angriffe wären zu vermeiden gewesen, hätte man die Schwachstellen rechtzeitig geschlossen. Es überrascht daher nicht, dass rund 70 Prozent der betroffenen Firmen sofortige Massnahmen zum Schutz der IT-Infrastruktur veranlassten. Vor den Attacken aber waren die Ressourcen nicht verfügbar, die Kredite nicht gesprochen.

Dabei ist es mit proaktiven IT Risk Management möglich, Schadensfälle mit relativ geringem Aufwand zu verhindern.

Leider stelle ich aber immer wieder fest, dass in vielen Firmen die Führung den Vorteil des Risk Managements einerseits nicht erkennt und andererseits Risiken eher nach «Bauchgefühl» als anhand von Fakten bewertet. Bauchgefühle jedoch basieren auf den Erfahrungen der Vergangenheit, sind meist subjektiv und oft einfach falsch. Denn Veränderungen in der Gesellschaft, der Technologie und der Wirtschaft werden nicht berücksichtigt. In einem solchen Umfeld wird es schwierig, die erforderlichen Massnahmen zu budgetieren.

IT-Sicherheit ist zu einem grossen Teil auch ein Geschäft mit der Angst. Manager, die gemäss ihrem Bauchgefühl entscheiden, sind in der Regel Meister der Verdrängung. Sie werden Ihre Argumente mit dem simplen Satz: «Es ist ja noch nie etwas passiert!» entschärfen. Das heisst, sie müssen die Emotionen aus dem Budgetprozess herausnehmen. Wählen sie den nüchternen, Risiko-basierten Ansatz unter Einbezug des Managements.

IT Risk Management stellt den Zusammenhang zwischen der Bedrohung von Werten und den Kosten zur Abwehr dieser Bedrohung her. Dabei lässt sich das Schadenspotential aus dem Wert der angreifbaren Objekte bestimmen, während die Wahrscheinlichkeit des Eintretens eines Schadens durch Schwächen in den Schutzmassnahmen bestimmt wird. Bedrohungen zielen auf die Werte des Unternehmens ab. In der heutigen Zeit bestehen die zentralen Werte eines Unternehmens im Wissen und in den Prozessen der Unternehmung und sind somit informationszentriert.

Ein Angriff auf diese Werte kann nur erfolgreich durchgeführt werden, wenn die Werte zu wenig gut geschützt sind. Ungenügender Schutz bedeutet, dass vorhandene Schwachstellen nicht erkannt oder nicht behoben wurden. Die Eintretenswahrscheinlichkeit eines Vorfalles hängt somit direkt mit den Schwächen des Systems zusammen.

Sicherheitsmassnahmen, die auf die Behebung der Schwachstellen abzielen, verursachen Kosten. Das Risk Management stellt einen Bezug zwischen den Kosten für die Schutzmassnahmen und einem möglichen Schaden durch Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit her. Es liegt dann in der Kompetenz der Führung, zu entscheiden, ob eine Massnahme umgesetzt werden soll, oder ob das Unternehmen das so identifizierte Risiko tragen kann und will.