Schäden durch IT- und Netzwerkausfälle sind zwar schwer exakt zu beziffern, aber beileibe keine graue Theorie: Im vergangenen Jahr legten Serverausfälle oder der Zusammenbruch ganzer Netzwerke zwei Drittel der Firmen zeitweise lahm. Wie Mummert Consulting in der Studie "IT-Security 2004" berichtet, fiel bei jedem elften registrierten Angriff das Unternehmensnetzwerk sogar länger als einen Arbeitstag aus. Und das kann teuer werden: Die Folgen mangelhafter Sicherheitsmaßnahmen kosteten 44 % der Firmen bis zu 10.000 €, jeder zehnte IT-Manager bezifferte den Schaden auf bis zu 100.000 € – 1 % beklagte sogar Verluste von mehr als einer halben Million.
Doch die wenigsten Unternehmen scheinen aus diesem Schaden klug zu werden. Mehr als die Hälfte der befragten Firmen haben ihr Engagement in puncto Datensicherheit gegenüber dem Vorjahr nicht aufgestockt – im Gegenteil: Fast jedes zwölfte Unternehmen will das entsprechende Budget sogar senken. Derzeit steht offensichtlich vor allem die Kostenseite der Investitionen im Fokus der Entscheidung. Die Folge: Zwei von fünf Sicherheitsinvestitionen scheitern, weil niemand das dafür nötige Geld in die Hand nehmen will. Bisweilen scheint es dabei an objektivierten finanziellen Argumenten zu mangeln, was nicht so sein müsste.
Natürlich unterliegen Investitionen in die Sicherheit der IT-Infrastruktur den gleichen Forderungen nach Wirtschaftlichkeit wie alle anderen Unternehmensausgaben auch. Die Besonderheit ist dabei, dass eine solche Investition der Senkung eines Risikos dient, das demnach erst einmal für die konkrete Umgebung korrekt einzuschätzen ist. Doch es gibt auch einige allgemeingültige Eckdaten, die das weltweite Ausmaß der Bedrohung kennzeichnen und die bei der Analyse bekannt sein sollten: Hier können Studien und Analysen aus Presse, Consulting-Unternehmen sowie durch Anbieter, Computer Emergency Response Teams (CERTs) hilfreich sein. Auch die Informationen sonstiger Organisationen wie des SANS Institute (![[externer Link]](../../../../images/link.gif)
www.sans.org) bilden eine gute Basis, um für einen bestimmten Zeitraum statistische Daten hinsichtlich der Art und des Aufkommens von Malware-Ausbrüchen und gezielten Attacken sowie über den verursachten wirtschaftlichen Schaden zu erhalten. Aus diesen Daten können näherungsweise Eintrittswahrscheinlichkeiten für verschiedene Bedrohungsszenarien ermittelt werden.
Eine Schwachstelle alleine mag vielleicht noch kein ernstes Problem sein – trifft ein solcher wunder Punkt aber mit einem realistischen Bedrohungsszenario zusammen, so lässt sich anhand der angenommenen Eintrittswahrscheinlichkeit ein statistischer Wert für zu erwartende Schäden errechnen. Eine sinnvolle Kosten-Nutzen-Analyse für die IT-Sicherheit sollte das Risiko beziehungsweise die Auswirkungen eines Systemausfalls unter Annahme der Eintrittswahrscheinlichkeit im Verhältnis zum Aufwand für die Beseitigung des Risikos betrachten. Zu diesem Zweck sind zunächst die vorhandenen Risiken zu identifizieren und zu bewerten.
Der Erwartungswert eines Risikos lässt sich dabei als das Produkt aus seiner Eintrittswahrscheinlichkeit multipliziert mit der finanziellen Bewertung der damit verbundenen Auswirkungen ermitteln. Der Erwartungswert aller identifizierten Risiken ist dann die Summe der Erwartungswerte der Einzelrisiken. Eine Investition in die Risikoverminderung – also in die IT-Sicherheit – lohnt sich dann, wenn im Betrachtungszeitraum der Erwartungswert der Risiken die Investition in die Risikoverminderung zuzüglich des verbleibenden Risikos übersteigt.
Nach der Ermittlung des Erwartungswerts aller Risiken sowie der erforderlichen Investitionen zur Verminderung oder Vermeidung der Risiken kann der Return on Security Investment (RoSI) kalkuliert werden: Er ergibt sich aus dem Ertrag, der durch die geplante Investition entsteht, dividiert durch die dafür notwendigen Ausgaben. Als Ertrag kann der Betrag angesehen werden, um den der Erwartungswert der Risiken reduziert wurde, also der Erwartungswert des Risikos vor der Investition abzüglich des Erwartungswertes des Restrisikos nach getätigter Investition.
Ist beispielsweise in einem Unternehmen kein Virenschutz vorhanden, so heißt das Bedrohungsszenario "Infektion des Netzwerks mit allen Folgen für die angeschlossenen Arbeitsplätze, Applikationen und den Datenbestand". Die Wahrscheinlichkeit, dass ein solches Szenario heutzutage auftreten kann, beträgt realistische 40 % – allein der finanzielle Schaden durch zu erwartenden Datenverlust dürfte hier leicht 100.000 € erreichen. Lässt sich durch eine angenommene Investition in Höhe von 20.000 € die Eintrittswahrscheinlichkeit des identifizierten Risikos auf 5 % senken, so ergibt sich das folgende Bild (sofern der Schaden bei Eintritt unverändert mit 100.000 € angesetzt wird):
Bei einer hierfür notwendigen Investition in die Informationssicherheit von 20.000 € folgt eine Verminderung des Erwartungswerts um den Faktor:
( 40.000 € – 5.000 € ) : 20.000 € = 1,75
Innerhalb des Betrachtungszeitraums ist die Verminderung des Erwartungswerts des Risikos also 1,75-mal größer als der investierte Betrag. Bezogen auf einen Betrachtungszeitraum von einem Jahr beträgt die Amortisationsdauer der Investition damit 1 : 1,75 ≈ 0,6 Jahre, also etwa sieben Monate.
----------Anfang Textkasten----------
Für die meisten Unternehmen sind Sicherheitsgrundsätze (Policies) und -lösungen eine individuelle Angelegenheit, die an die spezifischen Gegebenheiten angepasst werden müssen. Um beim Wettlauf zwischen Sicherheitsbedrohungen und Vorbeugung schneller zu sein, benötigen Firmen eine vorausschauende, ganzheitliche Strategie. Zu diesem Zweck sollte eine umfassende Sichtweise entwickelt werden, die Sicherheit als organisationsübergreifende Aufgabe definiert. Dafür sollten ausnahmslos alle potenziellen Bedrohungen identifiziert und Methoden zur Prävention vorgesehen werden. Hierzu gehört auch das Bewusstsein, dass der Mensch oft das schwächste Glied in der Sicherheitskette darstellt. Hinzu kommen die sorgfältige Risikoanalyse und die Bestimmung der notwendigen Sicherheitsanforderungen. Auf dieser Basis können die bereits vorhandenen Sicherheitsvorkehrungen systematisch bewertet und eine robuste Sicherheitspolitik definiert werden. Dazu gehört neben den benötigten Regeln und Sicherheitsmanagementprozessen auch die Abwägung des Risikos gegen die notwendigen Investitionen.
Bei Zweifeln am Security-Know-how in der eigenen Organisation oder der Gefahr einer etwaigen "Betriebsblindheit", kann es sich anbieten durch die Zusammenarbeit mit Consulting-Unternehmen oder Systemintegratoren externes Wissen und unabhängige Sichtweisen nutzbar zu machen. Dabei sollte man vor allem Angebote von Produkt- und Serviceanbietern in die engere Wahl nehmen, die über umfangreiche praxisrelevante Erfahrung verfügen und die Bausteine der jeweils vorgeschlagenen Lösung intern sorgsam prüfen. Prinzipiell sollte beim Partner eine Sicherheitszertifizierung vorhanden sein, bei der nachvollziehbar ist, anhand welcher Kriterien das Zertifikat vergeben wurde.
Ein wirkungsvolles Sicherheitsmanagement betrifft letztlich auch sämtliche eigenen Mitarbeiter: Wie rentabel Investitionen in die IT-Sicherheit im Endeffekt wirklich sind, entscheidet auch, ob im gesamten Unternehmen das Sicherheitsbewusstsein gestärkt wird und ob die Folgen der Nichtbeachtung der Security Policy klar kommuniziert werden.
----------Ende Textkasten----------
Der Return on Security Investment, also die Rentabilität von Investitionen in die IT-Sicherheit, kann für jede Sicherheitslösung individuell errechnet werden. Allerdings lässt sich dieser Wert nicht einfach durch die Entwicklung eines allgemein gültigen "RoSI-Kalkulators" – etwa in Form einer Excel-Tabelle – festmachen. Vielmehr ist eine flexible Betrachtung notwendig, die anwenderspezifische Größen berücksichtigt. So kann eine Risikoanalyse (Risk Assessment) zur Bestimmung und Bewertung der schutzbedürftigen Ressourcen Schätzungen potenzieller Schäden sowie deren Eintrittswahrscheinlichkeiten transparent und nachvollziehbar machen. Darüber hinaus sollten bei der RoSI-Betrachtung unter anderem auch die Ausgaben für Organisation und Personal sowie für Service und Support in die Kostenberechnung einfließen. Außerdem sind Investitions- und Abschreibungszyklen kalkulatorisch zu berücksichtigen.
Jedes Unternehmen sollte anhand eines so genannten Scopings das Ausmaß verschiedener möglicher Gefahren abschätzen und seine Sicherheitsbedürfnisse priorisieren. Die zu schützenden Ziele und ihr wirtschaftlicher Wert können in einem Risk Assessment ermittelt werden.
Zu diesem Zweck empfiehlt sich die Workshop-Methode: Sie berücksichtigt als Bewertungskategorien für IT-Risiken die Downtimes von IT-Services sowie die genannten allgemeinen Sicherheits-Probleme. Als Ergebnis wird die Risikosituation im Hinblick auf die Abhängigkeit von IT-Ressourcen und -Services und die Information Security dokumentiert. Dazu gehört auch die Darstellung der Überlebensdauer und der notwendigen Folgeaktivitäten aus Sicht der Geschäftsverantwortlichen.
Denn die Verantwortung für die Durchführung des IT Risk Assessments liegt beim jeweiligen Geschäftsverantwortlichen (Business Process Owner). Initiatoren und daran aktiv Beteiligte sind daneben auch die CIOs, die Informationssicherheitsverantwortlichen (ISO) und gegebenenfalls Risikomanager der verschiedenen Unternehmensbereiche.
Die Workshop-Vorbereitung muss sehr detailliert erfolgen. Dazu gehört die Abgrenzung des Analysebereichs, also der zu untersuchenden Geschäftsprozesse, aber auch die Festlegung der Rahmenbedingungen, die Zuordnung der Verantwortungsbereiche, die grobe Einschätzung der Information-Security- und Verfügbarkeits-Anforderungen an die stützenden IT-Ressourcen und -Services sowie die Einschätzung der vorhandenen Informationssicherheits- und Verfügbarkeits-Level. Die transparente Dokumentation dieser Rahmenbedingungen bildet die Basis für die weiteren Schritte.
Abschließend lassen sich dann organisatorische und technische Konzepte für die notwendigen Sicherheitsmaßnahmen inklusive der erforderlichen Finanzpläne erstellen. Auf diese Weise werden alle notwendigen Daten erhoben, die auch für die Berechnung des Return on Security Investment benötigt werden.
Berndt Kaiser und Latifa Yakhloufi-Konstroffer sind Senior Consultants bei Siemens Communication Consulting in Frankfurt (Main).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#6, Seite 23
| 