Management und Wissen

Kosten/Nutzen von Sicherheit

ROI: Branchenkenntnis statt Patentrezept

Von Frank Schlottke, Stockstadt

Anwender erwarten von IT-Security-Produkten heute nicht nur ein Mehr an Sicherheit, sondern wollen bei IT-Security-Projekten auch umfassende Kosten-Nutzen-Analysen sehen. Lässt sich diese Forderung in der Praxis erfüllen? Erfolgreiche Beispiele sprechen dafür; selbst beim Mittelstand, wo es spezifische Probleme zu beachten gilt.

Umsatzrückgang und reduzierte Budgets sind derzeit die am häufigsten genannten Gründe für eine kritische Investitionshaltung von Unternehmen gegenüber IT-Security. Besonders umfassende Infrastruktur-Lösungen wie PKIs haben derzeit erhebliche Probleme am Markt. Aber auch weniger komplexe Produkte sind mit Akzeptanzproblemen konfrontiert. Zu groß ist die derzeitige Skepsis hinsichtlich eines nachvollziehbaren Mehrwerts der Lösungen.

Der verstärkte Rückzug der IT-Versicherungen als Folge der Ereignisse des 11. Septembers 2001 hat für weitere Verunsicherung am Markt für Security-Produkte gesorgt. Unter den großen deutschen Versicherern ist derzeit kaum einer bereit, Betriebsunterbrechungs-Versicherungen gegen Viren- und Hacking-Angriffe anzubieten. Unter Kosten-Nutzen-Gesichtspunkten ist den Konzernen das Risiko für entsprechende Versicherungen zu hoch. Angesichts der angespannten geopolitischen Situation und der unberechenbaren Schadenshöhen entwickeln die Rückversicherer zurzeit keine Deckungskonzepte.

Viele Unternehmen überdenken deshalb verstärkt ihre Anforderungen an IT-Security-Projekte, in der Folge steigen die damit verbundenen Erwartungen. Anbieter werden immer häufiger mit der Forderung nach Kosten-Nutzen-Argumentationen und Return-on-Investment-Analysen (ROI) konfrontiert. Berater erfahren zurzeit deutlich, dass IT-Sicherheit mehr leisten muss als bloße Absicherung von Daten und Schutz gegen Hacker- und Virenangriffe. Die neuen Kriterien, an denen sich Security-Lösungen messen lassen müssen, resultieren vor allem aus betriebswirtschaftlichen Kenngrößen, der engen Verknüpfung von Sicherheit und Geschäftsprozessen, von Riskmanagement und Controlling sowie branchenspezifischen Anforderungen.

Überzeugende Beispiele sind gefragt

In der Praxis stehen Anbieter deshalb einer äußerst komplexen Materie gegenüber, wenn von ihnen überzeugende Rechenmodelle eingefordert werden. Potenzielle Schäden durch Hackerangriffe sind fiktive Größen und lassen sich nur schwer mit den Kosten für Security- Maßnahmen gegenrechnen. Darüber hinaus ist IT-Security immer als kontinuierlicher Prozess zu betrachten und lässt sich in seinen Auswirkungen nur unzureichend mit einer punktuellen Statusbeschreibung erfassen. Zum Beispiel sind laufende Audit- und Kontrollprozesse notwendig, ohne die Security-Lösungen auf Dauer keinen Wert haben.

Die möglichen Schadenskategorien sind hinreichend bekannt; sie reichen von ausgespähten Betriebsgeheimnissen über manipulierte Datenbestände bis hin zur Betriebsunterbrechung durch Totalausfall des gesamten Netzwerkes.

Den möglichen Nutzen zu quantifizieren, fällt dagegen in den meisten Fällen schwerer, da bei den Anbietern nur selten eine wirklich umfassende Kenntnis der laufenden Geschäftsprozesse beim Kunden vorhanden ist. Nur Branchenexperten können in einem weiteren Schritt belastbare Aussagen über die Auswirkungen derjenigen Geschäftsprozesse machen, die es in der Folge einer neuen Security-Lösung vielleicht erst noch zu generieren gilt.

Hier kann man zumeist nur annähernd Tendenzen umreißen, deren Praxisnähe vor allem von der Berücksichtigung branchenüblicher Prozessabläufe abhängt. Es bleibt also oft bei zweifelhaften Hypothesen und eingeschränkten Aussagen, wenn der ROI terminiert und der Nutzen in Euro ausgedrückt werden soll.

Zu optimistische ROI-Berechnungen und Kosten-Nutzen-Analysen, die nur einen Teil der entscheidenden Faktoren berücksichtigen, helfen dabei nicht weiter, zumal nur selten Kontrollinstrumente existieren, um die Wirkungen exakt messen zu können. Gefragt sind vielmehr strukturierte Ansätze und beispielhafte Szenarien, die Unternehmen als flankierende Entscheidungshilfe nutzen können. Es gibt keine Patentrezepte. Es gibt aber Ansatzpunkte, die es ermöglichen den Kosten-Nutzen-Aspekt darzustellen. Die folgenden Beispiele belegen, dass es sich dabei nicht um graue Theorie handelt.

Medienbrüche vermeiden, Workflow verschlanken

Am deutlichsten zeigt sich der Mehrwert von IT-Security dann, wenn sie neue Geschäftsprozesse möglich macht. Weil sich etwa Authentifizierungstechniken nicht bloß als Zugangskontrolle für IT-Netze, sondern auch für rechtsverbindlichen Datentransfer eignen, können sie die Voraussetzungen für neue Geschäftsmodelle schaffen.

Werden zum Beispiel Rechnungen elektronisch statt auf Papier erstellt, lassen sich beträchtliche Einsparungen realisieren, wie ein Beispiel des Ratinger Anbieters Authentidate zeigt: Weil der Gesetzgeber für digitale Rechnungen qualifizierte elektronische Signaturen vorschreibt, sind Unternehmen hier zunächst gezwungen, entsprechende Security-Technik zu implementieren. Während die Kosten einer papierbasierten Rechnung für Druck, Porto etc. bei circa 5 € liegen, lassen sie sich bei einer zentralen E-Billing-Lösung mit Zeitstempelsignatur schon bei weniger als 5 000 Rechnungen im Monat auf einige Cent reduzieren.

Branchenspezifische Kenntnisse standen auch im Mittelpunkt, als es im Rahmen eines Planprüfverfahrens galt, Kosten zu optimieren. Bei der Planung und Realisierung von Großbauvorhaben, wie zum Beispiel der ICE-Neubaustrecke Nürnberg-Ingolstadt, fallen im Laufe des Workflows eine Vielzahl von Konstruktionsplänen an, die von verschiedenen Kontrollinstanzen geprüft und verbessert werden. Beim konventionellen Planmanagement mussten die Pläne deshalb in mehrfacher Ausfertigung ausgedruckt und verschickt werden.

Da die meisten dieser Dokumente mithilfe von CAD-Systemen erstellt werden, lagen sie bereits ohnehin in digitaler Form vor. Durch eine vollständige Abbildung auf ein elektronisches, Lotus-Notes-basiertes Dokumentenmanagement- und Workflow-System der SEIB ITC GmbH ließ sich der Aufwand erheblich reduzieren. Um rechtsgültige Unterschriften der jeweiligen Kontrollinstanzen einzubinden, wurde ein Modul der Nürnberger SignCard GmbH entwickelt. Auf diese Weise läuft das gesamte Verfahren vom ersten Plan bis hin zur Baustelle medienbruchfrei.

Musste man bislang 10 Tage Zeitverzug allein aufgrund des Postweges zwischen den fünf Prüfschritten einplanen, so verkürzte der neue Workflow diesen Zeitraum auf die reine Bearbeitungszeit. Auch die Druck- und Archivierungskosten sanken erheblich: Musste man früher 10 Kopien pro Plan drucken, erfolgen heute alle Prüfschritte am Bildschirm, was im beschriebenen Projekt rund 700 000 DIN A0-Ausdrucke gespart hat.

Technisch gesehen waren Standardkonformität und Interoperabilität die entscheidenden Faktoren, die hier über die Anwendungsintegration elektronischer Unterschriften eine prozessorientierte Optimierung ermöglicht haben.

Schlankere Sicherheitsarchitekturen und weniger Wartungsaufwand

Bei einer Frankfurter Investmentbank hatte man in der Praxis aufgrund des hohen Aufwands die Logfiles nur unregelmäßig manuell analysiert, denn der eigenen IT-Abteilung fehlten die personellen Resourcen für ein umfassendes Monitoring der komplexen Firewall-Lösung. Aufgrund dieser lückenhaften und dennoch kostenintensiven Überwachung kam es im Frühjahr 2001 zu einem erfolgreichen Hacking-Angriff. Dabei wurden kurzerhand die Frontoffice-Daten ausgelesen und nach dem Dominoeffekt der gesamte Backoffice-Bereich mit den Geschäfts- und Protokolldaten offengelegt. Nur durch Zufall konnte man den Angriff noch stoppen, bevor womöglich gefälschte Transaktionen einen immensen Schaden angerichtet hätten.

Weil solche Sicherheitsbrüche zuverlässig nur mit einem hohen administrativen Aufwand der permanenten Logfile-Auswertung zu verhindern sind, hat man sich bei der Bank nun nach einer Lösung umgesehen, die aufgrund eines festen Regelwerkes ständig eine automatische Logfile-Analyse vornimmt, Gefahrensituationen meldet und im Zweifelsfall sämtliche Services stoppt. Dieser "24-Stunden-Service" hat zudem den Vorteil, dass alle relevanten Daten zur Analyse im eigenen Hause verbleiben und man so auch bei der Auswertung keine Risiken eingeht. Die Applied Security GmbH (apsec) entwickelt zurzeit aufgrund der spezifischen Kunden- und Prozessanforderungen eine entsprechende Applikation.

Kostenreduktion auch im E-Government

Der Landkreis Lüneburg musste zur Umsetzung des E-Government-Konzepts eine Internetanbindung realisieren, ohne das eigene LAN größeren Sicherheitsrisiken auszusetzen. Die Lösung sollte nicht teurer sein als gängige Angebote. Im Amt war allerdings weder das Know-how zur Pflege und Implementierung einer Firewall vorhanden, noch waren entsprechende zeitliche Reserven der Mitarbeiter verfügbar. Die externe Vergabe einer dauerhaften Wartung und Betreuung einer Sicherheitsinfrastruktur war finanziell nicht zu leisten und wurde auch aus sicherheitsrelevanten Gründen verworfen.

Die Wahl fiel letztlich auf eine Technik zur physischen Netztrennung, die nur wenig Administrationsaufwand erfordert. Die so genannte Air-Gap-Lösung der Whale Communications GmbH schottet das interne Netzwerk physisch vom Internet ab: Eine Datenschleuse sorgt aber nahezu in Echtzeit für Kommunikationsmöglichkeiten mit dem Internet, ohne dass es eine durchgängige Verbindung gäbe. Die Kosten für das sonst erforderliche Monitoring des Backends entfallen, was für den Landkreis in der Praxis eine jährliche Ersparnis von ca. 15 000 € bedeutet – bei Anschaffungskosten, die mit einer komplexen konventionellen Sicherheitsinfrastruktur vergleichbar sind.

Mittelstand mit spezifischen Problemen

Der Mittelstand in Deutschland setzt sich zusammen aus 1,1 Millionen höchst unterschiedlich strukturierten Unternehmen. Etwa 60 % dieser Betriebe haben dabei weniger als zehn Beschäftigte und nur 10 % beschäftigen mehr als 50 Mitarbeiter. Lediglich diese wenigen größeren Unternehmen können üblicherweise eigene IT-Experten vorweisen, die in der Lage sind, die spezifischen Erfordernisse der betrieblichen IT-Infrastruktur abzuschätzen. Die Mehrzahl der kleinen und mittelständischen Unternehmen arbeitet deshalb ohne jegliche Schutzmaßnahmen.

Nach einer Erhebung des Bundeswirtschaftsministeriums (BMWi) ist nicht einmal jedes vierte kleine und mittlere Unternehmen (KMU) bereit, seine EDV-Anlagen mit Security-Produkten auszurüsten, obwohl sich 70 % der befragten Betriebe der Gefahrenlage durchaus bewusst sind. Kleine Betriebe mit niedriger Kapitaldecke kann bereits ein einzelner Schadensfall in den wirtschaftlichen Ruin treiben. So wie sich über die Hälfte der KMU beim eigenen Web-Auftritt durch externe Berater unterstützen lassen, so können sie in der Regel auch das damit zwangsläufig verbundene Thema IT-Security nicht mit eigenen Ressourcen bewältigen. Mehr noch als bei großen Unternehmen gilt es deshalb, passende mittelstandsbezogene Lösungen zu finden, die sich unmittelbar an technischen, betriebswirtschaftlichen und personellen Rahmenbedingungen orientieren und daher so unterschiedlich sind wie die einzelnen KMU.

Nur soviel Sicherheit wie nötig

So arbeiten wenige Unternehmen mit eigenen IT-Abteilungen, andere widmen sich diesem Thema nur unzureichend am Rande, während der größte Teil die Hilfe externer Dienstleister in Anspruch nimmt. Aufgrund dieser unterschiedlichen Voraussetzungen kann man sicher nicht erwarten, dass für alle KMU sofort ein klarer Mehrwert von Security-Lösungen erkennbar ist. Nicht selten gibt es Verständnisprobleme zwischen Sicherheitsanbietern und KMU: Wenn zum Beispiel versucht wird, Ansätze aus großen Projekten in Verkennung der wirklichen Probleme vor Ort "eins zu eins" als KMU-spezifische Lösung anzubieten, wird der Kunde nicht dort "abgeholt", wo er steht. Genau dies ist in der Regel aber notwendig.

Die Besonderheiten der KMU hinsichtlich IT-Sicherheit:

Aufgrund der heterogenen Zusammensetzung des Mittelstands kann es dort keine Standardlösungen für IT-Security geben. Wesentliches Differenzierungsmerkmal ist die Unternehmensgröße und das Vorhandensein einer eigenen IT-Abteilung. Wiederum ist branchenspezifisches Know-how gefordert, um eine angemessene Lösung zu finden. So sind zum Beispiel mittelstandsangepasste Branchenstandards für einzelne Bereiche (etwa Handwerk oder Dienstleister) denkbar, die nach dem Motto "nur soviel Sicherheit wie nötig" den Einstieg in sichere IT-Strukturen erleichtern.

----------Anfang Textkasten----------

IT-Security-Lösungen für KMU

Aus den Besonderheiten des Mittelstandes sowie kleiner und mittlerer Unternehmen (KMU) lassen sich einige Forderungen an IT-Sicherheitslösungen ableiten:

Den "ganzen Schritt" machen Mittelständler daher ebenso wie große Unternehmen nur mit einem differenzierten IT-Sicherheitscontrolling, im Zweifelsfall auch mit externer Unterstützung. Branchenverbänden zum Beispiel eröffnet sich hier ein weites Betätigungsfeld.

----------Ende Textkasten----------

Das hat sich auch in einer branchenspezifischen Lösung für die mittelständische Wohnungswirtschaft gezeigt, die apsec gemeinsam mit der Aareal Bank (vormals Depfa) entwickelt hat. Rund 3000 Wohnungsunternehmen nutzen den Service der Aareal-Bank bei der Verwaltung ihrer circa fünf Millionen Wohnungen, bei der in großem Umfang sensitive Bankdaten anfallen. Um diese aufwändigen Prozesse zu verschlanken, wurde unter Berücksichtigung des speziellen Workflows in der Wohnungswirtschaft eine Spezialanwendung realisiert und in Branchenlösungen integriert. Dabei galt es beispielsweise für die Vielzahl zu verwaltender Konten die entsprechenden Signatur-Berechtigungen für die einzelnen Sachbearbeiter zu berücksichtigen. Erst der Einsatz digitaler Zertifikate ermöglichte eine Automatisierung des Workflows beim Eröffnen und Verwalten von Bankkonten. In vielen Wohnungsunternehmen ließen sich damit monatliche Einsparungen im 5-stelligen Bereich realisieren.

Dipl.-Math, Frank Schlottke ist geschäftsführender Gesellschafter (CEO) bei Applied Security, Stockstadt.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/2, Seite 58


Keine Navigationselemente? Falls Sie über einen externen Link auf dieser Seite gelandet sind, gelangen Sie hier zur KES-Online-Leitseite.