ChannelPartner
Alternatives Drucklayout:
› reiner Text
Link: https://www.channelpartner.de/a/it-security-budgets-rational-planen,3047897

Analyse zur Bedrohungslage

IT-Security-Budgets rational planen

Datum:20.07.2016
Autor(en):Kai Grunwitz
Zahl und Qualität der Angriffe von Cyber-Kriminelle auf die IT-Infrastrutkur von Unternehmen haben ein bedrohliches Ausmaß angenommen.

Trotz dieser Bedrohungslage reagieren viele Unternehmen nur zögerlich: Sicherheitssysteme sind häufig veraltet, die Organisation hält mit den Bedrohungen1 kaum Schritt. Vor allem geht das Topmanagement seit Jahr und Tag eher sparsam mit Budgets für IT-Sicherheit um. Das muss sich ändern!

Manager sind ja routinierte Denkprofis, die tagein, tagaus nichts anderes tun, als Situationen analysieren, Szenarien durchgehen und Probleme sezieren. Sie sind im Normalfall jederzeit in der Lage, die Gesetze der Logik mühelos und zielgerichtet anzuwenden.

Das geschieht nicht immer. Eine Aberration des stringenten Den-kens hält sich sichtbar hartnäckig bei der IT-Sicherheit. Hier agieren viele Manager in den Top-Etagen, aber oftmals auch in den IT-Fachabteilungen immer wieder entgegen jeglicher Logik und Wahrscheinlichkeit. Jeweiliges Versäumnis gerade dort hat aber über kurz oder lang fatale Folgen.

Der „Risk:Value 2016“ Report zeigt die tatsächlichen Kosten eines Sicherheitsvorfalls und die größten Gefahren für Unternehmen auf.
Foto: NTT Com Security

Genau diese - global auftretende - Diskrepanz wurde in einer aktuellen Studie2 bestätigt. Hiefür wurden 1.000 Business-Entscheider aus sieben Ländern: jeweils 200 aus Deutschland, Großbritannien und den USA sowie je 100 aus Frankreich, Norwegen, Schweden und der Schweiz. Zum Zuge kamen dabei Unternehmen jeder Größe und Branche, allem voran Finanzdienstleis-ter (32 Prozent), Einzelhändler (14 Prozent) und Fertigungsbetriebe (acht Prozent).

Das Ergebnis in Kurzform: Widersprüche - vor allem dann, wenn es ums Geld geht

  • 18 Prozent der Befragten sind der Meinung, dass mangelnde IT-Sicherheit3 die größte Einzelgefahr für ihr Unternehmen darstellt

  • nur 22 Prozent glauben, dass alle Daten in ihrem Unternehmen vollständig sicher gespeichert sind

  • 54 Prozent gaben an, dass die Sicherheit der Daten in ihrem Un-ternehmen einen Schlüsselrolle einnimmt

  • 52 Prozent gehen davon aus, dass formale IT-Sicherheitsrichtlinien im Unternehmen existieren

  • 98 Prozent glauben, dass es nach einem Sicherheitsvorfall negati-ve Auswirkungen für das Unternehmen gibt. Im Durchschnitt rechnen sie mit Umsatzeinbußen um 13 Prozent

  • die durchschnittlichen Kosten eines IT-Sicherheitseinbruchs schätzen die Befragten auf 907.000 Dollar

  • 73 Prozent meinen, dass IT-Informationssicherheit4 ein wichtiges Thema für die Führungsebene ist

  • 46 Prozent gehen davon aus, dass Mitarbeiter zu den drei schwächsten Gliedern bei der IT-Sicherheit gehören

[Hinweis auf Bildergalerie: Internet of Things - die Gefahren] gal1

Hier agieren viele Führungskräfte zu zurückhaltend, denn angesichts der massiven Bedrohung investieren sie viel zu wenig, um die IT ihres Unternehmens zu schützen. Mahner beziehungsweise IT-Sicherheitsrealisten werden mit dem Hinweis vertröstet, das Budgets für notwendige Modernisierungen nicht zur Verfügung stehen, da das eigene Unternehmen nicht im Fokus von Angreifern steht oder hier ohnehin noch nie etwas passiert ist.

Die globale Wirtschaft hängt am Datentropf

Der Wert von Daten in Unternehmen steigt unaufhaltsam an; nicht nur, weil sie immer mehr Daten speichern, sondern auch, weil sie immer kritischere Daten vorhalten. Dazu gehören operative Produktionsdaten, die - wenn gelöscht - schnell Millionen Verluste verursachen können, weil zum Beispiel eine Produktionsstraße steht; Daten von Kunden und Interessenten, die auf keinen Fall in falsche Hände oder in die Öffentlichkeit geraten dürfen; oder auch IP (Intellectual Property)-Daten über streng geheime Produktentwicklungen oder Strategien, deren Entwenden ein Unternehmen schnell in den Ruin treiben kann, wenn sie bei skrupellosen Wettbewerbern landen.

[Hinweis auf Bildergalerie: Cyber Security 2015 - Welche Gefahren uns wirklich bedrohen] gal2

Der Zugriff auf Unternehmensdaten muss andererseits stets hoch-verfügbar sein. Ist das nicht mehr möglich, etwa dann, wenn Hacker komplette Server zwecks Erpressung verschlüsseln oder wenn sie DDoS-Attacken durchführen, um ganze Server-Farmen in die Knie zu zwingen, ist ein Unternehmen so gut wie gelähmt. Dann wird der tatsächliche Wert von Daten wirklich greifbar: sie sind im Grunde unbezahlbar. Die heutige globale Wirtschaft hängt am Tropf der Informationen und Datenbanken.

Die große Mehrheit der Entscheider geht davon aus, dass die IT-Sicherheit in ihrem Unternehmen ständig verbessert wird. Die Effizienz steht auf einem anderen Blatt.
Foto: Michael Nivelet - Fotolia

In einem Umfeld mit solcher Brisanz sollten Unternehmen ihre Daten nicht einfach nur "gut schützen", sondern alle nur denkbaren Anstrengungen in Erwägung ziehen, um erstens den unerlaubten externen Zugang zu ihrer IT-Infrastruktur wirksam zu blockieren, und zweitens etwaige unachtsame Mitarbeiter oder gar getarnte Profi-Spione daran zu hindern, Daten unberechtigterweise zu sichten, zu kopieren, zu speichern, zu verändern oder zu löschen.

Daten sind nicht sicher gespeichert

Aber nicht einmal jeder vierte Befragte der Studie (22 Prozent) war der Meinung, dass die Gesamtheit der Daten in seinem Unternehmen "vollständig sicher5" gespeichert sei. Im Umkehrschluss heißt das ja wohl, dass die große Mehrheit der Befragten davon ausgeht, Daten seien in ihrem Unternehmen nicht ausreichend geschützt. Gleich-zeitig erwarten rund zwei Drittel der befragten Entscheider (65 Prozent) in absehbarer Zeit einen Einbruch, der die IT-Sicherheit kompromittiert und das Unternehmen im Schnitt rund 900.000 Dollar kostet, so ihre Einschätzung.

Als damit einhergehender Schaden kommt höchstwahrscheinlich hinzu, wenn der Einbruch denn bekannt wird, dass Kunden - berechtigterweise - ihr Vertrauen in das Unternehmen verlieren, oder dass dessen Reputation am Markt leidet. So etwas kann als Folgeschaden schnell zu einem empfindlichen Umsatzeinbruch führen, der sich dann nur schwer quantifizieren lässt.

Disruptive Geldquellen und Silodenken

Es gibt weitere irritierende Ergebnisse in der Studie. Für 73 Prozent der Manager in Vorstandsetage oder Geschäftsleitung, so erklären die Befragten, hat die Einhaltung der IT-Sicherheit eine "vorrangige" Priorität, sie steht also an erster Stelle vor allen anderen Themen. Spätestens seit der Snowden- oder NSA-Affäre ist IT-Security offensichtlich ins Bewusstsein auch der Unternehmenslenker gerückt, die sich nicht primär mit IT beschäftigen; das ist eine positive Entwicklung.

Trotzdem wird diese Haltung nicht in den Budgets wider-gespiegelt: für IT-Sicherheit geben Unternehmen nicht nur deutlich weniger als jeweils für Marketing, Vertrieb, Entwicklung, Human Resources oder andere Bereiche aus, so die Befragten. Die Gelder für IT-Sicherheit6 stammen auch aus unterschiedlichen Bereichen: sowohl aus dem IT-Gesamtetat als auch aus dem operativen Betrieb.

Die meisten Unternehmen sind der Meinung, dass die Daten bei ihnen nicht vollständig sicher gespeichert werden.
Foto: Vitaly Korovin - shutterstock.com

Diese unterschiedlichen Geldquellen sind gleichzeitig ein Indiz für eine altbekannte, aber auch unglückliche Organisationsstruktur: IT-Sicherheit wird in vielen Unternehmen nämlich nicht zentral organisiert, sondern ist getrennt in den unterschiedlichen, historisch gewachsenen IT-Subbereichen wie Netzwerke, CRM oder ERP beheimatet, wo die jeweiligen Bereichsverantwortlichen ihre eigene, isolierte IT-Sicherheitsstrategie verfolgen.

Es ist auch ein offenes Geheimnis, dass sie sich nur ungern untereinander abstimmen und oftmals isolierte Inseln wie zum Beispiel SAP7-Umgebungen existieren. Das führt dazu, dass die Sicht von oben fehlt und eine allumfassende IT-Sicherheitsstrategie so gut wie gar nicht durchführbar ist.

Die Mehrzahl der Unternehmen verbessern ständig die Features und Prozesse ihrer IT-Sicherheit. Angesichts des verbreiteten Sicherheitssilo-Denkens in den Unternehmen klingt diese Zahl allerdings vielmehr ernüchternd als aufmunternd, denn es ist davon auszugehen, dass wohl an vielen Sicherheitsstellschrauben in den einzelnen IT-Bereichen gedreht wird, die nicht miteinander verbunden sind.

Nach Effizienzwunder klingt das nicht, und so ist es auch nicht überraschend, dass, völlig unabhängig von der Studie, die überragende Anzahl der Unternehmen davon ausgeht, dass unentdeckte Schwachstellen in der IT-Sicherheit lauern - die IT-Sicherheit also nicht auf dem neuesten Stand ist. Gerade vor dem Hintergrund der hochprofessionellen Angreifer mit flexiblen und gezielten Angriffsstrategien ist das eine wahrhaft erschreckende Realität.

Stringentes Vorgehen bei IT-Security-Projekten

Der Zustand der IT-Sicherheit in vielen Unternehmen ist nach dem heutigen Stand also - desillusionierend. Eine konzertierte Aktion aller Akteure wäre wünschenswert, um eine Status-Quo-Analyse durchzuführen und verbindliche Ziele zu definieren.

Dazu gehören:

  • die schriftliche Festlegung der Bedeutung von IT-Sicherheit8

  • die Verbesserung der Kommunikation aller IT-Bereiche und deren Abstimmung

  • die Einrichtung einer zentralen IT-Sicherheitsabteilung und der entsprechenden Position, idealerweise eines CSO (Chief Security Officer)

  • ein präzises Reporting an die C-Ebene, die ein Gefühl für die tatsächlichen Gefahren entwickeln muss. Das geht nur, wenn sie die konkreten Fälle schwarz auf weiß vorliegen haben

  • eine umfassende IT-Sicherheitsschulung für Mitarbeiter

  • und ein solides Budgetfundament, das weit über die gegenwärtigen Budgets hinausgehen muss

Die Frage nach den Kosten ist falsch

Budgets für IT-Sicherheit, das ist so ein Thema: Führungskräfte geben sie oft nur widerwillig frei, weil sie einerseits den unmittelbaren Nutzen nicht begreifen, andererseits dem allgemeinen Renditedruck unterliegen und seit vielen Jahren das Thema Kostensenkung im Mittelpunkt steht. In diesem Spannungsverhältnis ist es eben nicht immer einfach, die Spendierhosen anzuhaben.

Damit sind sie aber auch Mitgestalter der Misere, denn mit knappen Sicherheitsbudgets kann die IT-Abteilung eben auch nicht zaubern. Umso wichtiger ist ein detailliertes Reporting mit den harten Zahlen über versuchte und tatsächliche Einbrüche in die IT-Infrastruktur. Leistungen müssen transparent gemacht werden!

Vielleicht müssen Führungskräfte anders herum denken; sie sollten sich nicht damit beschäftigen, wie teuer IT-Sicherheit ist, sondern sich überlegen, was es kostet und welche Konsequenzen es hat, wenn IT-Sicherheit versagt. Das kann nicht nur exorbitant viel teurer werden, sondern sehr schnell das gesamte Unternehmen gefährden. Diese rationale Sichtweise sollte in den Köpfen der Entscheider fest verankert sein. (rw)

Fast jedes fünfte Unternehmen ist der Meinung, dass mangelnde IT-Sicherheit die größte Einzelgefahr darstellt
Foto: Nomad_Soul - shutterstock.com

Links im Artikel:

1 https://www.channelpartner.de/a/was-bei-apts-wirklich-dahinter-steckt,3047151
2 https://www.nttcomsecurity.com/de/landingpages/risk-value-2016/
3 https://www.channelpartner.de/a/was-bedeutet-eigentlich-cyber-security,3047653
4 https://www.computerwoche.de/a/trend-oder-echte-alternative,3099323
5 https://www.channelpartner.de/a/die-besten-security-software-hersteller-im-channel,3045550
6 https://www.channelpartner.de/a/unternehmen-hadern-mit-mobiler-sicherheit,3226228
7 http://www.sap.com
8 https://www.channelpartner.de/a/immer-die-gleichen-fehler-der-user,3227238

Bildergalerien im Artikel:

gal1 Internet of Things - die Gefahren

Internet of Things - die Gefahren
IoT-Projekte sind keine Zukunftsmusik, sondern finden bereits statt, etwa in der Landwirtschaft, wo Ortungsdienste, WLAN und Barcodes genutzt werden.
Foto: Zebra Technologies

Internet of Things - die Gefahren
IoT-Projekte sind keine Zukunftsmusik, sondern finden bereits statt, besonders intensiv in der Logistik- und Transport-Branche.
Foto: Zebra Technologies

Internet of Things - die Gefahren
Vier von fünf Industrie-Unternehmen wollen bis 2020 IoT-Technologiien (Internet of Things) einführen.
Foto: Zebra Technologies

Internet of Things - die Gefahren
Umfragen zeigen, welche Risiken Unternehmen im Internet of Things erwarten. Die Ergebnisse solcher Studien können bei der eigenen Risikoanalyse Orientierung geben.
Foto: ISACA

Internet of Things - die Gefahren
Mit dem Einsatz von IoT-Techniken am Arbeitsplatz sind Risiken verbunden, die vor einem Projekt identifiziert werden sollten.
Foto: ISACA

gal2 Cyber Security 2015 - Welche Gefahren uns wirklich bedrohen


Die Bedrohungslandschaft 2015 der EU-Agentur für Netz- und Informationssicherheit zeigt die wichtigsten Cyber-Bedrohungen. Anders als viele Unternehmen glauben, hängen diese nicht alle mit dem Internet zusammen. Cyber Security ist deshalb auch nicht nur Internet Security.
Foto: Enisa


Malware und Attacken aus dem Web gehören zu den häufigsten Cyber-Crime-Vorfällen.
Foto: Enisa


Innerhalb nur eines Jahres hat sich die Bedrohungslage im Web drastisch verändert.
Foto: Enisa


Damit ein Unternehmen abwehrbereit und widerstandsfähig gegen Cyber-Bedrohungen bleibt, muss die ganze Organisation bei der Cyber Security einbezogen werden.
Foto: Symantec

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.