Warum 80 Prozent Security beser sind als Null Prozent

100 Prozent Sicherheit gibt es nicht

Martin Kuppinger ist Gründer des unabhängigen Analystenunternehmen KuppingerCole und als Prinzipal Analyst verantwortlich für den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er bereits mehr als 50 IT-Bücher geschrieben und ist ein etablierter Referent und Moderator bei Seminaren sowie Kongressen. Sein Interesse an Identity Management stammt aus den 80er Jahren, als er viel Erfahrung in der Entwicklung von Software-Architekturen sammeln konnte. Im Laufe der Jahre, kamen weitere Forschungsfelder wie Virtualisierung, Cloud Computing, allgemeine IT-Sicherheit u.v.m. hinzu. Durch sein Wirtschaftsstudium in Economics gelingt es ihm seine IT-Kenntnisse mit einer starken Business-Perspektive zu verbinden.
Viele Informationssicherheitsprojekte scheitern früh, weil die Lösung nach Ansicht von Sicherheitsexperten nicht sicher genug ist. Nichts tun ist aber nicht besser.

Es steht außer Frage, dass Unternehmen in einer Zeit wachsender Bedrohungen mehr für Informationssicherheit tun müssen. Das gilt umso mehr, als sich die Komplexität von IT-Infrastrukturen verändert. Mobile Benutzer, die zunehmende Einbindung von Kunden, die Vernetzung von Dingen, die Verknüpfung von Geschäftsprozessen mit der Produktionsumgebung als "Industrie 4.0", sich verändernde Geschäftsmodelle und damit B2B-Beziehungen und natürlich auch Cloud Computing stehen für diese Änderungen.

Es geht nicht um absolute Sicherheit, sondern um die Verringerung von Risiken.
Es geht nicht um absolute Sicherheit, sondern um die Verringerung von Risiken.
Foto: Mikko Lemola_shutterstock

Risikoreduktion anstatt absoluter Sicherheit

In der Diskussion über die erforderlichen neuen Sicherheitskonzepte kommt es heute aber viel zu oft vor, dass beispielsweise Maßnahmen wie eine stärkere Authentifizierung für mobile Benutzer von den unternehmensinternen IT-Sicherheitsexperten abgelehnt werden, weil sie nicht so sicher wie beispielsweise die etablierten Smartcards oder OTP-Tokens. Lösungen für den sichereren Informationsaustausch werden vielleicht abgelehnt, weil sie einen Cloud-Dienst nutzen.

Es gibt für diese Ablehnung meist durchaus valide Gründe - wenn man als Messlatte die absolute Sicherheit ansetzt. Nur: Es geht nicht um absolute Sicherheit, sondern um die Verringerung von Risiken. Das vertretbare Risiko wird durch regulatorische Anforderungen, aber auch betriebswirtschaftlich definiert. Kosten und Nutzen - hier also die Risikoreduktion - müssen in einem sinnvollen Verhältnis zueinander stehen. Zu den Kosten gehören dabei nicht nur Beschaffung und Betrieb von Sicherheitstechnologien, sondern beispielsweise auch die Kosten durch eine schlechtere "usability".

Absolute Sicherheit gibt es nicht

Diese Sichtweise könnte dazu gebraucht werden, Sicherheit als zu teuer abzustempeln und Investitionen zu vermeiden. Sie kann aber auch genutzt werden, um Alternativen mit unterschiedlichen Kosten und unterschiedlichem Restrisiko aufzuzeigen, so dass das Business entsprechend seines "Risikoappetits" - und der regulatorischen Vorgaben - entscheiden kann. Solche Entscheidungen sind das tägliche Brot jedes Managers.

Dabei gilt dann auch: Absolute Sicherheit gibt es nicht. Der Grenzwert der Kosten dafür, dass die Sicherheit gegen 100 Prozent strebt, ist unendlich. Nichts zu tun ist aber ebenfalls meist zu teuer. Es geht um angemessene Sicherheit. Und hier sind 80 Prozent Sicherheit durch eine gute, aber nicht perfekte Lösung zu angemessenen Kosten immer besser als die 0 Prozent Sicherheit, die man erhält, wenn man nichts tut, weil 100 Prozent (die ohnehin nur 99, 98 oder 90 Prozent sind) zu teuer sind.

Angemessene Sicherheit statt Schwarz-Weiß-Denken

Es ist Zeit, von der "das ist aber nicht sicher genug"-Diskussion wegzukommen und Alternativen für die Risikoreduktion zu betrachten, so dass sich das Business für die aus seiner Sicht angemessene Sicherheit entscheiden kann. Das führt zu mehr Sicherheit durch rationale Entscheidungen, wenn die Konsequenzen für Kosten und Risiken klar gemacht werden. Wenn die Risiken klar sind, ist der Risikoappetit nicht grenzenlos.

Ein solcher Ansatz führt auch dazu, dass das Business Investitionen in Sicherheit akzeptiert und trägt, weil es die Konsequenzen kennt. Mehr Investitionen in Informationssicherheit sind in Anbetracht des veränderten Umfelds und der immer komplexeren Bedrohungslage zwingend. Dabei helfen überzogene Anforderungen an die perfekte Sicherheit nicht. (bw)