Gefährliches Gießkannenprinzip

IT-Security-Budgets - am Bedarf vorbei investiert

Detlev Henze ist Geschäftsführer der TÜV TRUST IT GmbH Unternehmensgruppe TÜV Austria.
Unternehmen wissen nicht, welche Daten besonders schützenswert sind. Sie investieren deshalb zu wenig zielgerichtet in IT-Sicherheit. Die Folge: Hohe Ausgaben, wenig Erfolg.

Unternehmen sehen sich einer kontinuierlich wachsenden Zahl an Angriffen auf ihre technische Infrastruktur ausgesetzt. Auch die Methoden und Ziele von Hackern nehmen beständig zu - selbst wenn oft nach wie vor die "klassischen Angriffsmuster" zum Erfolg führen. So steigt aktuell beispielsweise die Zahl massiver Distributed Denial of Service-Attacken sehr dynamisch, bei dem die Server mit einer Unmenge an Abfragen überflutet werden. Auch die zentralen Applikationen geraten immer mehr in den Mittelpunkt von Sicherheitsattacken und lösen die IT-Infrastrukturen als Ziel Nummer Eins ab. Parallel dazu nimmt das Volumen der Informationen, die es in den Unternehmen zu verarbeiten gilt und geschützt werden müssen, gewaltig zu.

Die Verantwortlichen ringen deshalb schon lange mit ihren Vorgesetzten um deutliche Steigerungen der Investitionsbudgets für die Informationssicherheit. Doch es stellt sich die Frage, ob immer höhere Investitionen dem tatsächlichen Schutzbedürfnis und den wirtschaftlichen Pflichten gerecht werden oder ob die Investitionen nicht gezielter nach den tatsächlichen Sicherheitsbedrohungen eingesetzt werden müssten.

Denn bislang wurde bei der Betrachtung des Schutzbedarfs vielfach in der Breite gedacht - dabei erzeugt längst nicht jede Security-Gefahr die gleichen Unternehmensrisiken und nicht alles ist in gleicherweise schützenswert. Die Antwort: Weil sich die Investitionsbudgets für die Informationssicherheit trotz aktueller Zuwächse nicht unbegrenzt steigern lassen, müssen die Firmen das bisherige Gießkannenprinzip aufgeben.

Ihre Security-Budgets geben viele Unternehmen eher blind aus - im Gießkannen-Prinzip wird an allen Ecken und Enden investiert, ohne den tatsächlichen Bedarf ermittelt zu haben.
Ihre Security-Budgets geben viele Unternehmen eher blind aus - im Gießkannen-Prinzip wird an allen Ecken und Enden investiert, ohne den tatsächlichen Bedarf ermittelt zu haben.
Foto: Ricardo Reitmeyer - www.shutterstock.com

Zielgerichtetere Security-Ausgaben

Das Gießkannenprinzip führt dazu, dass mitunter für den Schutz weniger relevanter Daten viel Geld ausgegeben wird, während höherwertigere Informationen mit geringerem Aufwand oder gar nicht geschützt werden. Stattdessen sollte sich verstärkt eine pragmatische selektive Investitionspolitik durchsetzen, die sich auf hoch bewertete Unternehmensrisiken konzentriert und bei den weniger kritischen Sicherheitsgefährdungen bewusst Restrisiken toleriert.

Typisierung der Informationswerte

Allerdings ist in vielen Unternehmen nicht klar, welche Informationen unter Sicherheitsaspekten von besonderer Relevanz sind. Insofern kommt der Informationswertermittlung eine deutlich steigende Bedeutung zu. Von besonderer Bedeutung sind dabei generell solche Daten, die für den Geschäftserfolg unbedingt nötig sind und deren Diebstahl oder Veränderung einen erheblichen Business-Schaden erzeugen können.

Da die Informationswerte bei den Unternehmen sehr unterschiedlich sein können, lässt sich die Frage nach den schützenswerten Informationen nicht pauschal beantworten. So ist beispielsweise die Web-Präsenz eines Baumaterialherstellers tendenziell weniger sicherheitsrelevant als die einer Online-Versicherung. Auch die Informationen zum Notfallmanagement eines Dienstleistungsunternehmens sind in der Regel weniger schützenswert als die eines Chemiekonzerns.

Legt man zur Typisierung Informationswerte-Cluster an, dann kennzeichnen sich Informationen mit einem hohen Schutzbedarf häufig dadurch, dass ihr Wert durch die Nutzung steigt. Dies betrifft etwa Forschungs- und Entwicklungsdaten, personenbezogene und biometrische Daten oder Vorstandsprotokolle.

Zu den mittleren Informationswerten zählen hingegen zumeist solche, bei denen die Informationen im Zeitverlauf an Wertigkeit verlieren. Dazu gehören beispielsweises Geschäfts- und Finanzdaten, Konfigurationsdaten, Protokollierungen und Informationen über die IT-Infrastruktur.

Die dritte Kategorie mit den Daten von niedrigem Informationswert charakterisiert sich oft in der Weise, dass ein höheres Investitionsengagement zum Schutz der Informationen nicht zwangsläufig zu einem höheren Unternehmensnutzen führt. Dies betrifft in vielen Fällen Kunden- und Rechnungsdaten.

Methodische Aspekte

Um sich innerhalb der individuellen Identifikation seiner "Kronjuwelen" nicht zu verzetteln, ist es wichtig, durch gezielte Fragestellungen die mögliche Menge der schützenswerten Daten einzugrenzen:

  • Welche Informationen sind die kritischsten im Unternehmen?

  • Welche erzeugen den meisten Umsatz, welche sind am profitabelsten?

  • Welche Information ist im Falle eines Verlustes besonders kostspielig zu erstezen?

  • Welche Daten halten die Prozesse aufrecht?

  • In welchen Fällen eines Datenverlustes droht ein beträchtlicher Imageschaden?

  • Welche Informationen haben für das Unternehmen selbst oder für mögliche Angreifer einen hohen Marktwert - jetzt oder in Zukunft?

Hilfreich für die firmenindividuelle Bewertung kann sein, Verlustszenarien nach dem "C.I.A.-Prinzip" durchzuspielen, das die drei wesentlichen Bedrohungen der Informationssicherheit abbildet: Confidentiality, Integrity und Availability - also Vertraulichkeit, Integrität und Verfügbarkeit. Mithilfe dieser Szenarien wird ermittelt, zu welchen konkreten Folgen der Verlust der Verfügbarkeit, der Integrität oder der Vertraulichkeit von Daten für die Geschäftstätigkeit führt.

Informationswertanalyse

Die erwähnten Szenarien können eine konkrete Informationswertanalyse jedoch nicht ersetzen. Sie beruht auf einem dreistufigen Vorgehen:

  • Analyse zur Transparenz der Informationswerte: Festlegung des Analyseumfangs in Bezug auf die Organisation und Prozesse, Ermittlung der in den Prozessen enthaltenen Informationen, Analyse deren Kritikalität und Wertschöpfung;

  • Bewertung der Informationen: Monetäre und immaterielle Bestimmung der Informationswerte sowie Risikobewertung und Business Threat Modeling mit Bedrohungsanalyse aus Sicht der Geschäftsprozesse;

  • Gezielte Maßnahmen zum Schutz der Informationswerte: Entwicklung eines Vorgehensplans mit Aktivitäten und Business Cases zur Absicherung der Informationswerte. Dazu Maßnahmen - dies können auch Separierungen hoher Informationswerte respektive die Nutzung von Datentreuhändern sein - für ein regelmäßiges Monitoring und Review. Die Budgetierung der Maßnahmen orientiert sich an den Informationswerten.

Eine große Bedeutung kommt bei der Bewertung der Informationswerte dem Business Threat Modeling zu. Traditionell findet es innerhalb der IT statt und bietet somit eine Innensicht mit Blick auf die technischen Risiken. Aus der Perspektive der Geschäftsprozesse ergibt sich jedoch eine völlig andere Sicht auf diese Risiken. Sie ist aber notwendig, um die Auswirkungen nicht ausreichend geschützter Informationen für das Business zu ermitteln.

Aus diesem Grund müssen die möglichen Schäden bewertbar gemacht werden. Dies gilt sowohl für die finanziellen Auswirkungen als auch für nicht-monetäre Wirkungen wie die Beeinträchtigung der Steuerungsfähigkeit, Imageschäden und rechtliche Probleme aufgrund einer nicht ausreichend geschützten IT.

Investitionsersparnisse als Effekt

Die bisher relativ nebulöse Entscheidungssituation bei den Investitionsplanungen in fast allen Unternehmen führt dazu, dass weitgehend undifferenziert möglichst viele Informationswerte unabhängig ihrer Relevanz geschützt werden. Die Konsequenzen sind eine hohe Projektlast sowie hohe Ausgaben für Schutzmaßnahmen, die teilweise keinen nennenswerten Mehrwert für die Organisation erbringen. Anders formuliert: Es wird häufig viel Geld für Projekte ausgegeben, die keinen realen Zugewinn an Informationssicherheit bewirken.

Eine systematische Ermittlung der Informationswerte beseitigt diese Schwäche bei der Definition des Investitionsumfangs und der Schwerpunkte - nun werden die tatsächlichen Bedarfe transparent. Im Ergebnis führt eine solche informationswertorientierte Investitionsstrategie zu einer nachhaltigen Minderung der notwendigen Budgets, aufgrund der klaren Fokussierung steigt aber vor allem gleichzeitig das Sicherheitsniveau. (sh)