Für die Hersteller von Sicherheitssystemen steht außer Frage: Der Einsatz ihrer Lösungen zahlt sich für die Unternehmen sofort aus. Um die schnelle Amortisierung ihrer Systeme zu begründen, verweisen sie auf Erhebungen, die sie in Eigenregie unternommen haben. Oder sie fahren Modellrechnungen auf, die wenig mit der Realität zu tun haben. Doch den tatsächlichen Zugewinn an Sicherheit zu messen und in geldwerte Vorteile umzumünzen - das ist so spezifisch wie das Unternehmen selbst.
Fallbeispiel 1: Automobilhersteller
Anforderung: interne Sicherheits-Policies.
Informationsbedarf: Welche untragbaren Risiken bestehen?
Detailstufe: gestaffelt/bewertet.
Häufigkeit: einmalig.
Phase: Analyse.
Ebene: Anwendungen/Infrastruktur.
Fallbeispiel 2: Verteilte Produktion
Anforderung: interne Sicherheits-Policies.
Informationsbedarf: Sicherheitsmaßnahmen/Vergleich der Werke untereinander.
Detailstufe: bewertet.
Häufigkeit: regelmäßig.
Phase: Aufrechterhaltung.
Ebene: Anwendungen/Infrastruktur.
Fazit
Rentabel sind zusätzliche Sicherheitsmaßnahmen ausschließlich dort, wo es notwendig ist. Unerlässlich ist dafür eine genaue Risikobewertung, wenn möglich erweitert um eine monetäre Betrachtung. Messbare Sicherheit ist gleichbedeutend mit gezielteren Investitionen und höherem Investitionsschutz. Die Alternative hieße, unvorbereitet den Amortisierungsvoraussagen der Hersteller aufzusitzen.
Hier lesen Sie …
• welchen Informationsbedarf in Sachen Sicherheit die einzelnen Unternehmensbereiche haben;
• wie sich die Notwendigkeit zusätzlicher Sicherheitsmaßnahmen messen lässt;
• wie in zwei Fallbeispielen vorgegangen wurde.
www.computerwoche.de/go/
*81189: In wenigen Stunden ist jedes Passwort geknackt
*78147: Sarbanes-Oxley - ein Sicherheitsrisiko?
*80786: Was macht eigentlich ein IT Security Coordinator?
*73145: Security-Services werden Massenware.
Die Unterschiede beginnen mit den technischen, organisatorischen und verfahrensbezogenen Voraussetzungen. Hinzu kommt - je nach Branche, Kommunikationsbeziehungen, Kundennähe der Leistungen und Wettbewerbssituation - eine verschieden große Gefährdung durch Angriffe von Hackern, Industriespionen, Innentätern oder Terroristen. Zudem sind nicht alle Geschäftsdaten und -prozesse für das laufende Business gleichermaßen sensibel und schützenswert. Auch die Verfolgung und Einhaltung regulatorischer Vorschriften über geeignete Auditing-Werkzeuge trifft nicht alle Unternehmen gleich hart.
Best Practices als Anhaltspunkte
Die Investitionen in die Sicherheit des Geschäfts müssen in einem vertretbaren Verhältnis zum angestrebten Ergebnis, der Schadensvermeidung, stehen. An einer gründlichen Analyse der aktuellen Sicherheitssituation und ihrer potenziellen Auswirkungen auf das Geschäft führt also kein Weg vorbei. Der Vergleich mit Best Practices, wie sie beispielsweise in ISO 17799 und im BSI Grundschutzhandbuch beschrieben sind, kann helfen, Sicherheitslücken in Technik, Organisation und Verfahren zu identifizieren.
Divergierender Informationsbedarf
Um die Notwendigkeit von Sicherheitsmaßnahmen bewerten zu können, hat allerdings jeder Unternehmensteil einen anderen Informationsbedarf:
• Die Geschäftsführung interessiert sich für zweierlei: Ist das Sicherheitsniveau des Unternehmen akzeptabel? Und falls nicht: Welche Security-Investitionen sind gerechtfertigt?
• Auditing und Revision richten das Augenmerk auf die Gefahrenpotenziale: Mit welchen hohen, mittleren und niedrigen Risiken ist das Unternehmen konfrontiert?
• Das Risiko-Management fragt: Treten kritische Indikatoren auf, beispielsweise eine zu geringe Verfügbarkeit von Transaktionssystemen?
• Die Sorge der IT-Sicherheit wiederum heißt: Wie werden die Sicherheitsanforderungen identifiziert und umgesetzt?
• Und alle Bereiche wollen wissen: Wie wirksam sind die einzelnen Sicherheitsmaßnahmen? Und wie steht das Unternehmen eigentlich im Vergleich zum Wettbewerb da?
Aus all diesen unterschiedlichen Blickwinkeln heraus wird das Unternehmen den konkreten Handlungsbedarf ermitteln und die Wirksamkeit einzelner Sicherheitsmaßnahmen sowie -investitionen ableiten. Denn eines steht außer Frage: Der größte Einspareffekt für die Unternehmen entsteht dadurch, dass zusätzliche Sicherheitsmaßnahmen ausschließlich dort umgesetzt werden, wo sie unbedingt notwendig sind.
Schaden vermeiden spart Geld
Die Notwendigkeit von Sicherheitsmaßnahmen lässt sich in unterschiedlichen Detaillierungsgraden abschätzen. Die unterste Stufe ist der binäre Vergleich: Sind die Anforderungen erfüllt oder nicht? Eine positive Antwort darauf könnte beispielsweise für die Erteilung einer Zertifizierung wichtig sein.
Wie einzelne Anforderungen umgesetzt wurden und welche Risiken (niedrig, mittel oder hoch) aus den verbleibenden Schwachstellen resultieren, ist nur mit einer gestaffelten Einschätzung aufzudecken. Über ein Bewertungsschema lässt sich der Erfüllungsgrad einzelner Sicherheitsmaßnahmen detailliert einordnen. Die Ergebnisse dieser Bewertung dienen auch als Grundlage für monetäre Betrachtungen, also für die Frage, welche Einsparungen beispielsweise erreichbar sind, wenn mit Hilfe zusätzlicher Sicherheitsmaßnahmen ein möglicher oder wahrscheinlicher Schaden vermieden wird.
Mit der "Monte-Carlo-Simulation" steht ein Vorgehensmodell zur Verfügung, mit dem sich die Risiken aggregieren und quantifizieren lassen. Sie macht es möglich, die Auswirkungen der Gefahrenpotenziale auf die Einzelposten der Gewinn- und Verlustrechnung abzubilden.
Zum richtigen Messen gehört es auch, die zeitlichen Intervalle - fortwährend, regelmäßig, spontan oder einmalig - zu definieren und festzuhalten. Für die Aufrechterhaltung des Sicherheitsniveaus ist die Einbindung von Maßnahmen zum IT-Sicherheits-Management notwendig (siehe Grafik "Gleichbleibendes Niveau"). Erst dann kann begonnen werden, die Zielsituation zu definieren, die Sicherheitsmaßnahmen (technisch, organisatorisch, verfahrensbezogen) zu spezifizieren und diese Maßnahmen umzusetzen. Wie sich die Rentabilität von Sicherheitsmaßnahmen ermitteln lässt, sollen zwei Fallbeispiele illustrieren.
Beispiel Automobilindustrie
Ein Automobilhersteller will wissen, welches Risiko mit einer Anbindung seiner IT-Systeme an ein fremdes Unternehmen verbunden wäre. Die Analyse soll auf der Basis von schätz- beziehungsweise messbaren Faktoren ermitteln und berechnen, wo die nicht tragbaren Risiken liegen. Für die Bewertung möglicher Schäden werden folgende Kategorien angesetzt:
• Kategorie 1: geringer Schaden von weniger als 50 000 Euro per anno;
• Kategorie 2: mittlerer Schaden von weniger als fünf Millionen Euro per anno;
• Kategorie 3: hoher Schaden von mehr als fünf Millionen Euro per anno.
Neben dieser Quantifizierung qualifiziert das Unternehmen die möglichen Schäden durch eine Zuordnung zu einer der folgenden Kategorien - mitsamt dem jeweiligen Schadensgrad:
• Personenschäden (1 = leicht verletzt, 2 = krank, 3 = schwer verletzt),
• Auswirkungen auf den Betrieb (1 = Abläufe behindert, 2 = Abläufe gestört, 3 = Abläufe unterbrochen),
• Verlust an materiellen Werten (1 = geringfügige Verluste, 2 = nennenswerte Verluste, 3 = schwerwiegende Verluste),
• Verlust an immateriellen Werten (1 = Werte beeinträchtigt, 2 = Werte beschädigt, 3 = Werte verloren).
Darüber hinaus wird die Eintrittswahrscheinlichkeit jedes einzelnen Schadens geschätzt:
• Grad 1 = geringe Eintrittswahrscheinlichkeit: Der Schaden ist noch nie vorgekommen, es handelt sich um einen einfachen oder seltenen Geschäftsprozess, um ein gut gesichertes IT-Umfeld, geregelte Abläufe, geringe Mengen, qualifiziertes Fachpersonal etc.
• Grad 2 = mittlere Eintrittswahrscheinlichkeit: Ein Eintreten des Schadens ist denkbar, oder der Schaden ist bereits vorgekommen, es handelt sich um einen wiederkehrenden Geschäftsprozess, ein gespanntes IT-Umfeld, nicht ausreichend geregelte Abläufe, kritische Mengen und unerfahrenes Personal, das zu fahrlässigem Handelt tendiert, etc.
• Grad 3 = hohe Eintrittswahrscheinlichkeit: Der Schaden wird mit ziemlicher Sicherheit eintreten beziehungsweise kommt in ähnlicher Form ständig vor, es handelt sich um einen häufigen oder sehr komplizierten Geschäftsprozess, um ein gestörtes IT-Umfeld, ungeregelte Abläufe, hohe Mengen und unqualifiziertes Personal, das vorsätzlich gegen Sicherheitsregeln verstößt.
Durch die Multiplikation der Schadenskategorie beziehungsweise des Schadensgrads mit der Eintrittswahrscheinlichkeit ergibt sich für jede einzelne Schadenssituation die passende Risikokategorie. Liegt das Ergebnis bei 1 bis 3, werden die bestehenden präventiven Maßnahmen in der Regel ausreichen - mit maximal geringem Handlungsbedarf. In der Risikokategorie 4 oder 6 fallen zusätzliche technische, organisatorische und verfahrensbezogene Sicherheitsmaßnahmen zur Reduzierung der Schwachstellen an. Handelt es sich um die Risikokategorie 9, sind solche Maßnahmen zwingend erforderlich, damit in unserem Beispiel nicht durch die Anbindung an ein Fremdunternehmen das eigene Geschäft aufs Spiel gesetzt wird.
Beispiel Fertigung
Im zweiten Beispiel will ein Produktionswerk den Stand seiner IT-Sicherheit an allen 50 Werken ermitteln. In einer Ist-Analyse soll das Niveau der IT-Sicherheit gemessen werden - unter anderem deshalb, um Vergleiche zwischen den einzelnen Werken anstellen zu können. Die Vorgehensweise umfasst die folgenden fünf Punkte:
• Analyse der IT-Security-Policies,
• Feststellung des Schutzbedarfs,
• Integration ins IT-Sicherheits-Management zur Aufrechterhaltung des Sicherheitsniveaus,
• Definition der Sicherheitsziele und
• Erstellung eines Prüfleitfadens.
Gegenstand der Analyse sind die unterschiedlichsten IT-Bereiche - von der Sicherheit der Software am Desktop über Business Continuity, Identifikation und Authentisierung, logische Zugriffskontrolle sowie Systemintegrität und Verschlüsselung bis zur Sicherheit im Netz und Kommunikationsumfeld. Über diese Bereiche werden nach den Vorgaben des Prüfleitfadens konzernweite Audits vorgenommen. Sie verschaffen dem Unternehmen einen Überblick über die in den Werken erarbeitenden Sicherheitsvorkehrungen.
Zum Messen der Sicherheitsniveaus werden Selbsterklärungen, bestehende Dokumentationen und Stichproben an ausgewählten Standorten herangezogen. Das Ergebnis dieses umfassenden Audits besteht in Balkendiagrammen, die für jedes Werk den exakten Status quo in puncto Sicherheit über alle geprüften Bereiche hinweg überschau- und vergleichbar darstellen. (qua)