Gekürzte IT-Etats und reduzierte Mannschaften machen es Security-Managern nicht leichter, den steigenden Anforderungen an die IT-und Informationssicherheit gerecht zu werden. So will das Topmanagement heute genau wissen, ob die in Schutzmaßnahmen investierten Mittel richtig bemessen sind. Mehr denn je sehen sich IT-Sicherheitsverantwortliche daher gezwungen, jeden Cent, den sie ausgeben, zu rechtfertigen, und exakt aufzuzeigen, inwieweit diese Investitionen dazu beitragen, die Gefahren für das Geschäft einzudämmen. "Jede Security-Ausgabe wird mittlerweile von der Finanzabteilung überprüft", weiß Eric Domage, Research Manager Security bei IDC. Chief Security Information Officers (CISOs) sollten sich den Controller demnach zum Freund machen - und lernen, mit ihm zu kooperieren.

Doch wie sicher ist sicher genug? Das punktgenau zu benennen ist ein komplexes, wenn nicht unmögliches Unterfangen. Für Carsten Casper, Research Director Information Security, Risk & Compliance bei Gartner, ist schon die Frage verfänglich: "Sie suggeriert, dass es eine Kenngröße - etwa eine Zahl zwischen 0 und 100 - gibt, an der ein Unternehmen das eigene Security-Niveau ablesen könnte." Auch IDC-Mann Domage hat hierauf keine eindeutige Antwort: "Es gibt nur Richtlinien und Standards, die dem CIO eine Vorstellung davon geben, ob er in Sachen IT-Sicherheit auf dem richtigen Weg ist." In Kennzahlen sei der jeweilige Status jedoch nicht auszudrücken. Nur Security-Vorfälle lieferten Anhaltspunkte über Lücken. "Aber genau diese will ja man vermeiden."

Patentrezepte gibt es nicht

Ob und wann das Sicherheitsniveau angemessen ist, hängt für Khalid Kark, Principal Analyst bei Forrester Research, primär von der Organisation und Branche des Unternehmens ab: "Entscheidend ist dabei, wie wichtig bestimmte Security-Funktionen für das Business des Unternehmens sind." Wer also auf ein Patentrezept hofft, wird enttäuscht: Ein allgemein gültiges Musterverfahren gibt es angesichts der heterogenen Gegebenheiten in Unternehmen nicht. Erschwerend hinzu kommt die kurze Halbwertszeit von IT-Techniken und -Bedrohungen, so dass das Prädikat "sicher genug" allenfalls temporär gültig ist. Die Konzentration auf gewisse Schlüsselbereiche kann Unternehmen jedoch helfen, sich einer Antwort zu nähern. Zu den Kernaspekten, mit denen sich IT-Sicherheitsverantwortliche aus Gartner-Sicht bei der Ermittlung der schwer greifbaren und flüchtigen Kenngröße "Due Care" in Sachen IT-Security auseinandersetzen müssen, zählt zunächst der jeweilige Stand der Sicherheitstechnik.

Was ist Standard, was nice to have?

"Im Prinzip geht es beim Thema IT-Sicherheit - im Gegensatz zur Informationssicherheit - um Techniken", stellt Gartner-Experte Casper klar. Um zu ermitteln, ob die eigene Organisation diesbezüglich angemessen gerüstet ist, müssten Firmen über den Reifegrad der verfügbaren Security-Lösungen im Bild sein und beurteilen können, welche bereits gut etabliert sind und welche "gerade erst aus dem Silicon Valley herüberschwappen". So handle es sich bei Firewall und Virenschutz um altbewährte Techniken, die jede Organisation implementiert haben sollte, während etwa das Thema Data Leakage Prevention (DLP) noch in den Kinderschuhen stecke. Eine Gartner-Faustregel: Die sichersten Investitionen, um ein angemessenes Maß an IT-Sicherheit zu gewährleisten, sind Ausgaben für Techniken, die bereits ein halbwegs vernünftiges Mainstream-Niveau erreicht haben.

Bedrohungen im Blick

Nur anhand einer fortlaufenden Gefahrenanalyse, die die Werte der firmeneigenen Güter (Assets) und die Einführung neuer Techniken sowie Geschäftspraktiken berücksichtigt, lässt sich fundiert entscheiden, welche Risiken zu beheben und welche zu akzeptieren sind. Um aber bewerten zu können, wie kritisch die sich stetig wandelnden Bedrohungen für die eigene Organisation sind, müssen IT-Security-Manager die Augen offenhalten. "Die in der Vergangenheit stärker zerstörungsorientierten Sicherheitsprobleme sind in der letzten Zeit zunehmend ökonomisch getriebenen gewichen", beobachtet etwa Bernd Hilgenberg, Ressortleiter IT bei der Franchise-Tiernahrungskette Fressnapf. Daher dürften neben rein technischen Sicherheitsaspekten betroffene Prozesse wie das Handling von Datenträgern und der Umgang mit sensiblen Informationen nicht vernachlässigt werden.

Gartner-Analyst Casper warnt allerdings vor einer Beschränkung auf jeweils akute Gefahren: "Wer seine Ressourcen und Investitionen in IT-Sicherheit ganz auf moderne Bedrohungen wie zielgerichtete Attacken und Identitätsdiebstahl fokussiert, läuft Gefahr, Aktivitäten etwa an der klassischen Viren- und Würmer-Front schleifen zu lassen." Dass dies riskant sein kann, verdeutlicht der derzeit in Firmennetzen grassierende Wurm Conficker, der die Security-Gemeinde seit November 2008 auf Trab hält.

Risiken einschätzen und priorisieren

Um Risiken nach ihrer Dringlichkeit ordnen zu können, müssen sich Unternehmen zum einen Klarheit darüber verschaffen, wie wahrscheinlich es ist, dass sich etwa ein Virus ausbreitet, ein Web-Server gehackt oder ein Datenträger entwendet wird. Zum anderen bemisst sich eine Bedrohung an dem potenziell aus ihr entstehenden Schaden. Er ist jedoch nicht leicht zu taxieren. "Zwar lässt sich oft noch abschätzen, was ein einzelner Zwischenfall kosten würde. Aber bei speziellen Bedrohungen, die auch noch relativ selten auftreten, sind die Wahrscheinlichkeiten und damit auch die Kosten schwer zu ermitteln", sagt Wolfram Funk, Senior Advisor bei der Experton Group.

Gartner-Experte Casper stellt hier eine einfache Regel auf: "Je neuer eine Technik oder Anwendung, desto größer die Gefahr, dass etwas schiefgeht." Angesichts der geringen Verbreitung einer Novität halte sich normalerweise aber auch der Schaden in Grenzen. Im Gegensatz dazu sei bei einer etablierten Anwendung die Wahrscheinlichkeit eines Sicherheitsvorfalls ungleich geringer - dafür aber die potenziellen Folgen umso gravierender. Dieses komplizierte Missverhältnis erachtet Casper als einen Grund für die aktuellen Probleme der Wirtschaft: "Zwar haben wir mittlerweile viel bessere Modelle zum Identifizieren und Berechnen von Risiken - geht dann aber etwas schief, weil ein kleiner Parameter übersehen wurde, ist der Schaden immens, weil sich alle auf diese Risikomodelle verlassen."

Kosten versus Nutzen

IT-Security-Verantwortliche sollen auch ermitteln, inwieweit der finanzielle Aufwand für die Abwehr einer Bedrohung gerechtfertigt ist. Hierbei gilt es, die Kosten für eine Sicherheitsmaßnahme dem potenziellen Schaden durch das jeweilige Risiko gegenüberzustellen. Der Schaden wiederum bemisst sich an dem Wert der dadurch gefährdeten Assets beziehungsweise den voraussichtlichen Auswirkungen auf das Geschäft. Hundert Euro in eine Bedrohung zu investieren, die im schlimmsten Fall einen Schaden in Höhe von einem Euro nach sich ziehe, sei keine solide Geschäftsentscheidung, so Gartner. Das haben auch amtierende Security-Manager erkannt: "Wir schätzen die bestehenden Risiken ein und prüfen dann, ob die Kosten der Maßnahmen, die das jeweilige Risiko mindern würden, im Verhältnis zu dessen Schadenspotenzial stehen", schildert Lutz Bleyer das Vorgehen seines Unternehmens. Er ist Leiter Zentrale Security bei dem Banken-IT-Dienstleister Fiducia IT AG, der diese Aufgabe mit Hilfe eines auf ISO-Standards basierenden Sicherheits-Management-Systems meistert.

Problem Wertbestimmung

Als schwierig erweist sich laut Gartner-Consultant Casper nicht so sehr die Definition der Kosten, als vielmehr die Aufgabe, den Wert des zu schützenden Objekts oder Assets zu bestimmen. Asset-Werte basieren auf Faktoren wie der Kritikalität von Applikationen und Diensten, die von einem IT-System unterstützt werden, sowie dessen Wechselwirkung mit anderen Anwendungen und Infrastrukturkomponenten. Sie zu definieren ist laut Casper eine große, wenn auch nicht neue und vor allem nicht für die IT-Sicherheit spezifische Schwierigkeit. "Mit diesem Problem sahen sich Unternehmen bereits vor 20 Jahren konfrontiert - etwa beim Thema Asset-Management, aber immer auch dann, wenn von Business Continuity oder Geschäftsprozessoptimierung die Rede ist", rekapituliert der Analyst. Dabei sei Security nur eines von vielen Themen, die die Frage nach dem Wert der einzelnen Geschäftsprozesse, der dahinterstehenden Daten sowie der sie unterstützenden Systemen erneut aufwerfen. Zu lösen ist das Problem aus Sicht von Gartner letztendlich nur durch klare Bewertungsmaßstäbe und Verantwortlichkeiten.

Was sind die kritischsten IT-Assets?

Für Fiducia-Manager Bleyer ist das Wissen um die Asset-Werte Grundvoraussetzung für eine fundierte Entscheidung: "Man muss schon wissen, an welchem für das Unternehmen als wichtig deklarierten Geschäftprozess das jeweilige System beteiligt ist - ansonsten tut man sich schwer zu entscheiden, ob eine Maßnahme zu treffen ist." Die LVM-Versicherungen in Münster verschaffen sich diesen Einblick über ihre als Sicherheitsprogramm konzipierte Notfallplanung: "Die einzelnen Fachabteilungen führen auf, was die für sie jeweils kritischsten Infrastrukturkomponenten und Anwendungen sind - und wie schnell diese zur Verfügung stehen müssen", beschreibt Hermann Fehnker, IT-Sicherheitsbeauftragter bei LVM, wie sein Unternehmen den hauseigenen IT-Assets einen Geschäftswert zuordnet. Die Ergebnisse werden in abteilungsspezifischen Notfallordnern dokumentiert und im Rahmen der jährlichen Risikoinventur aktualisiert.

Greifbar machen lässt sich der monetäre Wert der IT auch mit Hilfe des von der Information Systems Audit and Control Association (Isaca) entwickelten Frameworks "Val IT". "Dabei handelt es sich um ein ähnliches Rahmenwerk wie CoBIT (Control Objectives for Information and Related Technologies), mit dem Unternehmen leichter feststellen können, was die einzelnen Maßnahmen wirtschaftlich bedeuten", informiert Rolf von Rössing, Partner von KPMG und Mitglied des Global Security Management Committee der Isaca.

Unterstützung durch Standards

Eine ganze Reihe von IT-Security-Standards können Unternehmen helfen, das richtige Sicherheitsniveau zu finden und einzuführen. Hierzulande hat sich das IT-Grundschutz-Handbuch des Bundesamts für Sicherheit in der Informationstechnologie (BSI) bewährt. Laut Gartner ist das außerhalb Deutschlands wenig genutzte Framework in seiner jüngsten Version nun auch mit dem über die Landesgrenzen hinweg bekannteren ISO-Standard 27001:2005 integriert. Ein Vorteil des BSI-Frameworks aus Sicht von LVM-Mann Fehnker, der es benutzt: "Es enthält sehr konkrete und schnell verständliche Vorgaben, unter denen nicht jeder etwas anderes verstehen kann." Wichtig sei allerdings die Bereitschaft, wo nötig auch von dem Framework abzuweichen: "Der Standard muss dem Unternehmen angepasst werden - und nicht etwa andersherum."

Standards aus dem IT-Governance-Bereich wie das Audit- und Management-Tool Cobit, aber auch ISO 17799/27001 sowie das Account-Risk-Management-Framework von COSO (Committee of Sponsoring Organizations of the Treadway Commission) wiederum unterstützen bei der Suche nach Kontrollmechanismen, die dabei helfen, firmenspezifische Geschäftsanforderungen und gesetzliche Vorgaben zu erfüllen. Neben IT-Security-Standards für Prozesse (Beispiel: ISO 27001) bieten laut Gartner-Berater Casper aber auch Zertifizierungen für die Bereiche Security-Skills (CISSP von ISC) und Produkte (Common Criteria for Information Technology Security Evaluation) Orientierungshilfe.

Zur Unterstützung bei der Klassifizierung von Daten empfiehlt Isaca-Spezialist von Rössing Standards wie ISO 27001 und 27002, die Informationen als Assets im finanziellen Sinn behandeln: "Daten müssen nicht nur nach ihrer Vertraulichkeit, sondern auch nach ihrem eigentlichen monetären Wert eingestuft werden."

Problemzonen in der Praxis

Das "richtige Maß" an IT-Sicherheit zu ermitteln ist demnach keine triviale Angelegenheit. Nach Beobachtungen von Experton-Berater Funk tun sich Unternehmen besonders schwer, die Gefahrenquellen für die eigene Organisation zu identifizieren und zu bewerten. Dies sei allerdings die wichtigste Aufgabe: "Nur wer die Risken genau analysiert hat, kann bestimmen, wie viel er in die eigene Sicherheit investieren muss." Oft hapert es schon an der notwendigen Vorbereitung, bemängelt Forrester-Analyst Kark. Wo etwa der Datenschutz oberste Priorität hat, muss der Security-Verantwortliche zunächst definieren, welche Informationen besonders schützenswert sind, und sie zu diesem Zweck lokalisieren und klassifizieren - etwa danach, ob es sich um Kundendaten handelt oder welche Personen darauf zugreifen können. "Diese Vorarbeit wird häufig vernachlässigt - statt dessen gelten dann für alle Informationen die gleichen Maßstäbe in Sachen Verschlüsselung und Zugangskontrollen", so die Kritik. Das Fehlen einer strukturierten Vorgehensweise ist auch für Fressnapf-IT-Chef Hilgenberg das Hauptproblem bei der Ermittlung, wie viel Sicherheit angemessen ist: "Für IT-Verantwortliche ist das Thema Security oft eine unliebsame Zusatzaufgabe zu den vielfältigen Tätigkeiten des Tages- und Projektgeschäfts."

Menschen machen viele Fehler

Eine besondere Problemzone bildet aus Sicht der Experten der Faktor Mensch. Studien zufolge sind 70 bis 80 Prozent aller Sicherheitsvorfälle auf die eigenen Mitarbeiter zurückzuführen. Für IDC-Experte Domage stellen die Anwender sogar das größte Problem überhaupt dar - nicht zuletzt aufgrund der zunehmenden Nutzung mobiler Endgeräte. Wichtig sei daher, die eigene Belegschaft durch Aufklärung und Schulung zu sensibilisieren - auch, um sie von absichtlichen Sicherheitsverstößen und Attacken auf das Unternehmen abzuhalten, so Forrester-Mann Kark: "Es muss klar sein, dass solche Angriffe konkrete Konsequenzen haben - etwa die Kündigung oder eine Strafanzeige."

Wahrnehmungsprobleme

Erschwert werden solche Maßnahmen nicht zuletzt durch Wahrnehmungsunterschiede: "Viele Vorstände haben bei diesem Thema eine rosarote Brille auf", beobachtet Funk. "Sie halten das Sicherheitsbewusstsein überall im Unternehmen für ausreichend - ohne es jemals überprüft zu haben." Die IT-Verantwortlichen wiederum sähen das Sicherheitsbewusstsein in allen Firmenbereichen außer dem eigenen als eher niedrig an. Das erschwere die Kommunikation der erforderlichen Security-Maßnahmen an Management und Geschäftsbereiche.

Auch aus Sicht von Gartner-Analyst Casper ist Kommunikation eine große Herausforderung für Unternehmen - vor allem im Zusammenhang mit der Festlegung von Messgrößen. So seien rein technische Metriken zwar einfach zusammenzustellen, allerdings nicht direkt auf die Unternehmensziele zu beziehen und der Firmenleitung entsprechend schwer nahezubringen. "Bei eher vagen Werten - etwa Prüfberichten, groben Kennzahlen oder Fragebögen - ist die Kommunikation nach oben einfacher. Dafür fällt hier der Bezug zu konkreten technischen Systemen schwerer", beschreibt der Experte den zu meisternden Spagat.