IT-Security

Wie viel Sicherheit ist nötig?

12.03.2009
Von Katharina Friedmann  und
Sabine Prehl ist freie Journalistin und lebt in München.
Die Frage nach der angemessenen Gefahrenabwehr beschäftigt Unternehmen in aller Welt. Eine Punktlandung ist kaum zu erzielen - mit etwas Pragmatismus können sich IT-Security-Verantwortliche jedoch einer Antwort nähern.

Gekürzte IT-Etats und reduzierte Mannschaften machen es Security-Managern nicht leichter, den steigenden Anforderungen an die IT-und Informationssicherheit gerecht zu werden. So will das Topmanagement heute genau wissen, ob die in Schutzmaßnahmen investierten Mittel richtig bemessen sind. Mehr denn je sehen sich IT-Sicherheitsverantwortliche daher gezwungen, jeden Cent, den sie ausgeben, zu rechtfertigen, und exakt aufzuzeigen, inwieweit diese Investitionen dazu beitragen, die Gefahren für das Geschäft einzudämmen. "Jede Security-Ausgabe wird mittlerweile von der Finanzabteilung überprüft", weiß Eric Domage, Research Manager Security bei IDC. Chief Security Information Officers (CISOs) sollten sich den Controller demnach zum Freund machen - und lernen, mit ihm zu kooperieren.

Doch wie sicher ist sicher genug? Das punktgenau zu benennen ist ein komplexes, wenn nicht unmögliches Unterfangen. Für Carsten Casper, Research Director Information Security, Risk & Compliance bei Gartner, ist schon die Frage verfänglich: "Sie suggeriert, dass es eine Kenngröße - etwa eine Zahl zwischen 0 und 100 - gibt, an der ein Unternehmen das eigene Security-Niveau ablesen könnte." Auch IDC-Mann Domage hat hierauf keine eindeutige Antwort: "Es gibt nur Richtlinien und Standards, die dem CIO eine Vorstellung davon geben, ob er in Sachen IT-Sicherheit auf dem richtigen Weg ist." In Kennzahlen sei der jeweilige Status jedoch nicht auszudrücken. Nur Security-Vorfälle lieferten Anhaltspunkte über Lücken. "Aber genau diese will ja man vermeiden."

Patentrezepte gibt es nicht

Ob und wann das Sicherheitsniveau angemessen ist, hängt für Khalid Kark, Principal Analyst bei Forrester Research, primär von der Organisation und Branche des Unternehmens ab: "Entscheidend ist dabei, wie wichtig bestimmte Security-Funktionen für das Business des Unternehmens sind." Wer also auf ein Patentrezept hofft, wird enttäuscht: Ein allgemein gültiges Musterverfahren gibt es angesichts der heterogenen Gegebenheiten in Unternehmen nicht. Erschwerend hinzu kommt die kurze Halbwertszeit von IT-Techniken und -Bedrohungen, so dass das Prädikat "sicher genug" allenfalls temporär gültig ist. Die Konzentration auf gewisse Schlüsselbereiche kann Unternehmen jedoch helfen, sich einer Antwort zu nähern. Zu den Kernaspekten, mit denen sich IT-Sicherheitsverantwortliche aus Gartner-Sicht bei der Ermittlung der schwer greifbaren und flüchtigen Kenngröße "Due Care" in Sachen IT-Security auseinandersetzen müssen, zählt zunächst der jeweilige Stand der Sicherheitstechnik.

Was ist Standard, was nice to have?

"Im Prinzip geht es beim Thema IT-Sicherheit - im Gegensatz zur Informationssicherheit - um Techniken", stellt Gartner-Experte Casper klar. Um zu ermitteln, ob die eigene Organisation diesbezüglich angemessen gerüstet ist, müssten Firmen über den Reifegrad der verfügbaren Security-Lösungen im Bild sein und beurteilen können, welche bereits gut etabliert sind und welche "gerade erst aus dem Silicon Valley herüberschwappen". So handle es sich bei Firewall und Virenschutz um altbewährte Techniken, die jede Organisation implementiert haben sollte, während etwa das Thema Data Leakage Prevention (DLP) noch in den Kinderschuhen stecke. Eine Gartner-Faustregel: Die sichersten Investitionen, um ein angemessenes Maß an IT-Sicherheit zu gewährleisten, sind Ausgaben für Techniken, die bereits ein halbwegs vernünftiges Mainstream-Niveau erreicht haben.