Bedrohungen im Blick
Nur anhand einer fortlaufenden Gefahrenanalyse, die die Werte der firmeneigenen Güter (Assets) und die Einführung neuer Techniken sowie Geschäftspraktiken berücksichtigt, lässt sich fundiert entscheiden, welche Risiken zu beheben und welche zu akzeptieren sind. Um aber bewerten zu können, wie kritisch die sich stetig wandelnden Bedrohungen für die eigene Organisation sind, müssen IT-Security-Manager die Augen offenhalten. "Die in der Vergangenheit stärker zerstörungsorientierten Sicherheitsprobleme sind in der letzten Zeit zunehmend ökonomisch getriebenen gewichen", beobachtet etwa Bernd Hilgenberg, Ressortleiter IT bei der Franchise-Tiernahrungskette Fressnapf. Daher dürften neben rein technischen Sicherheitsaspekten betroffene Prozesse wie das Handling von Datenträgern und der Umgang mit sensiblen Informationen nicht vernachlässigt werden.
Gartner-Analyst Casper warnt allerdings vor einer Beschränkung auf jeweils akute Gefahren: "Wer seine Ressourcen und Investitionen in IT-Sicherheit ganz auf moderne Bedrohungen wie zielgerichtete Attacken und Identitätsdiebstahl fokussiert, läuft Gefahr, Aktivitäten etwa an der klassischen Viren- und Würmer-Front schleifen zu lassen." Dass dies riskant sein kann, verdeutlicht der derzeit in Firmennetzen grassierende Wurm Conficker, der die Security-Gemeinde seit November 2008 auf Trab hält.
Risiken einschätzen und priorisieren
Um Risiken nach ihrer Dringlichkeit ordnen zu können, müssen sich Unternehmen zum einen Klarheit darüber verschaffen, wie wahrscheinlich es ist, dass sich etwa ein Virus ausbreitet, ein Web-Server gehackt oder ein Datenträger entwendet wird. Zum anderen bemisst sich eine Bedrohung an dem potenziell aus ihr entstehenden Schaden. Er ist jedoch nicht leicht zu taxieren. "Zwar lässt sich oft noch abschätzen, was ein einzelner Zwischenfall kosten würde. Aber bei speziellen Bedrohungen, die auch noch relativ selten auftreten, sind die Wahrscheinlichkeiten und damit auch die Kosten schwer zu ermitteln", sagt Wolfram Funk, Senior Advisor bei der Experton Group.
Gartner-Experte Casper stellt hier eine einfache Regel auf: "Je neuer eine Technik oder Anwendung, desto größer die Gefahr, dass etwas schiefgeht." Angesichts der geringen Verbreitung einer Novität halte sich normalerweise aber auch der Schaden in Grenzen. Im Gegensatz dazu sei bei einer etablierten Anwendung die Wahrscheinlichkeit eines Sicherheitsvorfalls ungleich geringer - dafür aber die potenziellen Folgen umso gravierender. Dieses komplizierte Missverhältnis erachtet Casper als einen Grund für die aktuellen Probleme der Wirtschaft: "Zwar haben wir mittlerweile viel bessere Modelle zum Identifizieren und Berechnen von Risiken - geht dann aber etwas schief, weil ein kleiner Parameter übersehen wurde, ist der Schaden immens, weil sich alle auf diese Risikomodelle verlassen."