Für die Hersteller von Sicherheitssystemen steht außer Frage: Der Einsatz ihrer Lösungen zahlt sich für die Unternehmen sofort aus. Um die schnelle Amortisierung ihrer Lösungen zu begründen, verweisen sie auf Erhebungen, die sie in Eigenregie unternommen haben. Oder sie fahren Modellrechnungen auf, die wenig mit der Realität zu tun haben. Doch den tatsächlichen Zugewinn an Sicherheit zu messen und in geldwerte Vorteile umzumünzen - das ist so spezifisch wie das Unternehmen selbst.

Die Unterschiede beginnen mit den technischen, organisatorischen und verfahrensbezogenen Voraussetzungen. Hinzu kommt - je nach Branche, Kommunikationsbeziehungen, Kundennähe der Leistungen und Wettbewerbssituation - eine verschieden große Gefährdung durch Angriffe von Hackern, Industriespionen, Innentätern oder Terroristen. Zudem sind nicht alle Geschäftsdaten und -prozesse für das laufende Business gleichermaßen sensibel und schützenswert. Auch die Verfolgung und Einhaltung regulatorischer Vorschriften über geeignete Auditing-Werkzeuge trifft nicht alle Unternehmen gleich hart.

Investition und Ergebnis in einem vertretbaren Verhältnis

Die Investitionen in die Sicherheit des Geschäfts müssen in einem vertretbaren Verhältnis zum angestrebten Ergebnis, der Schadensvermeidung, stehen. An einer gründlichen Analyse der aktuellen Sicherheitssituation und ihrer potenziellen Auswirkungen auf das Geschäft führt also kein Weg vorbei. Der Vergleich mit Best Practices, wie sie beispielsweise in ISO 17799 und im BSI Grundschutzhandbuch beschrieben sind, kann helfen, Sicherheitslücken in Technik, Organisation und Verfahren zu identifizieren. Um die Notwendigkeit von Sicherheitsmaßnahmen bewerten zu können, hat allerdings jeder einen anderen Informationsbedarf:

• Die Geschäftsführung interessiert sich für zweierlei: Ist das Unternehmen im akzeptablen Maße sicher? Und sind die Investitionen in die Sicherheit gerechtfertigt?

• Auditing und Revision richten das Augenmerk auf die Gefahrenpotenziale: Mit welchen hohen, mittleren und niedrigen Risiken ist das Unternehmen konfrontiert?

• Das Risiko-Managements fragt: Treten kritische Indikatoren auf, beispielsweise eine zu geringe Verfügbarkeit von Transaktionssystemen?

• Die Sorge der IT-Sicherheit wiederum heißt: Wie werden die Sicherheitsanforderungen identifiziert und umgesetzt?

• Und alle Bereiche wollen wissen: Wie wirksam sind die einzelnen Sicherheitsmaßnahmen? Und wie steht das Unternehmen im Vergleich zum Wettbewerb da?

Aus all diesen unterschiedlichen Blickwinkeln heraus wird das Unternehmen den konkreten Handlungsbedarf ermitteln und die Wirksamkeit einzelner Sicherheitsmaßnahmen sowie -investitionen ableiten. Denn eines steht außer Frage: Der größte Einspareffekt für die Unternehmen entsteht dadurch, dass zusätzliche Sicherheitsmaßnahmen nur dort umgesetzt werden, wo sie unbedingt notwendig sind.

Unterschiedliche Grade der Detaillierung

Die Notwendigkeit von Sicherheitsmaßnahmen lässt sich in unterschiedlichen Detaillierungsgraden abschätzen. Die unterste Stufe ist der binäre Vergleich: Sind die Anforderungen erfüllt oder nicht? Eine positive Antwort darauf könnte beispielsweise für die Erteilung einer Zertifizierung wichtig sein.

Wie einzelne Anforderungen umgesetzt wurden und welche Risiken (niedrig, mittel oder hoch) aus den verbleibenden Schwachstellen resultieren, ist nur mit einer gestaffelten Einschätzung aufzudecken. Über ein Bewertungsschema lässt sich der Erfüllungsgrad einzelner Sicherheitsmaßnahmen detailliert einordnen. Die Ergebnisse dieser Bewertung dienen auch als Grundlage für monetäre Betrachtungen, also für die Frage, welche Einsparungen beispielsweise erreichbar sind, wenn mit Hilfe zusätzlicher Sicherheitsmaßnahmen ein möglicher oder wahrscheinlicher Schaden vermieden wird.

Mit der "Monte-Carlo-Simulation" steht zudem ein Vorgehensmodell zur Verfügung, mit den sich die Risiken aggregieren und quantifizieren lassen. Sie macht es möglich, die Auswirkungen der Gefahrenpotenziale auf die Einzelposten der Gewinn- und Verlustrechnung abzubilden.

Zum richtigen Messen gehört auch, die zeitlichen Intervalle - fortwährend, regelmäßig, spontan oder einmalig - zu definieren und festzuhalten. Für die Aufrechterhaltung des Sicherheitsniveaus ist die Einbindung von Maßnahmen zum IT-Sicherheits-Management notwendig. Erst dann kann begonnen werden, die Zielsituation zu definieren, die Sicherheitsmaßnahmen (technisch, organisatorisch, verfahrensbezogen) zu spezifizieren und diese Maßnahmen umzusetzen.

Beispiel 1: Automobilhersteller

Inwieweit die Sicherheit für die Unternehmen messbar ist, sollen zwei Beispiele aus der Praxis verdeutlichen. Hier das erste: Ein Automobilhersteller wollte einschätzen, welches Risiko mit einer Anbindung seiner IT-Systeme an ein fremdes Unternehmen verbunden wäre. Die Analyse sollte auf der Basis von einzuschätzenden und messbaren Faktoren ermitteln und berechnen, wo die nicht tragbare Risiken lägen.

Für die Bewertung möglicher Schäden wurden folgende Kategorien angesetzt:

• Kategorie 1: geringer Schaden von weniger als 50 000 Euro per anno;

• Kategorie 2: mittlerer Schaden von weniger als 5 Millionen Euro per anno;

• Kategorie 3: hoher Schaden von mehr als fünf Millionen Euro per anno.

Neben dieser Quantifizierung qualifizierte das Unternehmen die möglichen Schäden durch eine Zuordnung zu einer der folgenden Kategorien - mitsamt dem jeweiligen Schadensgrad:

• Personenschäden (1 = leicht verletzt, 2 = krank, 3 = schwer verletzt),

• Auswirkungen auf den Betrieb (1 = Abläufe behindert, 2 = Abläufe gestört, 3 = Abläufe unterbrochen),

• Verlust an materiellen Werten (1 = geringfügige Verluste, 2 = nennenswerte Verluste, 3 = schwerwiegende Verluste),

• Verlust an immateriellen Werten (1 = Werte beeinträchtigt, 2 = Werte beschädigt, 3 = Werte verloren).

Darüber hinaus wurde die Eintrittswahrscheinlichkeit jedes einzelnen Schadens geschätzt:

• Grad 1 = geringe Eintrittswahrscheinlichkeit: Der Schaden ist noch nie vorgekommen, es handelt sich um einen einfachen oder seltenen Geschäftsprozess, um ein gut gesichertes IT-Umfeld, geregelte Abläufe, geringe Mengen, qualifiziertes Fachpersonal etc.

• Grad 2 = mittlere Eintrittswahrscheinlichkeit: Ein Eintreten des Schadens ist denkbar, oder der Schaden ist bereits vorgekommen, es handelt sich um einen wiederkehrenden Geschäftsprozess, ein gespanntes IT-Umfeld, nicht ausreichend geregelte Abläufe, kritische Mengen und unerfahrenes Personal, das zu fahrlässigem Handelt tendiert, etc.

• Grad 3 = hohe Eintrittswahrscheinlichkeit: Der Schaden wird mit ziemlicher Sicherheit eintreten beziehungsweise kommt in ähnlicher Form ständig vor, es handelt sich um einen häufigen oder sehr komplizierten Geschäftsprozess, um ein gestörtes IT-Umfeld, ungeregelte Abläufe, hohe Mengen und unqualifiziertes Personal, das vorsätzlich gegen Sicherheitsregeln verstößt.

Durch die Multiplikation der Schadenskategorie beziehungsweise des Schadensgrads mit der Eintrittswahrscheinlichkeit ergibt sich für jede einzelne Schadenssituation die passende Risikokategorie. Liegt das Ergebnis bei 1 bis 3, werden die bestehenden präventiven Maßnahmen in der Regel ausreichen - mit maximal geringem Handlungsbedarf. In der Risikokategorie 4 oder 6 fallen zusätzliche technische, organisatorische und verfahrensbezogene Sicherheitsmaßnahmen zur Reduzierung der Schwachstellen an. Handelt es sich um die Risikokategorie 9, sind solche Maßnahmen zwingend erforderlich, damit in unserem Beispiel nicht durch die Anbindung an ein Fremdunternehmen das eigene Geschäft aufs Spiel gesetzt wird.

Beispiel 2: Verteilt agierendes Produktionswerk

Im zweiten Beispiel wollte ein Produktionswerk den Stand seiner IT-Sicherheit an allen 50 Werken ermitteln. In einer Ist-Analyse sollte das Niveau der IT-Sicherheit gemessen werden - unter anderem deshalb, um Vergleiche zwischen den einzelnen Werken anstellen zu können. Die Vorgehensweise umfasste die folgenden fünf Punkte:

• Analyse der IT-Security-Policies,

• Feststellung des Schutzbedarfs,

• Integration ins IT-Sicherheits-Management zur Aufrechterhaltung des Sicherheitsniveaus,

• Definition der Sicherheitsziele und

• Erstellung eines Prüfleitfadens.

Gegenstand der Analyse waren die unterschiedlichsten IT-Bereiche - von der Sicherheit der Software am Desktop über Business Continuity, Identifikation und Authentisierung, logische Zugriffskontrolle sowie Systemintegrität und Verschlüsselung bis zur Sicherheit im Netz und Kommunikationsumfeld. Über diese Bereiche wurden nach den Vorgaben des Prüfleitfadens konzernweite Audits vorgenommen. Sie verschafften dem Unternehmen einen Überblick über die in den Werken erarbeitenden Sicherheitsvorkehrungen.

Zum Messen der Sicherheitsniveaus wurden Selbsterklärungen, bestehende Dokumentationen und Stichproben an ausgewählten Standorten herangezogen. Das Ergebnis dieser umfassenden Audits bestand in Balkendiagrammen, die für jedes Werk den exakten Status quo in puncto Sicherheit über alle geprüften Bereiche überschau- und vergleichbar darstellen.