IT Security in der Praxis

Mehr ROI durch gezielte Trainings

Rainer Singer arbeitet seit 2007 für Infoblox. Als Systems Engineering Manager CEUR verantwortet er den technischen Bereich. Die Betreuung und der Ausbau des Teams von Systems Engineers in DACH, Osteuropa und den CIS-Staaten fallen in sein Verantwortungsgebiet. Der Diplom Ingenieur verfügt über langjährige Erfahrung im Systems- und Security-Engineering-Bereich und war zuvor unter anderem bei F5 Networks als Systems Engineer und bei Integralis als Technical Consultant tätig.
Security-Lösungen können ihren vollen Nutzen oft nicht entfalten, weil Unternehmen gerne an Schulungen und Trainings sparen.

Laut Gartner steigen die Investitionen in IT-Security-Lösungen massiv an, und zwar deutlich schneller als die generellen IT-Investitionen. Dazu gehören DDI (DNS, DHCP und IPAM)-Lösungen, die für eine schnellere und genauere Bereitstellung von DNS/DHCP-Diensten, die Absicherung des DNS und den Umstieg auf hybride Clouds eine wichtige Rolle spielen. Diese Anwendungsszenarien ermöglichen es Unternehmen Kosten zu senken, ihre Serviceangebote zu verbessern, das Netzwerk abzusichern und Services in die Cloud zu migrieren.

Insbesondere wenn es um die IT-Sicherheit geht, sparen Unternehmen oft an Schulungen und Trainings. Und der ROI leidet...
Insbesondere wenn es um die IT-Sicherheit geht, sparen Unternehmen oft an Schulungen und Trainings. Und der ROI leidet...
Foto: create jobs 51 - shutterstock.com

Wenn Unternehmen Geld in IT-Lösungen investieren, sollen sich die Anschaffungen natürlich auszahlen. Leider hört die Investitionsbereitschaft oftmals mit der Beschaffung der Lizenzen auf. Doch das ist in vielen Fällen zu kurz gesprungen. Denn es lohnt sich Trainingsprogramme und Schulungen der Anbieter zu nutzen, um mit einer Investition wirklich durchstarten zu können. Ohne genaue Kenntnis der Funktionen und Möglichkeiten und ohne trainierte Handhabung von Neuanschaffungen kann das schwierig werden. Dann ist Enttäuschung vorprogrammiert und Zweifel an der Wirtschaftlichkeit einer IT-Investition werden laut.

Besonders wenig Beachtung erfahren in vielen Unternehmen Trainings für Produkte aus dem Bereich DDI/DNS-Security. Zwar sind Unternehmen durchaus bereit, diese angreifbare Stelle im Netzwerk zu schützen und in entsprechende Software zu investieren. Doch an den Produkttrainings für die Sicherheitslösungen wird allzu gern gespart. Die Folge: Die IT-Investition verharrt bei einem "Teilnutzen" und erzielt nicht den "return on investment" (ROI), der eigentlich möglich wäre - und von dem in der Investitionskostenberechnung ausgegangen wurde. Warum? Weil sich schlicht und einfach niemand wirklich auskennt und Mitarbeiter nach der technischen Implementierung mit neuen Tools und bestenfalls einem dicken Handbuch alleingelassen werden.

Inhouse-Know-how spart externe Kosten

Sicher: Auch Training kostet. Doch es rentiert sich in den allermeisten Fällen. Klar wird das an folgendem Rechenbeispiel: Angenommen, die Implementierung einer durchgängigen, unternehmensweiten DDI-Lösung beläuft sich auf rund 55.000 Euro externe Kosten. Wird hier von Anfang an eine Inhouse-Kraft durch ein intensives Training fachkundig mitgeschult, kann diese bereits in der Startphase bis zu 20 Prozent des Implementierungsaufwands selbst übernehmen - immerhin ein Gegenwert von 11.000 Euro. Deutlich darunter liegen die Kosten für das intensive Training eines Mitarbeiters mit knapp 7000 Euro. Kurz: 7000 Euro investiert, 11.000 Euro gespart - macht einen ROI von rund 57 Prozent.

Diese Rechnung lässt sich weiterführen, wenn sich zum Beispiel die Business-Anforderungen ändern oder Upgrades notwendig werden. Dann würden erneut Kosten für externen Support anfallen - die man sich jedoch getrost sparen kann, wenn das interne Personal über entsprechendes Know-how verfügt. Dass Schulungen darüber hinaus auch Mitarbeiterbindung und Motivation am Arbeitsplatz fördern können, weist zudem über den rein finanziellen Aspekt hinaus. Doch das ist noch nicht alles: Zwei Gründe sprechen dafür besonders im Bereich DDI-Security fundierte Inhouse-Expertise aufzubauen: Compliance und Hochverfügbarkeit.

Hohe Verfügbarkeit ist bares Geld wert

Der Schutz von Daten durch die Durchsetzung von Policies und Sicherheit kann durch Bewusstseinsbildung und praxisorientiertes Training verbessert werden. Aktuelles Compliance-Training behandelt in der Regel Fragen wie: Welche Steuerungsmaßnahmen sind nach Vorschriften wie Sarbanes-Oxley, HIPAA, PCI DSS etc. erforderlich? Wie können Sicherheitskontrollen implementiert, gepflegt, kontrolliert und gemeldet werden?

Generell hat der Schutz von Daten vor kompromittierenden Vorgängen via DNS Top-Priorität. Zwar gibt es spezifische Lösungen, um solche und andere Fälle zu verhindern. Doch unterm Strich gilt es, durch fortwährendes Lernen, Beobachten des eigenen Netzwerks und entsprechende Weiterbildung, Bedrohungen rechtzeitig zu erkennen und dementsprechend schnell auf die sich ständig verändernde Art der Angriffe zu reagieren. Denn Mirai, Dyn, WannaCry und Co. waren sicher nur Vorboten künftiger Angriffe - und Data Infiltration sowie Exfiltration erfreuen sich bei kriminellen Hackern wachsender Beliebtheit.

Beim zweiten kritischen Bereich, der Hochverfügbarkeit, gilt: Sie ist meist Voraussetzung für zahlreiche unternehmenskritische Prozesse. Will heißen: Der finanzielle Wert der Systemverfügbarkeit fällt immer dann besonders auf, wenn sich die Ausfallkosten nach einem Security-Problem rasant summieren. In einem IT-gestützten Produktionsbetrieb kommen zum Beispiel zu den Kosten der Systemsanierung noch der Ausfall der im Stillstand nicht produzierten Güter - sowie der unproduktive "Leerlauf" der Mitarbeiter. Solche Ausfallkosten können enorm sein - und türmen sich unter Umständen schnell auf, je nach Branche und Organisationsgröße.

80 Stunden Downtime pro Jahr gehen ins Geld

Der Wirtschaftsinformationsdienst Dunn & Bradstreet berichtet, dass 59 Prozent der Fortune-500-Unternehmen mindestens 1,6 Stunden ungeplante Ausfallzeiten pro Woche erleben. Auf das Jahr gerechnet ergibt dies mehr als 80 Stunden Downtime. Natürlich gibt es DDI-Lösungen, die selbst bei temporären Netzwerk-, Hardware- oder Service-Ausfällen Hochverfügbarkeit für eine Domain garantieren. Dennoch ist das Konfigurieren, Testen und Verwalten eines Hochverfügbarkeits-Systems keine triviale Aufgabe. Ursache für einen Fehler ist oft eine falsche Konfiguration des Hochverfügbarkeits-Systems. Durch gezielte Schulungen der Mitarbeiter lernen diese, die Risiken eines ungeplanten Ausfalls zu verringern, welcher letztlich eine Kosten-Kaskade auslösen würde.

Letztendlich spricht viel für weiterbildende Maßnahmen innerhalb des eigenen Unternehmens. Leider ist es immer noch vielerorts Realität, dass Unternehmen in ihrem Soll mit zwei Weiterbildungstagen pro Jahr eher ein "Pflichtprogramm" sehen. Das Problem liegt erstens darin, dass generell zu wenig Trainings angeboten werden und diese zweitens häufig den Aspekt DDI/DNS-Security vernachlässigen. So kommen viele Bereiche zu kurz, die es eigentlich wert wären, dass man sich ihnen intensiver widmet. Für Produkt-Schulungen im Bereich DDI/DNS-Security kann bereits eine einfache Kosten-Nutzen-Rechnung Argumentationshilfe leisten, damit sich das künftig ändert. (fm)