Für die Hersteller von Sicherheitssystemen steht außer Frage: Der Einsatz ihrer Lösungen zahlt sich für die Unternehmen sofort aus. Um die schnelle Amortisierung ihrer Lösungen zu begründen, verweisen sie auf Erhebungen, die sie in Eigenregie unternommen haben. Oder sie fahren Modellrechnungen auf, die wenig mit der Realität zu tun haben. Doch den tatsächlichen Zugewinn an Sicherheit zu messen und in geldwerte Vorteile umzumünzen - das ist so spezifisch wie das Unternehmen selbst.
Hier lesen Sie ...
-
welchen Informationsbedarf in Sachen Sicherheit die einzelnen Unternehmensbereiche haben;
-
wie sich die Notwendigkeit zusätzlicher Sicherheitsmaßnahmen messen lässt;
-
wie in zwei Fallbeispielen vorgegangen wurde.
Die Unterschiede beginnen mit den technischen, organisatorischen und verfahrensbezogenen Voraussetzungen. Hinzu kommt - je nach Branche, Kommunikationsbeziehungen, Kundennähe der Leistungen und Wettbewerbssituation - eine verschieden große Gefährdung durch Angriffe von Hackern, Industriespionen, Innentätern oder Terroristen. Zudem sind nicht alle Geschäftsdaten und -prozesse für das laufende Business gleichermaßen sensibel und schützenswert. Auch die Verfolgung und Einhaltung regulatorischer Vorschriften über geeignete Auditing-Werkzeuge trifft nicht alle Unternehmen gleich hart.
Investition und Ergebnis in einem vertretbaren Verhältnis
Die Investitionen in die Sicherheit des Geschäfts müssen in einem vertretbaren Verhältnis zum angestrebten Ergebnis, der Schadensvermeidung, stehen. An einer gründlichen Analyse der aktuellen Sicherheitssituation und ihrer potenziellen Auswirkungen auf das Geschäft führt also kein Weg vorbei. Der Vergleich mit Best Practices, wie sie beispielsweise in ISO 17799 und im BSI Grundschutzhandbuch beschrieben sind, kann helfen, Sicherheitslücken in Technik, Organisation und Verfahren zu identifizieren. Um die Notwendigkeit von Sicherheitsmaßnahmen bewerten zu können, hat allerdings jeder einen anderen Informationsbedarf:
-
Die Geschäftsführung interessiert sich für zweierlei: Ist das Unternehmen im akzeptablen Maße sicher? Und sind die Investitionen in die Sicherheit gerechtfertigt?
-
Auditing und Revision richten das Augenmerk auf die Gefahrenpotenziale: Mit welchen hohen, mittleren und niedrigen Risiken ist das Unternehmen konfrontiert?
-
Das Risiko-Managements fragt: Treten kritische Indikatoren auf, beispielsweise eine zu geringe Verfügbarkeit von Transaktionssystemen?
-
Die Sorge der IT-Sicherheit wiederum heißt: Wie werden die Sicherheitsanforderungen identifiziert und umgesetzt?
-
Und alle Bereiche wollen wissen: Wie wirksam sind die einzelnen Sicherheitsmaßnahmen? Und wie steht das Unternehmen im Vergleich zum Wettbewerb da?
Aus all diesen unterschiedlichen Blickwinkeln heraus wird das Unternehmen den konkreten Handlungsbedarf ermitteln und die Wirksamkeit einzelner Sicherheitsmaßnahmen sowie -investitionen ableiten. Denn eines steht außer Frage: Der größte Einspareffekt für die Unternehmen entsteht dadurch, dass zusätzliche Sicherheitsmaßnahmen nur dort umgesetzt werden, wo sie unbedingt notwendig sind.