Angesichts knapp bemessener IT-Budgets sehen sich auch Sicherheitsverantwortliche gezwungen, jeden investierten Cent zu rechtfertigen. Unternehmen wollen mittlerweile genau wissen, ob die Gelder, die sie für Security ausgeben, überzogen, zu knapp oder richtig bemessen sind. IT-Manager geraten zunehmend unter Druck: Sie müssen exakt belegen, wie ihre Security-Ausgaben dazu beitragen, die Gefahren für das Business abzuwenden.

Diese Frage zu beantworten ist nach Erfahrung von Sicherheitsexperten ebenso Kunst wie Wissenschaft - und erfordert zudem eine Portion Glück. Die folgenden Schritte können Security-Managern helfen, das richtige Maß zu finden.

Legen Sie fest, wie sicher Sie sein wollen

Wer wissen will, ob die in der eigenen Organisation implementierten Sicherheitsvorkehrungen den Geschäftsanforderungen gerecht werden, muss zunächst herausfinden, welches Sicherheitsniveau das Unternehmen überhaupt anstrebt. Weil sich Risiken nicht ganz ausschließen lassen, muss eine Firma entscheiden, mit wie viel potenzieller Bedrohung sie leben kann, rät Krag Brotby, auf Security-Governance spezialisierter Consultant bei der Information Systems Audit and Control Association (Isaca). Dabei gilt es, das exakte Ausmaß an Störung durch einen Sicherheitsvorfall zu bestimmen, das ein Unternehmen zu ertragen bereit ist, bevor es in die Abwehr potenzieller Bedrohungen investiert. In diesem Kontext seien folgende Fragen zu berücksichtigen:

• Wie viel würde das Unternehmen in die Abwehr eines Risikos investieren, das mit einer Wahrscheinlichkeit von eins zu zehn eine geschäftliche Störung verursacht, die Kosten von etwa 2000 Dollar nach sich zieht?

• Wie viel Geld würde die Organisation für die Abwehr derselben Bedrohung ausgeben, wenn diese einen finanziellen Schaden in Höhe von zehn Millionen Dollar anrichten könnte?

• Wie lange kann ein kritisches System ausfallen?

• Wie schnell muss die Wiederherstellung erfolgen?

• Gibt es Compliance-Vorgaben, die eingehalten werden müssen?

Mit dieser Art von Fragen sollten Sicherheitsverantwortliche die Geschäftsleitung konfrontieren, empfiehlt Isaca-Berater Brotby. Der daraus resultierende Verhandlungsprozess liefere gute Anhaltspunkte, welche Risikoauswirkungen als akzeptabel betrachtet werden, und ermögliche Security-Managern, ihre Planung entsprechend anzupassen.

Ordnen Sie IT-Assets einen Geschäftswert zu

Zu wissen, wie gravierend eine Bedrohung ist, reicht nach Erfahrung von Security-Managern nicht aus, um Risiken zu managen. Ebenso wichtig findet es John Meakin, Group Head Information Security bei der Standard Chartered Bank, über folgende Aspekte im Bild zu sein: die Wahrscheinlichkeit, mit der die Bedrohung in der eigenen Umgebung ausgenutzt wird, den Wert der dadurch gefährdeten Assets sowie die voraussichtlichen Auswirkungen auf das Geschäft. Nur mit diesem Wissen lasse sich beurteilen, ob die Kosten für die Abwehr einer Bedrohung gerechtfertigt seien.

"Ein risikogetriebener Ansatz ist ungemein befreiend, denn er ermöglicht es, traditionell lang befolgte Regeln zu hinterfragen", erläutert Meakin die Vorteile dieser Herangehensweise. Durch sie kann die Standard Chartered Bank etwa die Installation auch kritischer Security-Patches zurückstellen, wenn sie zu dem Schluss kommt, dass sich der Aufwand - gemessen an dem realen Bedrohungspotenzial - nicht lohnt. Ebenso kann es sich das Finanzinstitut eigenen Angaben zufolge erlauben, auf einige seiner internen Systeme unautorisierten Zugriff zu gewähren, da genügend kompensierende materielle Sicherheitskontrollen implementiert sind.

Eine Kernvoraussetzung für den risikogetriebenen Ansatz ist laut Meakin aber das Wissen um die Asset-Werte. Da nicht alle IT-Systeme auf dieselbe Weise entstanden und im selben Ausmaß Bedrohungen ausgesetzt sind oder das gleiche Risiko darstellen, sei es zwingend erforderlich, den IT-Assets einen Geschäftswert zuzuordnen. Asset-Werte basieren auf Faktoren wie der Kritikalität von Applikationen oder Diensten, die von einem IT-System unterstützt werden, sowie dessen Wechselwirkung mit anderen Applikationen und Infrastrukturkomponenten. So sei ein Active-Directory-Server, der viele geschäftskritische Anwendungen unterstütze, im Hinblick auf Business-Continuity meist ungleich wichtiger als ein Server, auf dem eine E-Mail-Applikation laufe, erklärt der Security-Manager.

Implementieren Sie ein Kontroll-Framework

Wer sich Klarheit über das angestrebte Sicherheitsniveau verschafft hat, muss die passenden Techniken sowie Management- und Prozesskontrollen wählen, um es zu erreichen und zu erhalten. Am besten gelingt dies mit einem internen Rahmenwerk, das Geschäfts- und RisikoManagement-Anforderungen in entsprechenden IT-Kontrollen abbildet. "Wer gute Entscheidungen treffen will, braucht ein Framework für das eigene Sicherheitsprogramm", mahnt Eric Litt, Chief Information Security Officer (CISO) bei General Motors. Standards wie Cobit (Control Objectives for Information and Related Technologies), ISO 17799/27001 und das Accounting-Risk-Management-Framework Coso unterstützen IT-Organisationen bei der Identifikation von Kontrollmechanismen, die dabei helfen, firmenspezifische Geschäftsanforderungen und gesetzliche Vorgaben zu erfüllen. Laut Litt lassen sich mit Hilfe der beiden Frameworks ISO 27001 und 27002 Sicherheitsrichtlinien definieren sowie Methoden und Prozesse entwickeln, um Risiko-Management und Compliance-Ziele zu erreichen.

Laut Marc Othersen, Analyst bei Forrester Research, lässt sich mit Hilfe eines formalen Rahmenwerks schnell eruieren, wie effektiv Kontrollmechanismen arbeiten, da jede Sicherheitskontrolle auf ein spezifisches Geschäfts- oder Compliance-Ziel abgebildet ist. "Es zeigt, wozu eine Kontrolle da ist, verknüpft Sicherheitskontrollen mit IT-Risiken und macht klar, was passieren würde, wenn bestimmte Vorkehrungen versagen", erklärt der Experte.

Messen Sie sämtliche IT-Sicherheitsaspekte

Unternehmen sollten Metriken nutzen, um sicherzustellen, dass die jeweiligen Kontrollziele erfüllt werden. Da sowohl die Zielgruppe für diese Messmethoden als auch ihr Zweck variieren können, ist es wichtig, alle Aspekte eines IT-Sicherheitsprogramms zu messen. Ein Messkonzept, das sich auf Betriebsdaten - etwa Firewall-Log- oder Antivirus-Daten - beschränke, biete keine Navigations- oder Management-Metriken, gibt Berater Brotby zu bedenken. "Wenn etwa die Policy-Compliance im eigenen Unternehmen zu wünschen übrig lässt, stellt sich die Frage nach der Ursache: Liegt es daran, dass die Mitarbeiter nicht wissen, wie sie die Richtlinien befolgen sollen, oder daran, dass sie die Policies ignorieren?" Um über Dinge wie diese Klarheit zu schaffen, hat General Motors ein vierschichtiges Mess-Framework eingeführt, mit dessen Hilfe der Automobilkonzern Leistungsdaten zu verschiedenen Aspekten des firmeninternen Security-Programms sammelt und analysiert.

Überwachen Sie alle Kontrollen

Die Einführung von Kontrollen zur Handhabung von Sicherheitsbedrohungen ist eine Sache - sie zu testen, zu überwachen und zu bewerten eine andere. "Wer Schlüsselkontrollen für kritische Prozesse etabliert hat, braucht ein kontinuierliches Monitoring, um sicherzustellen, dass sie auch funktionieren", stellt Brotby klar. Diese Art der Überwachung kann Teil eines IT-Governance-Programms oder einer Compliance- und Auditing-Initiative sein.

Viele Kontrollmechanismen, die Unternehmen für das Risiko-Management nutzen, wurden ursprünglich aus taktischen Gründen implementiert. So haben Firmen etwa Tools zur Analyse des Netzverhaltens in Reaktion auf Zero-Day-Bedrohungen eingeführt, die ungepatchte Softwareschwachstellen ausnutzen. Wichtig ist nach Ansicht des Beraters jedoch, Kontrollen stets mit spezifischen Geschäftsrisiken zu verknüpfen und dann zu überwachen, ob sie auch das tun, was sie sollen.