IT-Security

Wie viel Sicherheit ist nötig?

12.03.2009
Von Katharina Friedmann und
Sabine Prehl ist freie Journalistin und lebt in München.

Kosten versus Nutzen

Lutz Bleyer, Fiducia: Wir prüfen, ob der Schaden teurer wäre als die mögliche Gegenmaßnahme.
Lutz Bleyer, Fiducia: Wir prüfen, ob der Schaden teurer wäre als die mögliche Gegenmaßnahme.

IT-Security-Verantwortliche sollen auch ermitteln, inwieweit der finanzielle Aufwand für die Abwehr einer Bedrohung gerechtfertigt ist. Hierbei gilt es, die Kosten für eine Sicherheitsmaßnahme dem potenziellen Schaden durch das jeweilige Risiko gegenüberzustellen. Der Schaden wiederum bemisst sich an dem Wert der dadurch gefährdeten Assets beziehungsweise den voraussichtlichen Auswirkungen auf das Geschäft. Hundert Euro in eine Bedrohung zu investieren, die im schlimmsten Fall einen Schaden in Höhe von einem Euro nach sich ziehe, sei keine solide Geschäftsentscheidung, so Gartner. Das haben auch amtierende Security-Manager erkannt: "Wir schätzen die bestehenden Risiken ein und prüfen dann, ob die Kosten der Maßnahmen, die das jeweilige Risiko mindern würden, im Verhältnis zu dessen Schadenspotenzial stehen", schildert Lutz Bleyer das Vorgehen seines Unternehmens. Er ist Leiter Zentrale Security bei dem Banken-IT-Dienstleister Fiducia IT AG, der diese Aufgabe mit Hilfe eines auf ISO-Standards basierenden Sicherheits-Management-Systems meistert.

Problem Wertbestimmung

Als schwierig erweist sich laut Gartner-Consultant Casper nicht so sehr die Definition der Kosten, als vielmehr die Aufgabe, den Wert des zu schützenden Objekts oder Assets zu bestimmen. Asset-Werte basieren auf Faktoren wie der Kritikalität von Applikationen und Diensten, die von einem IT-System unterstützt werden, sowie dessen Wechselwirkung mit anderen Anwendungen und Infrastrukturkomponenten. Sie zu definieren ist laut Casper eine große, wenn auch nicht neue und vor allem nicht für die IT-Sicherheit spezifische Schwierigkeit. "Mit diesem Problem sahen sich Unternehmen bereits vor 20 Jahren konfrontiert - etwa beim Thema Asset-Management, aber immer auch dann, wenn von Business Continuity oder Geschäftsprozessoptimierung die Rede ist", rekapituliert der Analyst. Dabei sei Security nur eines von vielen Themen, die die Frage nach dem Wert der einzelnen Geschäftsprozesse, der dahinterstehenden Daten sowie der sie unterstützenden Systemen erneut aufwerfen. Zu lösen ist das Problem aus Sicht von Gartner letztendlich nur durch klare Bewertungsmaßstäbe und Verantwortlichkeiten.