Management und Wissen, Wirtschaftliche Sicherheit

 

Machen Sie das Beste aus Ihrem Budget?!

Wirtschaftlichkeitsaspekte der Informations- und IT-Sicherheit

Einige "klassische Fehler" hindern Sicherheits- und IT-Verantwortliche nicht selten daran, das Beste aus ihren üblicherweise begrenzten Mitteln herauszuholen. Zum Glück gibt es einige grundlegende Strategien, die auf mittlere und lange Sicht sowohl Sicherheit als auch Budgetnutzung optimieren.

Von Holger Gerlach und Michael Schäfer, Ulm

Das Leben von IT-Leitern und IT-Sicherheitsbeauftragten könnte so viel einfacher sein, wäre da nicht der limitierende Faktor des Budgets. In Zeiten fortwährender Innovation steht dabei gerade die Informations- und IT-Sicherheit regelmäßig in finanzieller Konkurrenz zu funktionalen Neuanschaffungen. Schlimmer noch: Mehr und neue Informationstechnik erhöht wiederum im Rückschluss das Risikopotenzial für die Geschäftsprozesse.

In Verbindung mit einer sich verschärfenden Bedrohungslage ergibt sich ein Spannungsfeld, das von IT-Verantwortlichen fordert, Investitionen in die Informations- und IT-Sicherheit zielgerichtet und bedarfsbezogen sowie möglichst ohne Fehlschläge zu tätigen. Dabei gilt es jedoch einige Hürden zu überwinden.

Mangelnde Transparenz

Wenn alles richtig läuft, erfüllen Maßnahmen zur Gewährleistung oder Steigerung der Informations- und IT-Sicherheit keinen Selbstzweck – sie ergeben sich vielmehr aus den Anforderungen der jeweiligen Geschäftsprozesse des Unternehmens. Vor allem für kritische Prozesse muss dazu der Anspruch an die viel zitierten IT-Grundwerte – Vertraulichkeit, Integrität und Verfügbarkeit – transparent sein. Zur Bemessung des zu realisierenden Sicherheitsniveaus ist darüber hinaus die Kenntnis über potenzielle Schadenshöhen und Eintrittswahrscheinlichkeiten erforderlich. Liegen diese Informationen nicht vor, kommt es aus betriebswirtschaftlicher Sicht typischerweise zu den nachfolgend beschriebenen nachteiligen Phänomenen.

Fehlende Bemessungsgrundlage für Kosten-Nutzen-Analysen

Der Kampf gegen die vielfältigen Bedrohungen im IT-Umfeld wird in vielen Unternehmen nach wie vor mit einer aufwändigen Materialschlacht geschlagen. Aber auch die Etablierung organisatorischer Maßnahmen – von simplen IT-Richtlinien bis hin zur Klassifizierung von Daten – gestaltet sich aufwändig.

Zwangsläufig stellt sich dabei die Frage, welches Maß an Sicherheit für ein Unternehmen tatsächlich angemessen und in diesem Sinne dann auch wirtschaftlich ist. Diese Frage kann einzig und allein aus den Geschäftsprozessen heraus beantwortet werden: Aus den potenziellen Unternehmensschäden durch einen Systemausfall, einen Datendiebstahl oder anderen Vorfall ergibt sich, in Verbindung mit einer praxisbezogenen Wahrscheinlichkeitseinschätzung, die Messlatte für sinnvolle und zielgerichtete Investitionen. Neben vergleichsweise einfach zu berechnenden Ausfallkosten sind unter anderem auch zu befürchtende Imageschäden in die Kalkulation mit einzubeziehen.

Ebenso ist es erforderlich, bezüglich der äußeren Bedrohungslage zu einer möglichst realistischen Einschätzung zu gelangen: Das notwendige Sicherheitsniveau und damit auch die entsprechenden Kosten sind deutlich höher, wenn das Unternehmen von gezielten Angriffen ausgehen muss. Ohne diese Informationen ist nur schwer zu entscheiden, an welcher Stelle und in welcher Form das Sicherheitsbudget sinnvoll eingesetzt werden kann. Darüber hinaus fehlt den IT-Verantwortlichen dann auch eine tragfähige Argumentationsgrundlage für Budgetverhandlungen mit der Geschäftsleitung. Fallen die zugewiesenen Summen in der Folge zu gering aus, verschärfen sich die finanziellen Aspekte des Themas noch weiter.

Maßnahmenumsetzung nach dem "Gießkannenprinzip"

An der einen Stelle mehr, an der anderen etwas weniger, zumindest überall ein bisschen und im schlimmsten Fall an einer Stelle gar nichts – so lautet das Ergebnis des immer noch häufig in Sachen Sicherheit praktizierten "Gießkannenprinzips". Sind die bereits beschriebenen Anforderungen aus den Geschäftsprozessen nicht transparent ableitbar und mangelt es außerdem am vollständigen Überblick zur betriebenen IT-Umgebung, muss dies zwangsläufig zu einer Unausgeglichenheit des Sicherheitsniveaus führen. Die hohen Investitionen in einem Bereich werden dann durch die Versäumnisse in einem anderen ad absurdum geführt.

Der Versuch, mittels des "Gießkannenprinzips" flächendeckend so viel Sicherheit wie irgend möglich zu realisieren, ist ebenfalls zum Scheitern verurteilt – diese Vorgehensweise lässt sich weder finanziell noch personell lange durchhalten. Ohne die Fähigkeit, gezielt und bedarfsbezogen in die Informations- und IT-Sicherheit zu investieren, stehen die IT-Verantwortlichen auf verlorenem Posten.

Hilfen beim Transparenz schaffen

Zur Vermeidung der beschriebenen Phänomene liefern das Informationssicherheitsmanagementsystem nach ISO/IEC 27001 (ISMS) sowie Risikoanalysen auf Basis von ISO/IEC 27005 die erforderlichen Werkzeuge. Diese Managementrahmenwerke werden bis dato jedoch häufig nur halbherzig oder überhaupt nicht in das IT-Management einbezogen.

Der geneigte Leser der relevanten Normen mag recht schnell von den umfangreichen Maßnahmenkatalogen aus IISO/IEC 27002 beziehungsweise dem IT-Grundschutz abgeschreckt sein. Zunächst gilt es jedoch lediglich elementare Managementsysteme zu etablieren, die darauf zielen, den Schutzbedarf der Geschäftsprozesse zu verstehen, einen aktuellen und vollständigen Überblick zur IT-Umgebung zu bewahren sowie zu nachvollziehbaren Risikobewertungen zu gelangen. Dabei sind die denkbaren Schadenszenarien in konkreten Eurobeträgen zu schätzen. Für die Wahrscheinlichkeitsrechnung können die Erfahrungswerte der Geschäftsprozessverantwortlichen von wertvollem Nutzen sein, wobei die möglichen Instrumente bis hin zu stochastischen Methoden reichen (z. B. der Monte-Carlo-Simulation).

Erst an nächster Stelle steht die Umsetzung der zahlreichen Maßnahmenvorgaben! Die beschriebene Vorarbeit lässt dann allerdings auch die erforderliche Bewertung einer wirtschaftlichen Angemessenheit solcher Maßnahmen zu. Existieren für die Realisierung einer Sicherheitsanforderung mehrere Lösungswege, ist in diesem Sinne auch stets zu hinterfragen, welche der Maßnahmen für sich selbst genommen das beste Kosten/Nutzen-Verhältnis aufweist. Auf einer solch fundierten Informationsbasis lässt sich dann auch in letzter Instanz und mit gutem Gewissen die Entscheidung treffen, bestimmte Maßnahmen nicht umzusetzen, soweit deren Kosten in keinem wirtschaftlichen Verhältnis zu den Risiken stehen.

Hilfreiche und hinderliche Vorgehensweisen zur Wirtschaftlichkeit der Informations-Sicherheit

Technik als Allheilmittel?

Der Trend, den zunehmenden Bedrohungen im IT-Umfeld mit immer noch mehr Soft- und Hardware zu begegnen, scheint ungebrochen. Diese Strategie stößt jedoch an Grenzen, deren Überschreitung die getätigten Investitionen rasch unwirksam und damit unwirtschaftlich werden lässt.

Technik löst keine organisatorischen Probleme

Ein Grund für den recht häufigen Griff in die technische Trickkiste liegt sicherlich in der erhofften Einfachheit entsprechender Soft- und Hardware-Lösungen – nicht von ungefähr ist dies auch eines der Hauptverkaufsargumente nahezu aller Anbieter. Liegen die grundlegenden Ursachen einer Sicherheitsschwachstelle jedoch innerhalb der IT-Organisation, lassen sich mit Technik bestenfalls Symptome bekämpfen.

Ein gängiges Beispiel hierfür ist die Automatisierung des Patchmanagements, obwohl unzureichende Patchlevel zunächst aus mangelndem Assetmanagement oder einer zu heterogenen Systemlandschaft resultieren. Ebenso wirtschaftlich bedenklich ist die Investition in zusätzliche "High-End-Technologie" oder erhoffte Innovationen, solange fundamentale Grundlagen, wie beispielsweise das Passwortmanagement oder das Rollen- und Rechtemanagement, noch nicht zuverlässig etabliert sind. Dies kommt dem Überstreichen von Rost an einem Fahrzeug gleich.

In diesem Zusammenhang sollte zusätzlich überlegt werden, ob vorhandene Bordmittel innerhalb von IT-Anwendungen bereits vollständig ausgeschöpft sind – als Beispiel ist die konsequente und fortdauernde Härtung von Betriebssystemen und Standardapplikationen zu nennen.

Eine besondere Facette bilden implementierte technische Lösungen, zu denen nach genauerer Betrachtung gar kein nennenswertes Problem existiert: Stößt ein Auditor auf derart gelagerte Fälle, lässt sich die Ursache häufig in einer ausgeprägten Technikbegeisterung oder in der Glanzleistung fleißiger Vertriebsmitarbeiter finden. Spätestens an dieser Stelle wird die Wichtigkeit fundierter Schutzbedarfs- und Risikoanalysen deutlich, um nicht an den Sicherheitsanforderungen des Unternehmen vorbei zu investieren.

Technische Lösungen brauchen organisatorische Strukturen

Selbstverständlich kann ein Mehr an Technik in vielen Fällen auch durchaus sinnvoll sein. Dabei ist aber darauf zu achten, den Weg zu Ende zu gehen: Technik kann ohne menschliches Zutun nicht allzu lange sicher funktionieren und auch künstliche Intelligenz wird den Menschen auf absehbare Zeit nicht vollständig ersetzen. Neue Soft- und Hardware ist daher in entsprechende Organisationsstrukturen zu integrieren – diese organisatorischen Faktoren müssen dann wiederum in die Kostenrechnung für Neuanschaffungen einbezogen werden.

Ein gutes Beispiel hierfür findet sich in Intrusion-Detection-Systemen (IDS), einer bewährten Technik, die auf Basis einer realistischen Erwartungshaltung gut funktionieren kann. Als letztendliches Ergebnis generieren solche Systeme eine mehr oder minder große Menge an Warnmeldungen. In der Praxis laufen diese Meldungen jedoch nicht selten ins Leere oder die verantwortlichen IT-Mitarbeiter verfügen nicht über die Kapazitäten zu ihrer zeitnahen Bearbeitung – hierdurch wird die Investition in das IDS so gut wie nutzlos.

Investition in unwirksame Technik

Angetrieben von zunehmenden Bedrohungen und steigenden Schutzbedürfnissen, wird der Markt von neuen Sicherheitslösungen regelrecht überschwemmt – die Marketingabteilungen vieler Anbieter überschlagen sich mit ihren Versprechungen. Doch gerade bei neuartigen Verfahren ist Vorsicht geboten: Was auf Produktflyern plausibel klingt, entpuppt sich bei genauerer Betrachtung nicht selten als die in Fachkreisen bezeichnete "Snake-Oil-Security" – kritische Zeitgenossen sprechen hierbei auch gerne von "Sicherheitsesoterik".

Typische Beispiele für Problembereiche reichen von unwirksamen Verschlüsselungsverfahren über die unsichere Übertragung von Authentifizierungsdaten bis hin zu grundlegenden Mängeln in der Softwarearchitektur. Die Lage wird zusätzlich verschärft, da entsprechende Schwachstellen auch etablierte Lösungen betreffen können.

Muss das Unternehmen von gezielten Angriffen auf seine IT-Umgebung ausgehen, bieten derart mangelhafte Produkte nur bedingt oder sogar gar keinen Schutz. Im letzteren Fall ist die Anschaffung dann nicht nur als Fehlinvestition sondern sogar als Klotz am Bein zu betrachten, sofern man den Mangel nicht erkennt. In diesem Zusammenhang gilt auch erneut die Empfehlung, Budgetausgaben zunächst auf die Grundlagenoptimierung zu richten, bevor man Ausflüge in "technologisch höhere Gefilde" macht.

Eins nach dem anderen!

Man kann es gar nicht genug betonen: Die Lösung der beschriebenen Probleme liegt im Wesentlichen in fundierter Grundlagenarbeit. Nebst den mittlerweile üblichen technischen Sicherheitsaudits ist zunächst anzuraten, auch die organisatorischen Sicherheitskonzepte im Unternehmen einer Prüfung zu unterziehen – eine Aufgabe, die sich ohnehin aus den bereits genannten Normen ergibt.

Diese Form von Audit erfolgt typischerweise durch Interviews mit den IT-Verantwortlichen, basierend auf umfangreichen Fragenkatalogen. Dabei sollte man besonders die Systemadministratoren sowie weitere relevante Personenkreise, wie Helpdesk-Mitarbeiter, einbeziehen: So lassen sich rasch die organisatorischen Schwachpunkte mit Auswirkung auf die Informations- und IT-Sicherheit identifizieren.

Bei der Betrachtung einzelner Problemstellungen empfiehlt sich eine so genannte Fehler-Ursachen-Analyse, bei der zielgerichtet die den sichtbaren Symptomen zugrunde liegenden Ursachen erforscht werden. Erst wenn die eigentliche Ursache einer Sicherheitsschwachstelle identifiziert ist, lässt sich die Entscheidung treffen, ob die Lösung technischer oder organisatorischer Natur ist oder aus einer Mischung beider Faktoren bestehen sollte.

Ein Beispielszenario hierfür ist der erfolgreiche Angriff auf die E-Business-Anwendung eines Unternehmens: Die naheliegende und impulsive Lösung des Problems wäre die Installation einer Web-Application-Firewall (WAF). Eine Fehler-Ursachen-Analyse könnte jedoch, ausgehend von kritischen Programmierfehlern in der Web-Anwendung, sehr wohl auch Schwächen im Software-Entwicklungsprozess sowie mangelndes Sicherheitsbewusstsein der Programmierer aufdecken. Die Beseitigung dieser Ursachen mag im ersten Moment etwas aufwändiger sein, auf lange Sicht ist sie jedoch nachhaltiger und damit auch wirtschaftlicher.

Sind Ursache(n) und Lösungsweg identifiziert, empfiehlt sich bei geplanten Neuanschaffungen eine Marktanalyse in Verbindung mit einer technischen Evaluierung deren Wirksamkeit. Grundlage hierfür bildet optimalerweise ein auf die individuellen Anforderungen des Unternehmens zugeschnittener Anforderungskatalog (Lastenheft) – auf dieser Basis können dann auch die benötigte Soft- und Hardware oder ein entsprechender Service ausgeschrieben werden. Die bessere Vergleichbarkeit der eingehenden Angebote ist dabei nur ein positiver Nebeneffekt von vielen. Innerhalb der darauf folgenden Evaluierung sind nicht nur die funktionalen Anforderungen des Unternehmens anhand einer Matrix zu prüfen, sondern auch die vom Anbieter versprochenen Produkteigenschaften kritisch zu hinterfragen.

Fazit

Trotz zunehmender Bedrohungen und steigendem Schutzbedarf ist für die Zukunft kaum zu erwarten, dass in Sachen Informations- und IT-Sicherheit Geld plötzlich keine Rolle mehr spielt. Somit stellt sich bis auf Weiteres die Herausforderung, gezielt und bedarfsbezogen in die Informations- und IT-Sicherheit zu investieren. Dabei ist die Identifikation und Bekämpfung der grundlegenden Ursachen von Sicherheitsschwachstellen auf lange Sicht die wirtschaftlichere Variante – anstatt nur Symptome zu übertünchen.

Die Grundlagen für solch wirtschaftliche Investitionen resultieren aus gründlicher Vorarbeit: Diese besteht einerseits aus der Umsetzung des Informationssicherheitsmanagements in Verbindung mit Risikoanalysen und andererseits aus der selbstkritischen Prüfung bestehender organisatorischer Sicherheitskonzepte. Wird dabei Handlungsbedarf in Form neuer Soft- und Hardware identifiziert, empfiehlt sich deren ausgiebige Evaluierung auf Basis eines individuellen Anforderungskatalogs.

Nach wie vor ist die Umsetzung der ISO-Normen 27001 und 27005 recht unbeliebt. Doch gerade die elementaren Bestandteile dieser Managementsysteme liefern die Grundlagen für eine betriebswirtschaftliche Maßnahmenbetrachtung! Daraus sollte die Motivation erwachsen, zumindest die wesentlichen Schritte des ISMS zu etablieren beziehungsweise die daraus resultierenden Kennzahlen konsequent zu nutzen. Konzeptbezogene Audits, Fehler-Ursachen-Analysen, die Definition verbindlicher Anforderungen sowie Systemevaluierungen mögen im ersten Moment ein Mehr an Arbeit und Kosten bedeuten – mittel- bis langfristig schützen diese Grundlagenarbeiten jedoch nicht nur vor Fehlinvestitionen, sondern sorgen beispielsweise auch für deutlich weniger Probleme in den Implementierungsphasen.

Am Ende schont die Fähigkeit, gezielt und bedarfsbezogen in die Informations- und IT-Sicherheit zu investieren, nicht nur den Geldbeutel des Unternehmens. Das wichtigste Endergebnis ist ein ganz Anderes: Ein deutliches Mehr an Sicherheit!

Holger Gerlach und Michael Schäfer sind Geschäftsführer der Schutzwerk GmbH.