Am Bedarf vorbei investiert

Unternehmen wissen oft nicht, welche ihrer Daten besonders schützenswert sind. Sie investieren deshalb zu wenig zielgerichtet in IT-Sicherheit. Die Folge davon sind laufend steigende Ausgaben ohne spürbare Erhöhung der Sicherheit. [...]

Unternehmen sehen sich einer kontinuierlich wachsenden Zahl an Angriffen auf ihre technische Infrastruktur ausgesetzt. Auch die Methoden und Ziele von Hackern nehmen beständig zu, wobei oft nach wie vor die klassischen Angriffsmuster zum Erfolg führen. So steigt aktuell beispielsweise die Zahl massiver Distributed-Denial-of-Service-Attacken, bei dem Server mit einer Unmenge an Abfragen überflutet werden. Auch die zentralen Applikationen geraten immer mehr in den Mittelpunkt von Angriffen und lösen die IT-Infrastrukturen als Ziel Nummer Eins ab. Parallel dazu nimmt das Volumen der Informationen, die es in den Unternehmen zu verarbeiten und zu schützen gilt, gewaltig zu.

Security-Verantwortliche ringen deshalb schon lange mit ihren Vorgesetzten um mehr Investitionsbudgets für die Informationssicherheit. Doch es stellt sich die Frage, ob immer höhere Investitionen dem tatsächlichen Schutzbedürfnis und den wirtschaftlichen Pflichten gerecht werden oder ob die Investitionen nicht gezielter nach den tatsächlichen Sicherheitsbedrohungen eingesetzt werden müssten. Denn bislang wurde bei der Betrachtung des Schutzbedarfs vielfach in der Breite gedacht. Doch längst nicht jede Security-Gefahr erzeugt die gleichen Unternehmensrisiken und nicht alles ist in gleicher Weise schützenswert. Weil sich die Investitionsbudgets für die Informationssicherheit trotz aktueller Zuwächse nicht unbegrenzt steigern lassen, müssen die Firmen das bisherige Gießkannenprinzip aufgeben.

Das Gießkannenprinzip führt dazu, dass mitunter für den Schutz weniger relevanter Daten viel Geld ausgegeben wird, während höherwertigere Informationen mit geringerem Aufwand oder gar nicht geschützt werden. Stattdessen sollte sich verstärkt eine pragmatische selektive Investitionspolitik durchsetzen, die sich auf hoch bewertete Unternehmensrisiken konzentriert und bei den weniger kritischen Sicherheitsgefährdungen bewusst Restrisiken toleriert. Allerdings ist in vielen Unternehmen nicht klar, welche Informationen unter Sicherheitsaspekten von besonderer Relevanz sind. Insofern kommt der Informationswert-Ermittlung eine steigende Bedeutung zu. Wichtig sind dabei generell solche Daten, die für den Geschäftserfolg unbedingt nötig sind und deren Diebstahl oder Veränderung einen erheblichen Business-Schaden erzeugen können.

Ermittlung des Informationswertes
Da die Informationswerte bei Unternehmen sehr unterschiedlich sein können, lässt sich die Frage nach den schützenswerten Informationen nicht pauschal beantworten. So ist etwa die Web-Präsenz eines Baumaterialherstellers tendenziell weniger sicherheitsrelevant als die einer Online-Versicherung. Auch die Informationen zum Notfallmanagement eines Dienstleistungsunternehmens sind in der Regel weniger schützenswert als die eines Chemiekonzerns.

Legt man zur Typisierung Informationswerte-Cluster an, dann kennzeichnen sich Informationen mit einem hohen Schutzbedarf häufig dadurch, dass ihr Wert durch die Nutzung steigt. Dies betrifft etwa Forschungs- und Entwicklungsdaten, personenbezogene und biometrische Daten oder Vorstandsprotokolle. Zu den mittleren Informationswerten zählen hingegen zumeist solche, bei denen die Informationen im Zeitverlauf an Wertigkeit verlieren. Dazu gehören beispielsweise Geschäfts- und Finanzdaten, Konfigurationsdaten, Protokollierungen und Informationen über die IT-Infrastruktur. Die dritte Kategorie mit den Daten von niedrigem Informationswert charakterisiert sich oftmals dadurch, dass ein höheres Investitionsengagement zum Schutz der Informationen nicht zwangsläufig zu einem höheren Unternehmensnutzen führt. Dies betrifft in vielen Fällen Kunden- und Rechnungsdaten.

Um sich innerhalb der individuellen Identifikation seiner Kronjuwelen nicht zu verzetteln, ist es wichtig, durch gezielte Fragestellungen die mögliche Menge der schützenswerten Daten einzugrenzen:

  • Welche Informationen sind die kritischsten im Unternehmen?
  • Welche erzeugen den meisten Umsatz, welche sind am profitabelsten?
  • Welche Information ist im Falle eines Verlustes besonders kostspielig zu ersetzen?
  • Welche Daten halten die Prozesse aufrecht?
  • In welchen Fällen eines Datenverlustes droht ein beträchtlicher Imageschaden?
  • Welche Informationen haben für das Unternehmen oder für Angreifer einen hohen Marktwert, jetzt oder in der Zukunft?

Hilfreich für die firmenindividuelle Bewertung kann sein, Verlustszenarien nach dem C.I.A.-Prinzip durchzuspielen, das die drei wesentlichen Bedrohungen der Informationssicherheit abbildet: Confidentiality, Integrity und Availability, also Vertraulichkeit, Integrität und Verfügbarkeit. Mithilfe dieser Szenarien wird ermittelt, zu welchen konkreten Folgen der Verlust der Verfügbarkeit, der Integrität oder der Vertraulichkeit von Daten für die Geschäftstätigkeit führt. Die erwähnten Szenarien können eine konkrete Informationswert-Analyse jedoch nicht ersetzen. Sie beruht auf einem dreistufigen Vorgehen:

  • Analyse zur Transparenz der Informationswerte: Festlegung des Analyseumfangs in Bezug auf die Organisation und Prozesse, Ermittlung der in den Prozessen enthaltenen Informationen, Analyse ihrer Kritikalität und Wertschöpfung.
  • Bewertung der Informationen: Monetäre und immaterielle Bestimmung der Informationswerte sowie Risikobewertung und Business Threat Modeling mit Bedrohungsanalyse aus Sicht der Geschäftsprozesse.
  • Gezielte Maßnahmen zum Schutz der Informationswerte: Entwicklung eines Vorgehensplans mit Aktivitäten und Business Cases zur Absicherung der Informationswerte. Dazu Maßnahmen – dies können auch Separierungen hoher Informationswerte respektive die Nutzung von Datentreuhändern sein – für ein regelmäßiges Monitoring und Review. Die Budgetierung der Maßnahmen orientiert sich an den Informationswerten.

Business Threat Modeling
Eine große Bedeutung kommt bei der Bewertung der Informationswerte dem Business Threat Modeling zu. Traditionell findet es innerhalb der IT statt und bietet somit eine Innensicht mit Blick auf die technischen Risiken. Aus der Perspektive der Geschäftsprozesse ergibt sich jedoch eine völlig andere Sicht auf diese Risiken, die notwendig ist, um die Auswirkungen nicht ausreichend geschützter Informationen für das Business zu ermitteln. Aus diesem Grund müssen die möglichen Schäden bewertbar gemacht werden. Dies gilt sowohl für finanzielle Auswirkungen als auch für nicht-monetäre wie die Beeinträchtigung der Steuerungsfähigkeit, Imageschäden und rechtliche Probleme aufgrund einer nicht ausreichend geschützten IT.

Die bisher relativ nebulöse Entscheidungssituation bei den Investitionsplanungen in fast allen Unternehmen führt dazu, dass weitgehend undifferenziert möglichst viele Informationswerte unabhängig von ihrer Relevanz geschützt werden. Die Konsequenzen sind eine hohe Projektlast sowie hohe Ausgaben für Schutzmaßnahmen, die teilweise keinen nennenswerten Mehrwert für die Organisation erbringen. Es wird häufig viel Geld für Projekte ausgegeben, die keinen realen Zugewinn an Informationssicherheit bewirken. Eine systematische Ermittlung der Informationswerte beseitigt diese Schwäche bei der Definition des Investitionsumfangs und der Schwerpunkte und die tatsächlichen Bedarfe werden transparent. Im Ergebnis führt eine solche Informationswert-orientierte Investitionsstrategie zu einer nachhaltigen Minderung der notwendigen Budgets und gleichzeitig steigt das Sicherheitsniveau.

*Der Autor Detlev Henze ist Geschäftsführer der TÜV TRUST IT.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*