Unternehmen wissen oft nicht, welche ihrer Daten besonders schützenswert sind. Sie investieren deshalb zu wenig zielgerichtet in IT-Sicherheit. Die Folge davon sind laufend steigende Ausgaben ohne spürbare Erhöhung der Sicherheit. [...]
Unternehmen sehen sich einer kontinuierlich wachsenden Zahl an Angriffen auf ihre technische Infrastruktur ausgesetzt. Auch die Methoden und Ziele von Hackern nehmen beständig zu, wobei oft nach wie vor die klassischen Angriffsmuster zum Erfolg führen. So steigt aktuell beispielsweise die Zahl massiver Distributed-Denial-of-Service-Attacken, bei dem Server mit einer Unmenge an Abfragen überflutet werden. Auch die zentralen Applikationen geraten immer mehr in den Mittelpunkt von Angriffen und lösen die IT-Infrastrukturen als Ziel Nummer Eins ab. Parallel dazu nimmt das Volumen der Informationen, die es in den Unternehmen zu verarbeiten und zu schützen gilt, gewaltig zu.
Security-Verantwortliche ringen deshalb schon lange mit ihren Vorgesetzten um mehr Investitionsbudgets für die Informationssicherheit. Doch es stellt sich die Frage, ob immer höhere Investitionen dem tatsächlichen Schutzbedürfnis und den wirtschaftlichen Pflichten gerecht werden oder ob die Investitionen nicht gezielter nach den tatsächlichen Sicherheitsbedrohungen eingesetzt werden müssten. Denn bislang wurde bei der Betrachtung des Schutzbedarfs vielfach in der Breite gedacht. Doch längst nicht jede Security-Gefahr erzeugt die gleichen Unternehmensrisiken und nicht alles ist in gleicher Weise schützenswert. Weil sich die Investitionsbudgets für die Informationssicherheit trotz aktueller Zuwächse nicht unbegrenzt steigern lassen, müssen die Firmen das bisherige Gießkannenprinzip aufgeben.
Das Gießkannenprinzip führt dazu, dass mitunter für den Schutz weniger relevanter Daten viel Geld ausgegeben wird, während höherwertigere Informationen mit geringerem Aufwand oder gar nicht geschützt werden. Stattdessen sollte sich verstärkt eine pragmatische selektive Investitionspolitik durchsetzen, die sich auf hoch bewertete Unternehmensrisiken konzentriert und bei den weniger kritischen Sicherheitsgefährdungen bewusst Restrisiken toleriert. Allerdings ist in vielen Unternehmen nicht klar, welche Informationen unter Sicherheitsaspekten von besonderer Relevanz sind. Insofern kommt der Informationswert-Ermittlung eine steigende Bedeutung zu. Wichtig sind dabei generell solche Daten, die für den Geschäftserfolg unbedingt nötig sind und deren Diebstahl oder Veränderung einen erheblichen Business-Schaden erzeugen können.
Ermittlung des Informationswertes
Da die Informationswerte bei Unternehmen sehr unterschiedlich sein können, lässt sich die Frage nach den schützenswerten Informationen nicht pauschal beantworten. So ist etwa die Web-Präsenz eines Baumaterialherstellers tendenziell weniger sicherheitsrelevant als die einer Online-Versicherung. Auch die Informationen zum Notfallmanagement eines Dienstleistungsunternehmens sind in der Regel weniger schützenswert als die eines Chemiekonzerns.
Legt man zur Typisierung Informationswerte-Cluster an, dann kennzeichnen sich Informationen mit einem hohen Schutzbedarf häufig dadurch, dass ihr Wert durch die Nutzung steigt. Dies betrifft etwa Forschungs- und Entwicklungsdaten, personenbezogene und biometrische Daten oder Vorstandsprotokolle. Zu den mittleren Informationswerten zählen hingegen zumeist solche, bei denen die Informationen im Zeitverlauf an Wertigkeit verlieren. Dazu gehören beispielsweise Geschäfts- und Finanzdaten, Konfigurationsdaten, Protokollierungen und Informationen über die IT-Infrastruktur. Die dritte Kategorie mit den Daten von niedrigem Informationswert charakterisiert sich oftmals dadurch, dass ein höheres Investitionsengagement zum Schutz der Informationen nicht zwangsläufig zu einem höheren Unternehmensnutzen führt. Dies betrifft in vielen Fällen Kunden- und Rechnungsdaten.
Um sich innerhalb der individuellen Identifikation seiner Kronjuwelen nicht zu verzetteln, ist es wichtig, durch gezielte Fragestellungen die mögliche Menge der schützenswerten Daten einzugrenzen:
- Welche Informationen sind die kritischsten im Unternehmen?
- Welche erzeugen den meisten Umsatz, welche sind am profitabelsten?
- Welche Information ist im Falle eines Verlustes besonders kostspielig zu ersetzen?
- Welche Daten halten die Prozesse aufrecht?
- In welchen Fällen eines Datenverlustes droht ein beträchtlicher Imageschaden?
- Welche Informationen haben für das Unternehmen oder für Angreifer einen hohen Marktwert, jetzt oder in der Zukunft?
Hilfreich für die firmenindividuelle Bewertung kann sein, Verlustszenarien nach dem C.I.A.-Prinzip durchzuspielen, das die drei wesentlichen Bedrohungen der Informationssicherheit abbildet: Confidentiality, Integrity und Availability, also Vertraulichkeit, Integrität und Verfügbarkeit. Mithilfe dieser Szenarien wird ermittelt, zu welchen konkreten Folgen der Verlust der Verfügbarkeit, der Integrität oder der Vertraulichkeit von Daten für die Geschäftstätigkeit führt. Die erwähnten Szenarien können eine konkrete Informationswert-Analyse jedoch nicht ersetzen. Sie beruht auf einem dreistufigen Vorgehen:
- Analyse zur Transparenz der Informationswerte: Festlegung des Analyseumfangs in Bezug auf die Organisation und Prozesse, Ermittlung der in den Prozessen enthaltenen Informationen, Analyse ihrer Kritikalität und Wertschöpfung.
- Bewertung der Informationen: Monetäre und immaterielle Bestimmung der Informationswerte sowie Risikobewertung und Business Threat Modeling mit Bedrohungsanalyse aus Sicht der Geschäftsprozesse.
- Gezielte Maßnahmen zum Schutz der Informationswerte: Entwicklung eines Vorgehensplans mit Aktivitäten und Business Cases zur Absicherung der Informationswerte. Dazu Maßnahmen – dies können auch Separierungen hoher Informationswerte respektive die Nutzung von Datentreuhändern sein – für ein regelmäßiges Monitoring und Review. Die Budgetierung der Maßnahmen orientiert sich an den Informationswerten.
Business Threat Modeling
Eine große Bedeutung kommt bei der Bewertung der Informationswerte dem Business Threat Modeling zu. Traditionell findet es innerhalb der IT statt und bietet somit eine Innensicht mit Blick auf die technischen Risiken. Aus der Perspektive der Geschäftsprozesse ergibt sich jedoch eine völlig andere Sicht auf diese Risiken, die notwendig ist, um die Auswirkungen nicht ausreichend geschützter Informationen für das Business zu ermitteln. Aus diesem Grund müssen die möglichen Schäden bewertbar gemacht werden. Dies gilt sowohl für finanzielle Auswirkungen als auch für nicht-monetäre wie die Beeinträchtigung der Steuerungsfähigkeit, Imageschäden und rechtliche Probleme aufgrund einer nicht ausreichend geschützten IT.
Die bisher relativ nebulöse Entscheidungssituation bei den Investitionsplanungen in fast allen Unternehmen führt dazu, dass weitgehend undifferenziert möglichst viele Informationswerte unabhängig von ihrer Relevanz geschützt werden. Die Konsequenzen sind eine hohe Projektlast sowie hohe Ausgaben für Schutzmaßnahmen, die teilweise keinen nennenswerten Mehrwert für die Organisation erbringen. Es wird häufig viel Geld für Projekte ausgegeben, die keinen realen Zugewinn an Informationssicherheit bewirken. Eine systematische Ermittlung der Informationswerte beseitigt diese Schwäche bei der Definition des Investitionsumfangs und der Schwerpunkte und die tatsächlichen Bedarfe werden transparent. Im Ergebnis führt eine solche Informationswert-orientierte Investitionsstrategie zu einer nachhaltigen Minderung der notwendigen Budgets und gleichzeitig steigt das Sicherheitsniveau.
*Der Autor Detlev Henze ist Geschäftsführer der TÜV TRUST IT.
Be the first to comment