Kosten & Nutzen
IT-Security - der Weg ist das Ziel
von Hannes Fuchs
IT-Sicherheit ist nicht nur eine lästige Pflicht, sondern ein echter Wettbewerbsvorteil. Dabei denken viele immer noch an Firewall. Aber wie kann man überprüfen, ob die Investitionen in IT-Security wirklich angemessen sind?
Das Thema IT-Security steigt seit Jahren auf der IT-Agenda nach oben, weil die Angriffsflächen größer und Werkzeuge sowie Strukturen der Angreifer immer professioneller werden. Laut einer Studie von Forrester Research und Hiscox waren rund 46 Prozent der deutschen Unternehmen im Jahr 2021 einem Cyber-Angriff ausgesetzt. Die Dunkelziffer dürfte indes weitaus größer sein. Der deutschen Wirtschaft sei 2022 ein Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage entstanden, rechnete der IT-Verband BITKOM vor.
Das Problem: Je weiter sich die IT in andere Bereiche des Lebens und Arbeitens ausdehnt, desto vielschichtiger werden auch die Angriffsmöglichkeiten. Zog man früher Daten über Drucker oder Floppy-Laufwerke vor Ort ab, gelingt dies heute über Menschen, Netzwerke, Smartphones, Satelliten, Produktionsanlagen und Lücken in Applikationen. Die Liste der namhaften Organisationen, die einen Einbruch in ihre Systeme öffentlich einräumen (müssen), wird täglich länger. Und die Befragten unserer Umfrage zur IT-Agenda 2022 haben angegeben, dass Ihre Security-Budgets pro Jahr im Schnitt um rund 20 Prozent steigen.
Burgmauern sind schon lange keine Lösung mehr
Angesichts der Dynamik und der Dimension der IT-Angriffe verwundert es kaum, dass die Thematik für die meisten Beobachter bisweilen recht komplex wird. Hinzu kommt, dass sich der Fokus von der Blockade der Angriffe auf deren Erkennung, die adäquaten Reaktionen (Incident Management) sowie die Wiederherstellung der Systeme verschoben hat. Die Komplexität zeigt sich auch darin, dass inzwischen viele Begrifflichkeiten synonym genutzt werden, selbst wenn sie tatsächlich nicht deckungsgleich sind. Zwischen Datenschutz und Informationssicherheit liegen Welten, weshalb wir die wichtigsten Fachbegriffe rund um den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit hier einmal kurz erläutern.
Datenschutz bezieht sich auf personenbezogene Daten: Ziel ist der Schutz des allgemeinen Persönlichkeitsrechts natürlicher Personen. Hierzu werden in erster Linie Vorgaben und Regeln eingesetzt.
Datensicherheit beschäftigt sich mit dem Schutz aller Daten von Personen (Familienstand) und Organisationen (Konstruktionen, Pläne etc.). Hierzu werden in erster Linie technische Maßnahmen eingesetzt.
IT-Sicherheit oder IT-Security bezieht sich auf den Schutz von Informationen auf IT-Systemen, also in erster Linie Netzwerke, Server, Speicher und Peripherie. Ziel ist, Risiken durch Bedrohungen und Schwachstellen mit angemessenen Maßnahmen auf ein tragbares Maß zu reduzieren. Gegenmaßnahmen sind unter anderem Zugriffskontrollen, Verschlüsselung und Firewalls.
Product Security definiert und implementiert Maßnahmen zum Schutz der digitalen oder digital angereicherten (Endkunden)Produkte und Services vor Angriffen und Fehlern.
Informationssicherheit bezeichnet den Schutz von Informationen sowohl in digitaler als auch in analoger Form. Dabei kann es sich um einen Ausdruck der Lohnsteuer handeln sowie um eine Excel-Datei mit den Abmessungen eines neuen Autos. Organisatorische Maßnahmen und klare Anweisungen sorgen dafür, dass Unberechtigte nicht auf die Informationen zugreifen können, Berechtigte hingegen schon.
Kein Schutz von der Stange
Trotz der relativ klaren Abgrenzung in der Theorie kommt es immer wieder zu Überschneidungen. Und da es keine technischen Schutzmaßnahmen von der Stange für die verschiedenen Sicherheitsanforderungen gibt, behilft man sich mit externen Security-Standards als Richtschnur. Über gesetzliche Anforderungen, Normen oder Regulatorien für bestimmte Branchen soll zumindest ein einheitlicher Mindestschutz sichergestellt werden. Dazu zählen etwa die Normen der Serie ISO 2700 oder die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheits-Niveau (NIS 2).
Ist das IT-Sicherheitsniveau angemessen?
Die Frage, ob das Sicherheitsniveau einer Organisation und damit die Investitionen grundsätzlich angemessen sind, wird jedoch nicht geklärt. Dies betrifft beispielsweise eventuelle Lücken in der Verteidigung, die übersehen wurden. Schließlich ist Sicherheit nicht in Stein gemeißelt, sondern ein evolutionärer Prozess. Um das angemessene Niveau zu bestimmen, hilft beispielsweise ein Konsortial-Benchmark mit ähnlichen Peer-Unternehmen weiter.
Werden Leistungen im Bereich IT-Security von extern „as a Service“ bezogen, können diese Ausgaben zumindest in einem datenbasierenden Vergleich mit anderen IT-Organisationen bewertet werden. Security-Sourcing wird als Thema immer wichtiger, da sich IT-Organisationen und ihre Fachbereiche immer weiter öffnen – die Cloud ist hier nur ein Beispiel. Derartige Marktvergleiche erlauben es auch, die Sicherheit einer Organisation gezielt zu optimieren – von der Effizienz der Maßnahmen bis zu deren Effektivität. Unabhängig von der Initiative gilt in der IT-Sicherheit jedoch stets: Der Weg ist das Ziel.
Hannes Fuchs
Der Cloud- und Security-Enthusiast Hannes Fuchs ist seit über 15 Jahren als IT-Managementberater tätig. Seine inhaltlichen Schwerpunkte sind IT-Benchmarking, IT-Servicekataloge sowie datengestützte Analysen zur Optimierung von Serviceportfolio und -erbringung.