Schwerpunkt IT-Sicherheit: Security-Trends
Zu wenig Schutz
Der Film "Catch me if you can", in dem Leonardo DiCaprio alias Frank Abagnale mühelos alle Sicherheitskontrollen von Unternehmen durchbricht, ist nicht nur unterhaltsam, sondern kann auch als Lehrstück dienen. Denn der Meister der Täuschung, der übrigens einem realen Vorbild nachempfunden ist, hätte nach Meinung von Christoph Thiel, Sicherheitsexperte beim Fraunhofer Institut für Software- und Systemtechnik, tatsächlich gute Chancen, die Sicherheitshürden vieler deutscher Unternehmen zu überwinden. "Die oft allein technik-orientierten Sicherheitsstrategien bieten zu wenig Schutz für das sensible IT-System komplexer Geschäftsprozesse."
Auch die Meta-Group-Studie "IT-Security im Jahr 2003 - Status, Trends und StrategienStrategien" bescheinigt deutschen Unternehmen Nachholbedarf: Anfang 2003 hatten nur 25 Prozent eine dezidierte Sicherheitsorganisation, heißt es dort. Selbst von den großen Unternehmen mit mehr als 1000 Mitarbeitern verfügt nur gut die Hälfte (53 Prozent) über ein Sicherheitsteam - deutlich weniger als unter den Global-2000-Unternehmen, von denen 75 Prozent eine Security-Organisation installiert haben. Fazit der Analysten: Organisatorisch, personell und im Hinblick auf eine SecuritySecurity Policy gibt es hierzulande enorme Defizite. Alles zu Security auf CIO.de Alles zu Strategien auf CIO.de
Dass oft an der Sicherheit gespart wird, beobachtet auch Volkmar Eich, Infrastrukturberater mit Schwerpunkt Security bei der Unternehmensberatung Avanade: "Zwar ist das Bewusstsein für Sicherheitsfragen insgesamt gewachsen; bei Projekten in Zeiten kleiner Budgets steht die Sicherheitsfunktionalität aber häufig zuerst auf dem Prüfstand." Eine Berechnung der Kosten-Nutzen-Relation (RoSI = Return on Security Investment) sei nicht leicht und der Gewinn kaum bezifferbar. Wie kostspielig sind Imageschäden? Und wie lässt sich der Gewinn von Back-up-Systemen für Disaster Recovery oder Business Continuity berechnen, die schon in der Hoffnung angeschafft werden, dass sie für immer ungenutzt bleiben?
Schätzungen statt handfester Zahlen
"Jeder Kunde fragt nach dem RoI", hat auch Jörn Hüttges, Consultant beim IT-Dienstleister Steria, festgestellt. "Natürlich gibt es gängige Berechnungsmodelle, die auf Eintrittswahrscheinlichkeiten und Schadenhöhe basieren", so Christian Abel, IT-Security-Berater bei DMR Consulting. "Aber beide Werte beruhen eher auf Schätzungen als auf handfesten Zahlen." Noch komplizierter wird die Rechnung mit variablen Eintrittswahrscheinlichkeiten: "Ein Schaden tritt ja nicht immer zu 100 Prozent ein. Wenn man das berücksichtigt, muss man mit statistischen Methoden wie Szenarioplanung oder Monte-CarloAnalysen rechnen", weiß Abel, Mitautor des Whitepapers "RoSI - mehr Schein als Sein". Sein Fazit: Aufwendige Berechnungen sind nur bei größeren Projekten sinnvoll. Bei kleineren Vorhaben oder Standardinvestitionen rät er zur "Impfungsargumentation": Wie bei Impfungen ließe sich der Gewinn in Form verhinderter Schäden kaum exakt beziffern; dennoch stehe ihr Sinn außer Zweifel.
New-Yorker Börse setzt Standards
Zunehmend führen gesetzliche Regelungen zu SecurityInvestments: Datenschutzbestimmungen, "Basel II" und "KonTraG" zwingen Unternehmen, sich sowohl gegen unerlaubte Zugriffe zu schützen als auch einen unterbrechungsfreien Betrieb zu garantieren. Peter Ziegler, auf IT-Fragen spezialisierter Rechtsanwalt aus Landshut, sieht hier einiges auf deutsche Unternehmen zukommen: "An der New-Yorker Börse sind Pläne in Arbeit, die ein Business-Continuity-Konzept vorschreiben." Er rechnet damit, dass die Regelungen nächstes Jahr in Kraft treten. "Das trifft erst mal alle deutschen Unternehmen, die dort gelistet sind", erklärt der Jurist. Langfristig werden die neuen Standards nach seiner Einschätzung jedoch bis auf den deutschen Mittelstand durchschlagen.
Bisher steht es keineswegs überall zum Besten: Nach einer Studie, die das Sicherheitsunternehmen Veritas von Macarthur Stroud durchführen ließ, verfügen fast 20 Prozent von 670 befragten europäischen Unternehmen mit mehr als 500 Mitarbeitern nicht über einen Disaster-Recovery-Plan. Und selbst die, die sich für Notfälle gerüstet haben, sind nicht immer auf der sicheren Seite: Nur 2 Prozent von ihnen prüfen ihre Notfallpläne regelmäßig; bei fast 60 Prozent liegen sie seit mehr als einem Jahr ungetestet in der Schublade. Veritas macht als Hauptgrund die fehlende Verankerung im Business-Management aus und konstatiert gleichzeitig ein transatlantisches Gefälle: Während in den USA die Geschäftsführung in rund 90 Prozent der Unternehmen für Disaster Recovery verantwortlich zeichnet, sind es in Europa nur 12.