Security als Firmenkapital statt Kostenpunkt

IT-Sicherheit: Das sind die Herausforderungen 2009

IT-Vorteile müssen betriebswirtschaftlich verständlich sein

Axel Diekmann, Kaspersky: IT-Sicherheit lässt sich natürlich nicht immer fair berechnen. Der CIO sollte aber die betriebswirtschaftlichen Gesamtzusammenhänge des Unternehmens verstehen. Er muss die Risiken durch eine ungenügende IT-Sicherheit weniger technisch, dafür eher betriebswirtschaftlich darstellen. Eine gängige Argumentation in Unternehmen geht dahin, dass Sicherheit keinen direkt messbaren Ertrag im Unternehmen bringen würde.

Oberflächlich betrachtet mag das stimmen, doch auf den zweiten Blick nicht. Denn Verlust – egal, ob er aufgrund mangelnder Vertriebsleistung oder aufgrund mangelnder Sicherheitsstrukturen auftritt – reduziert den erwarteten Gewinn merklich. Diese Botschaft muss vom CIO zum CFO transportiert werden. Sicherheit muss als Förderer der Chancen und damit des Unternehmensgewinns verstanden werden.

Hans-Peter Bauer, McAfee: „Gesamtlösungen tragen zur Compliance bei.“ (Quelle: McAfee)
Hans-Peter Bauer, McAfee: „Gesamtlösungen tragen zur Compliance bei.“ (Quelle: McAfee)

Hans-Peter Bauer, McAfee: Integrierte Gesamtlösungen können signifikant zu mehr Wirtschaftlichkeit – siehe Vendor-Konsolidierung, TCO etc. – und Kosteneffizienz speziell bei Compliance beitragen. Auch der Schutz vertraulicher Daten wiegt meistens die Kosten bei Weitem auf, die zu begleichen wären, wenn diese in die Hände unberechtigter Dritter geraten würden. Diese Sicherheitslösungen leisten auf lange Sicht einen erheblichen Beitrag zum Unternehmenserfolg bei.

Alexander Peters, Messagelabs: Admins müssen im Rahmen von Gesamtkostenanalysen ganz klar auch die entsprechenden Kostenpunkte aufführen, welche bei einem möglichen Sicherheitsproblem auftauchen könnten. Bei Anti-Virus-Lösungen sind dies beispielsweise die Kosten für die Bereinigung infizierter Systeme sowie eine Analyse des möglichen Schadens für das Unternehmen im Falle des Verlustes sensibler Daten an nicht-autorisierte Dritte. Hierfür sind natürlich auch Kenntnisse erforderlich in den Bereichen Risikoanalyse und IT-Recht.

Alexander Peters, Messagelabs: „Argumente mit harten Fakten untermauern.“ (Quelle: Messagelabs)
Alexander Peters, Messagelabs: „Argumente mit harten Fakten untermauern.“ (Quelle: Messagelabs)

Letztlich muss man der Geschäftsleitung und/oder dem CFO ein Business Case für die geplante Security-Lösung inklusive Alternativen und Selektionskriterien präsentieren können, welches mit Zahlen (also Euro) untermauert werden kann. Dies bedeutet jedoch unter Umständen, dass man sich von klassischen Lösungsansätzen, welche auf Soft- und Hardware basieren, loslösen muss, wenn dies technologisch und wirtschaftlich sinnvoller ist.

Hermann Klein, Stonesoft: Die Kosten eines Systemausfalls oder Datenverlusts/-diebstahls übersteigen die Kosten eines Security-Systems schnell. Wenn beispielsweise ein E-Commerce-System geknackt wird oder wegen Netzwerkattacken ausfällt, ist schnell immenser Schaden entstanden, ganz unabhängig von nachfolgenden Image- und Vertrauensproblemen bei Kunden und Partnern. Nicht zuletzt sind auch inzwischen eine wirksame IT-Security-Policy und Absicherung Bestandteil von Ratings, die die Kreditwürdigkeit eines Unternehmens beurteilen und direkten Einfluss auf Zinssätze und Kreditlimits haben.

Frank Schwittay, Trend Micro: Ein Administrator kann jederzeit mit folgenden Argumenten Überzeugungsarbeit leisten: Sicherheitssoft- oder -hardware wehrt Spam ab, wodurch weniger Speicherkapazität verloren geht. Ausfallzeiten durch Malware-Manipulationen werden verhindert oder minimiert, und die Gefahr, dass unternehmensrelevante und vertrauliche Daten das Unternehmen verlassen, wird deutlich reduziert.

Frank Schwittay, Trend Micro: „Admins müssen betriebswirtschaftlich argumentieren können.“ (Quelle: Trend Micro)
Frank Schwittay, Trend Micro: „Admins müssen betriebswirtschaftlich argumentieren können.“ (Quelle: Trend Micro)

Jedes dieser Argumente kann betriebswirtschaftlich beleuchtet und mit finanziellen Einbußen quantifiziert werden. Natürlich sind diese Größen in Unternehmen unterschiedlich ausgeprägt. Wenn jedoch ein Unternehmen, egal ob Mittelstand oder Großbetrieb, eine Stunde stillsteht, kann man den Verlust beziffern. Auch der Wert von Speicherkapazitäten kann beziffert werden, ebenso der Verlust bedingt durch Unternehmensspionage. Mit dieser Aufstellung dürfte der Administrator den Chief Financial Officer überzeugen können.

Monika Nordmann, Utimaco: Wo im nächsten Jahr aufgrund der verschärften Rezession Jobs verloren gehen und Mitarbeiter entlassen werden, sind sensible Unternehmensdaten einem erhöhten Risiko ausgesetzt. Selbst in normalen Zeiten ist die Datensicherheit durch nachlässige, aber auch unzufriedene Mitarbeiter gefährdet. Auch wenn die große Mehrheit der Mitarbeiter sich loyal verhält: Das Risiko, dass unternehmenskritische Daten in die falschen Hände geraten, steigt in wirtschaftsschwachen Zeiten deutlich. Zusätzlich steigen beispielsweise durch Wirtschaftsspionage die Bedrohungen von außen. Die Ausgaben für IT-Security gerade am Arbeitsplatz zahlen sich unter dieser Prämisse im nächsten Jahr ganz besonders aus.

In nächster Zeit werden die Compliance-Richtlinien weiter verschärft, was zusätzliche Investitionen in die IT-Sicherheit notwendig macht. Wer keine Maßnahmen ergreift, muss bei Datenverlusten auch mit hohem Imageverlust rechnen – und dass Kunden massiv abwandern. Ein deutlicher Rückgang der Kundenloyalität führt dann sehr schnell zu sinkenden Umsätzen, was in der Konsequenz die Existenz eines Unternehmens gefährden kann.

Michael Neumayr, Websense: In wirtschaftlich schwierigen Zeiten und unter Rahmenbedingungen, die den Weg für Firmenzusammenschlüsse und -aufkäufe bereiten, sind Fragen zur Sicherheit sensibler Daten besonders drängend. Wie etwa sind diese Daten bei einem Eigentümerwechsel geschützt? Kann ein unzufriedener Mitarbeiter, der das Unternehmen verlässt, sensible Daten mitnehmen? Wenn Unternehmen umstrukturiert werden, wissen Unternehmen dann immer noch, wo sich ihre essenziellen Informationen befinden?

All diese Fragen unterstreichen die Notwendigkeit einer wirksamen Strategie für Data Loss Prevention (DLP). Die Risiken von Datenverlusten lassen sich durch den Einsatz geeigneter Technologien reduzieren. Gerade unter den gegenwärtigen wirtschaftlichen Bedingungen lohnen sich Investitionen in innovative DLP-Technologien – und das zu überschaubaren Total Cost of Ownership (TCO). Denn die Kosten eines möglichen Datenverlustes und der damit verbundene Imageschaden übersteigen die Investitionen in DLP bei Weitem.

Für das Verständnis von Daten, Risiko und Geschäftsprozessen wird ein verlässliches System zur Datenrückverfolgung inklusive Erfassung der Zusammenhänge benötigt – eine Einschätzung der vielfältigen Aspekte der Nutzungssituation für einschlägige Bewertung und aussagekräftige Kontrollen. Wer heute investiert, wird nach Überwindung der aktuellen Rezession umso stärker im künftigen Wettbewerb dastehen.