IT-Sicherheit - das kalkulierte Risiko

Auswertung

Nun geht es an die Auswertung des Risikoportfolios. Eine Matrix visualisiert, an welchen Stellen Handlungsbedarf in Sachen Sicherheitsanforderungen besteht:

Die abzuleitenden Maßnahmen sind freilich sehr stark an den konkreten Kontext im Unternehmen gebunden. Eines ist aber klar: Wenn die Summe meiner Schutzmaßnahmen steigt, muss der Angreifer diese Summe erst einmal investieren, um mir einen Schaden zuzufügen. Gibt es also eine Maßnahme, für die ein Unternehmen zwar 150.000 Euro aufwenden muss, der Schaden sich aber von 2,5 Millionen auf ein akzeptables Risiko senkt, liegt die Umsetzung nahe.

"Wichtig ist, die 'Mauer' für den Angreifer so zu erhöhen, dass er gar nicht erst investiert, um hinter sie zu gelangen", erklärt Krafft. "Oft sind es auch schon kleine Maßnahmen, die eine Wirkung zeigen, wie die Einführung einer strengeren Password Policy, ein regelmäßiges Einspielen von Software-Updates oder ein Firewall-Check." Aber klar ist: Ein geringer Invest in die IT-Sicherheit steigert die Wahrscheinlichkeit für Angriffe und erhöht damit auch die Schadensumme. Fakt ist auch: Sicherheit kostet. Die Frage lautet für den IT-Verantwortlichen also nicht: Schutz oder Nichtschutz? Für ihn lautet sie viel eher: Intelligenter Schutz auf Basis eines berechneten Risikos - oder Absicherung nach dem Gießkannenprinzip? (sh)

8 Schritte zur richtigen Entscheidung