Aufwand/Nutzen in der IT-Security

Dass sich ein Unter­nehmen um Daten­schutz und Daten­si­cherheit kümmern muss ist unbe­stritten. Jedoch muss die Frage erlaubt sein: „Wieviel Aufwand bringt welchen Nutzen“? Gibt es über­haupt die Antwort?

Arbeits­ab­läufe in Unter­nehmen
Effi­ziente und reibungslose/störungsfreie Arbeits­ab­läufe sind in Unter­nehmen von zen­traler Bedeutung. Oftmals werden Sicher­heits­maß­nahmen in der IT als störend und zeit­in­tensiv wahr­ge­nommen. Für die Geschäfts­leitung stellt sich hierbei die Her­aus­for­derung ein sinn­volles und ange­mes­senes Maß an Daten­schutz und Daten­si­cherheit ein­zu­fordern und trotzdem den Arbeits­ablauf nicht zu gefährden.
Aber…was ist das richtige und ange­messene Ver­hältnis. Diese Frage lässt sich leider so pau­schal nicht beant­worten.

Maß­nahmen zur Sicher­heits­analyse
Es gilt zunächst sich das Gefähr­dungs­po­tential, das in seinem Unter­nehmen steckt deutlich zu machen. Anhand von Check­listen lässt sich sehr schnell auf­zeigen, wo Schwachstellen/Angriffsmöglichkeiten im Tages­ge­schäft des Unter­nehmens stecken (eMail-Kom­­mu­­ni­­kation, Einsatz von Laptops, Handys etc.). Hr. Dr. Andro­nache geht hier in seinem blog-Beitrag ent­spre­chend darauf ein:

Diesem Gefähr­dungs­po­tential gilt es nun Maß­nahmen gegen­über­zu­stellen, die es den poten­ti­ellen Angreifern erschweren, Schaden anzu­richten. Wichtig ist, dass durch pro­fes­sio­nelle Beratung (IT-Sicher­heits­­ex­­perte!) Sicher­heits­pro­dukte (Firewall, Anti­vi­ren­pro­gramm etc.) zum Einsatz kommen, die auf die Arbeits­ab­läufe und die Belange des Unter­nehmens ent­spre­chend abge­stimmt sind.

IT-Sicherheit muss „silent“ ablaufen
IT-Sicherheit wird oft als störend emp­funden, weil es Aufwand bedeutet (z.B. die Eingabe von Pass­wörtern oder der Einsatz von Zusatz­hardware etc.). IT-Sicher­heits­­­pro­­dukte müssen immer dann in Erscheinung treten, wenn „Gefahr“ in Verzug ist; d.h. sobald ich z.B. einen PC anschalte und für private oder geschäft­liche Belange nutze, setze ich mich bewusst oder unbe­wusst der Gefahr aus, aus­ge­späht, mani­pu­liert etc. zu werden. Hier sind einfach (e) „Sicher­heits­bar­rieren“ not­wendig, die nur der Anwender kennt und kein anderer „über­winden“ kann bzw. es ihm sehr erschwert wird. Die Geschäfts­leitung muss der Beleg­schaft deutlich machen, dass IT-Sicherheit keine Schikane ist, sondern eine zwin­gende Not­wen­digkeit.

Prä­vention ist weniger (Kosten-)Aufwand
Dras­tische Bei­spiele in der Cyber­kri­mi­na­lität machen deutlich, wieviel Mehr­aufwand in der Ermittlung des Schadens und Wider­her­stellung der Daten­ver­luste bei der Scha­dens­re­gu­lierung steckt. Die Kosten den Urzu­stand wieder her­zu­stellen über­steigen in den meisten Fällen bei weitem den Kos­ten­aufwand für die Prä­vention. Die Inves­tition in gute IT-Security-Pro­­­dukte ist eine loh­nende Maß­nahme für die Zukunft und den Erhalt des Pro­duk­ti­ons­be­triebes und des Image des Unter­nehmens. Sich ein­ge­stehen zu müssen, zu wenig für die IT-Sicherheit getan zu haben wäre ein Vorwurf, der ver­meidbar ist.
Sie stellen ihr teures Mountain-Bike/­­Rennrad ja sicher auch nicht unab­ge­sperrt am Bahnhof ab, oder?

Fazit:
Es gibt m.E. kein Patent­rezept für den maß­vollen Einsatz von IT-Security-Pro­­­dukten. Sich mit dem Thema aus­ein­an­der­zu­setzen und mit einem Experten den sinn­vollen Einsatz zu besprechen ist zwingend und Aufgabe der Geschäfts­leitung. Gar nichts zu unter­nehmen, weil es ver­meintlich zu auf­wändig ist, wäre der absolut falsche Weg.

Wei­ter­füh­rende Infor­ma­tionen dazu finden Sie im Leit­faden für Mit­ar­beiter und Sicher­heits­mo­nitor 2015.

Bild: © Rainer Sturm/ pixelio.de