IT-Security – die richtige Risiko-Analyse
IT-Sicherheit zur sicheren Sache machen
IT-Security – die richtige Risiko-Analyse
Der schwierigste Part bei der Lösung des Sicherheitsproblems ist nicht die Suche nach der geeigneten Technologie; hier gibt es bereits genügend Optionen. Nehmen wir das Beispiel Firewall: Seit den ersten “Gatekeepers”, die Protokolle analysieren konnten, haben sich Firewalls zu ausgewachsenen Systemen entwickelt, die im Kern des Betriebssystems eingebettet sind, ganze Sessions analysieren und Probleme voraussehen können sowie in der Lage sind, Verbindungen zurückzusetzen, sobald sie zwischen harmlos aussehendem Verkehr ein gefährliches Paket entdecken.
“Die Schwierigkeit besteht darin, zu entsprechenden Entscheidungen des Firmen-Managements zu kommen”
Mit relativ wenig Overhead und hohen Erfolgsraten wurden Firewalls für die meisten Firmen zum Kernstück ihres Internet-Abwehrsystems. Doch wie viel sollte man in Firewalls investieren? Wie genau sollte man sie überwachen und verwalten? Wie oft sollte ein Upgrade stattfinden? Wie differenziert sollte das Netzwerk partitioniert und vor sich selbst geschützt werden? Sollte die Firewall mit einem Frühwarnsystem gegen unerwünschte Eindringlinge gekoppelt werden, und, wenn ja, auf welche Weise und betreut durch welche IT-Mitarbeiter?
In anderen Worten, die Schwierigkeit besteht darin, zu entsprechenden Entscheidungen des Firmen-Managements zu kommen. Solche Entscheidungen hängen natürlich von der Kosten-Nutzen-Analyse ab. IT-Sicherheitslösungen kosten oft sehr viel Geld, das gilt sowohl für den Erwerb als auch für Wartung und Kontrolle. Andererseits wird von diesen Lösungen erwartet, dass sie das Unternehmen vor Schäden durch Vertrauens-, Integritäts- und Informationsverlusten und damit auch vor finanziellen Verlusten schützen.
Jeder Informationseinheit kann man eine bestimmte Wertigkeit zuordnen. Eine Datenbank oder eine Datei zum Beispiel, deren Integrität beschädigt ist, kommt das Unternehmen in mehrfacher Hinsicht teuer zu stehen. Sie muss überprüft und repariert werden, und darüber hinaus könnte der Sicherheitsverlust Geldstrafen nach sich ziehen. Wird die Vertraulichkeit der entsprechenden Daten verletzt, muss das Unternehmen vielleicht einen wirtschaftlichen Vorteil gegenüber einem Konkurrenten in Kauf nehmen, was wiederum finanzielle Verluste bedeutet; und geht die Verfügbarkeit der Daten verloren, wäre womöglich der gesamte Betrieb unfähig, zu agieren.
Die richtige Kosten-Nutzen-Analyse hilft bei der Priorisierung
Um eine Kosten-Nutzen-Analyse zu erstellen, kann man jedem Risikofaktor einen Kostenfaktor zuordnen. Aber es gibt noch ein weiteres entscheidendes Element: Wie hoch ist die Wahrscheinlichkeit, dass das Risiko eintritt? Welches sind die widrigen Umstände, die dazu führen könnten? Ohne diese Umstände zu kennen, bleibt die ganze Risikoberechnung ein einziges Rätselraten. Ist die Wahrscheinlichkeit eines Risikos bekannt – sei es ein Hacker, ein krimineller Eindringling oder ein zerstörerischer Virus – , kann das Management die Kosten-Nutzen-Analyse als realistisches Hilfswerkzeug bei der Entscheidungsfindung einsetzen.
Dafür muss erforscht werden, wie viele der Risiken wirklich auftraten, wie viel Schaden sie angerichtet haben und mit welcher Wahrscheinlichkeit sie wieder eintreten. In anderen Worten, wir brauchen neben den Schutzmaßnahmen eine fundierte Kenntnis der Risiken. Dieses Wissen wird nur dann geschaffen und generell verfügbar, wenn Firmen ihre Erfahrungen in einer offenen, unvoreingenommenen Weise miteinander austauschen.
Ein Mangel an Kooperation und Kommunikation ist die eigentliche Schwäche unserer Informationsgesellschaft. Nicht anders als in jeder persönlichen Beziehung gilt es auch hier, öfter miteinander zu reden.