Echte IT-Sicherheit ist vielen Firmen zu teuer

Manager sind routinierte Denk-Profis, die tagein, tagaus nichts anderes tun, als Situationen zu analysieren, Szenarien durchzugehen und Probleme zu sezieren. Sie sind im Normalfall jederzeit in der Lage, die Gesetze der Logik mühelos und zielgerichtet anzuwenden.

Aber sie tun dies nicht immer. Eine Abweichung vom stringenten Denken hält sich hartnäckig bei der IT-Sicherheit. Hier agieren viele Manager in den Top-Etagen, aber oftmals auch in den IT-Fachabteilungen immer wieder entgegen jeglicher Logik und Wahrscheinlichkeit. Gerade dort haben aber die jeweiligen Denkfehler über kurz oder lang fatale Folgen.

Die Diskrepanz zwischen Verständnis und Handeln zeigt sich in einer aktuellen Studie von NTT Security. Dafür wurden 1000 Business-Entscheider aus sieben Ländern, unterschiedlichen Branchen und Unternehmen jeder Größe zu ihrer Einschätzung bei der IT-Sicherheit befragt.

Das Ergebnis in Kurzform: widersprüchliche Angaben, vor allem dann, wenn es ums Geld geht. Vielen Führungskräften ist die massive Bedrohung durchaus bekannt, und trotzdem agieren sie zu zurückhaltend und investieren viel zu wenig, um die IT ihres Unternehmens zu schützen.

Mahner werden mit dem Hinweis ab­gespeist, dass Budgets für notwendige Modernisierungen nicht zur Verfügung stehen, da das eigene Unternehmen nicht im Fokus von Angreifern steht oder hier ohnehin noch nie etwas passiert ist. Wer so argumentiert, verkennt die rasante Entwicklung der IT-Gefahren.

Der Wert der Daten steigt unaufhaltsam an. Nicht nur, weil die Unternehmen immer mehr Daten speichern, sondern auch, weil sie immer kritischere Daten vorhalten. Dazu gehören operative Produktionsdaten, die, wenn gelöscht, schnell Millionenverluste verursachen können, weil zum Beispiel eine Produktionsstraße steht, des Weiteren Daten von Kunden und Interessenten, die auf keinen Fall in falsche Hände oder in die Öffentlichkeit geraten dürfen, oder auch Intellectual-Property-Daten über streng geheime Produktentwicklungen oder Strategien, deren Entwendung ein Unternehmen in den Ruin treiben kann, wenn sie bei skrupellosen Wettbewerbern landen.

Unternehmensdaten müssen stets verfügbar sein. Ist das nicht mehr der Fall, etwa weil Hacker komplette Server zwecks Erpressung verschlüsseln oder weil sie DDoS-Attacken durchführen, um ganze Server-Farmen in die Knie zu zwingen, ist ein Unternehmen so gut wie gelähmt. Dann wird der tatsächliche Wert von Daten wirklich greifbar: Sie sind im Grunde unbezahlbar. Die heutige globale Wirtschaft hängt am Tropf der Informationen und Datenbanken.

In einem Umfeld mit solcher Brisanz sollten Unternehmen ihre Daten nicht einfach nur „gut schützen“, sondern alle nur denkbaren Anstrengungen in Erwägung ziehen, um erstens den unerlaubten externen Zugang zu ihrer IT-Infrastruktur wirksam zu blockieren, und zweitens etwaige unachtsame Mitarbeiter oder gar getarnte Profi-Spione daran zu hindern, Daten unberechtigterweise zu sichten, zu kopieren, zu speichern, zu verändern oder zu löschen.

Nicht einmal jeder vierte Befragte der Studie (22 Prozent) war der Meinung, dass die Gesamtheit der Daten in seinem Unternehmen „vollständig sicher“ gespeichert sei. Im Umkehrschluss heißt das ja wohl, dass die große Mehrheit der Befragten davon ausgeht, Daten seien in ihrem Unternehmen zumindest teilweise nicht ausreichend geschützt.

Gleichzeitig erwarten rund zwei Drittel der befragten Entscheider (65 Prozent) in absehbarer Zeit einen Einbruch, der die IT-Sicherheit kompromittiert und das Unternehmen eine Menge Geld kostet. Die Befragten schätzen den Verlust im Schnitt auf rund 900.000 Dollar.

Wenn der Einbruch auch Außenstehenden bekannt wird, kommt höchstwahrscheinlich weiterer Schaden hinzu: Kunden verlieren ihr Vertrauen in das Unternehmen und die Reputation am Markt leidet. So etwas kann schnell zu einem empfindlichen Umsatzeinbruch führen, der sich aber nur schwer quantifizieren lässt.

Es gibt weitere irritierende Ergebnisse in der Studie. Für 73 Prozent der Manager in der Vorstandsetage oder in der Geschäftsleitung, so erklären die Befragten, hat die Einhaltung der IT-Sicherheit eine „vorrangige“ Priorität. Spätestens seit der NSA-Affäre ist IT-Security offensichtlich ins Bewusstsein auch derjenigen Unternehmenslenker gerückt, die sich nicht primär mit IT beschäftigen. Doch dieses Bewusstsein spiegelt sich nicht in den Budgets wider.

Für IT-Sicherheit geben Unternehmen nicht nur deutlich weniger aus als für Marketing, Vertrieb, Entwicklung, Human Resources oder andere Bereiche. Die Gelder für IT-Sicherheit stammen auch aus unterschiedlichen Bereichen – sowohl aus dem IT-Gesamtetat als auch aus dem operativen Betrieb. Diese unterschiedlichen Geldquellen sind gleichzeitig ein Indiz für eine altbekannte, aber unglückliche Organisationsstruktur: IT-Sicherheit wird in vielen Unternehmen nämlich nicht zentral organisiert, sondern ist getrennt in den unterschiedlichen, historisch gewachsenen IT-Subbereichen wie Netzwerke, CRM oder ERP beheimatet, wo die jeweiligen Bereichsverantwortlichen ihre eigene, isolierte IT-Sicherheitsstrategie verfolgen. Es ist auch ein offenes Geheimnis, dass sie sich nur ungern untereinander abstimmen und oft isolierte Inseln wie zum Beispiel SAP-Umgebungen existieren. Das führt dazu, dass die Sicht von oben fehlt und eine allumfassende IT-Sicherheitsstrategie kaum durchführbar ist.

Zwar verbessert die Mehrzahl der Unternehmen ständig die Features und Prozesse ihrer IT-Sicherheit. Angesichts des verbreiteten Sicherheits-Silodenkens in den Unternehmen ist allerdings davon auszugehen, dass wohl an vielen Sicherheitsstellschrauben in den einzelnen IT-Bereichen gedreht wird, die nicht miteinander verbunden sind.

Nach Effizienzwunder klingt das nicht gerade. So ist es auch nicht überraschend, dass die überwiegende Anzahl der Unternehmen, mit denen NTT Security regelmäßig spricht, davon ausgeht, dass unentdeckte Schwachstellen in der IT-Sicherheit lauern, die IT-Sicherheit also nicht auf dem neuesten Stand ist. Angesichts hoch professioneller Angreifer mit flexiblen und gezielten Strategien ist das alarmierend.

Der Zustand der IT-Sicherheit in vielen Unternehmen ist also desillusionierend. Eine konzertierte Aktion aller Akteure wäre wünschenswert, um die Situation zu analysieren und verbindliche Ziele zu definieren. Dazu gehören:

Mit den Budgets für IT-Sicherheit ist es so eine Sache: Führungskräfte geben sie oft nur widerwillig frei, weil sie einerseits den unmittelbaren Nutzen nicht begreifen, andererseits dem allgemeinen Rendite-Druck unterliegen und seit vielen Jahren die Kostensenkung im Mittelpunkt steht. In diesem Spannungsverhältnis haben die wenigsten die Spendier­hosen an. Damit sind sie aber auch Mitgestalter der Misere, denn mit knappen Sicherheitsbudgets kann die IT-Abteilung eben auch nicht zaubern. Umso wichtiger ist ein detailliertes Reporting mit den harten Zahlen über versuchte und tatsächliche Einbrüche in die IT-Infrastruktur. Leistungen müssen transparent gemacht werden.

Vielleicht müssen Führungskräfte andersherum denken: Statt sich damit zu beschäftigen, wie teuer IT-Sicherheit ist, könnten sie sich überlegen, was es kostet und welche Konsequenzen es hat, wenn die IT nicht ausreichend geschützt ist. Das kann nicht nur exorbitant viel teurer werden, sondern sehr schnell das gesamte Unternehmen gefährden. Diese rationale Sichtweise sollte in den Köpfen der Entscheider fest verankert sein.