Erhöhtes Sicherheitsrisiko

Laut der Deloitte-Umfrage „Losing Ground – 2009 TMT Global Security Survey“ sinken derzeit die Gesamtinvestitionen in Sicherheit parallel zur Konjunkturentwicklung. Der zunehmende Kostendruck auf IT-Budgets  ist zu einem branchenübergreifenden Risikofaktor für die Informationssicherheit geworden. Gleichzeitig steigt das Risiko durch verunsicherte oder unzufriedene Mitarbeiter hinsichtlich Datendiebstahl und Wirtschaftsspionage. Experten schätzen, dass über die Hälfte entlassener Mitarbeiter, aus Sorge um die finanzielle Zukunft oder auch aus Rache, vertrauliche Daten des Arbeitgebers mitgehen lassen. Nicht umsonst steht das Thema „Information Leakage Prevention“ derzeit hoch im Kurs.

Stellenwert der IT-Sicherheit

Welchen Stellenwert hat die IT-Sicherheit also in der Krise? Meiner Meinung nach zeigt sich gerade in der Krise, dass im Vergleich mit anderen Anforderungen (Kosten, Bequemlichkeit, große Funktionalität, etc.), die IT-Sicherheit insgesamt einen zu geringen Stellenwert hat und eher als Kostenfaktor statt Gewinnfaktor angesehen wird. Der aus einer Initiative entstandene Verein "Deutschland sicher im Netz e.V." engagiert sich seit Juni 2007 unter der Schirmherrschaft des Bundesministeriums des Innern und der Mitwirkung von 13 Unternehmen, Verbänden sowie gemeinnützigen Organisationen für einen höheren Stellenwert der IT-Sicherheit in kleinen und mittleren Unternehmen.

Im Rahmen von mehreren Workshops im Herbst 2008, wurde den Unternehmen "ein Mangel an Aufmerksamkeit für das Thema Sicherheit im Umgang mit IT bescheinigt". Insbesondere das "unzureichende Problembewusstsein der Geschäftsleitung" und "der Mangel an gefühlter Bedrohung,  verhindere das Verständnis der Notwendigkeit für IT-Sicherheitsmaßnamen". Die Gründe für einen geringen Stellenwert der IT-Sicherheit, sind demnach neben der mangelnden Managementunterstützung, ungenügende Recherche über Sicherheitsaspekte und viel zu knappe Budgets, die in wirtschaftlich schwierigen Zeiten weiter begrenzt werden. Die IT-Sicherheit nimmt also unabhängig von der Wirtschaftskrise noch lange nicht den Stellenwert ein, der notwendig wäre, um ein effektives und für das jeweilige Unternehmen zugeschnittenes Sicherheitsmanagement (z.B. gem. ISO 27001)zu etablieren bzw. aufrecht zu erhalten.

Notwendige Fachkenntnisse

Die Implementierung von Standards allein reicht nicht aus, wenn Mitarbeiter nicht über genügend Erfahrung im Umgang mit diesen besitzen bzw. nicht die notwendige Zeit für die Einarbeitung erhalten. Auch Schulungsbudgets fallen in der Regel in wirtschaftlich schlechten Zeiten dem Rotstift zum Opfer. Unternehmen, die über genügend Rücklagen verfügen, um bereits jetzt in die Zukunft des Unternehmens zu investieren, könnten die Krise nutzen, um das benötigte Know-How aufzubauen und notwendige Schritte einzuleiten, um gestärkt aus der Krise hervorzugehen. Neben den Unternehmen ist aber auch der Staat gefordert, in der Ausbildung zukünftiger IT-Entscheider das notwendige Sicherheitsbewusstsein zu verankern und das notwendige Fachwissen im Rahmen von gezielten Lehrangeboten zu vermitteln. Wie es in dieser Hinsicht bei den IT-Entscheidern von morgen aussieht -also bei den Personen, die heute Informatik oder ein verwandtes Fach studieren, hat der Branchenverband BITKOM und die Software AG in einer Studie versucht herauszufinden.

Hierbei ging es um die Fragestellung "Wie sind die Studierenden der Informatik für die Problematik sensibilisiert?" und "Wie begegnet ihnen das Thema Sicherheit im Studium?". Auch hier zeigt sich Nachholbedarf. Als Hauptergebnis lässt sich zwar ableiten, dass die Studierenden dem Thema IT-Sicherheit hohe Priorität geben,  das Lehrangebot derzeit aber deutlich zu gering ausfällt. "Fast drei Viertel aller abschlussnahen Studierenden wünschen sich mehr bzw. andere Lehrveranstaltungen". 

Arbeitsmarkt für IT-Experten

Die mangelnde Ausbildung von IT-Sicherheitsexperten bereits in den Studiengängen, wirkt sich auch auf den Arbeitsmarkt aus. Personalverantwortliche in der IT-Sicherheit haben Schwierigkeiten, offene Stellen zu besetzen, da viele Kandidaten nicht die geforderten Qualifikationen vorweisen können.  Das zeigt eine von (ISC)², der global führenden gemeinnützigen Organisation zur berufsbegleitenden Ausbildung und Zertifizierung von IT-Sicherheitsexperten, durchgeführte Befragung. Für die meisten zu besetzenden Stellen werden Kandidaten gesucht, die Qualifikationen bei der Implementierung von  Sicherheit im operativen Betrieb, bzw. bei der Sicherheit in der Applikations- und Netzwerkentwicklung sowie im Sicherheitsmanagement haben. Diese Qualifikationen sind bei vielen Sicherheitsprofis auch nur schwer nachzuweisen. Bei Berufseinsteigern fehlen sie meist ganz. Viele Unternehmen greifen deshalb auf Beratungsdienstleistungen, die sich auf diese Bereiche spezialisiert haben zurück, um dieses Defizit zu überbrücken.

Auswirkung auf IT-Sicherheitsbudgets

Eine weitere Auswirkung der Wirtschaftskrise auf den Stellenwert der IT-Sicherheit lässt sich aus der (ISC)² Umfrage ableiten. Etwas mehr als die Hälfte der befragten Unternehmen bestätigten, dass es in ihrem Unternehmen in den letzten Monaten mindestens eine Entlassung eines IT-Sicherheitsmitarbeiters gab. Ein Ende dieses Abwärtstrends scheint jedoch in Sicht. Laut Umfrage schauen 62% der Befragten positiv nach vorne. Sie erwarten derzeit keine weiteren Kürzungen der Budgets oder Entlassungen. 9% sind sogar überzeugt, dass die Budgets aufgestockt werden.

Angemessene Sicherheitskonzeption

Die Krise ist ein guter Zeitpunkt zur Überprüfung der Sicherheit im Unternehmen. Viele Unternehmen versuchen derzeit Anwendungen zu konsolidieren, um dadurch Kosten einzusparen.  Im Rahmen dieser Analyse bietet es sich an, die für eine angemessene und wirtschaftlich tragbare Sicherheitskonzeption notwendigen Schutzbedarfs- und Risikoanalysen  durchzuführen und die minimal notwendigen Sicherheitsanforderungen zu ermitteln. Dabei sind insbesondere Compliance-Anforderungen, z.B. bezüglich des Bundesdatenschutzgesetzes, als Mindestmaß einzuhalten.

Durch die Bestandsaufnahme können kritische Bereiche auch bei knappen Budgets gezielt angegangen werden, um eine maximal mögliche Risikoreduktion im Rahmen der zur Verfügung stehenden Budgets zu erreichen. Bei Neuentwicklungen bzw. -anschaffungen sollten Sicherheitseigenschaften einer Anwendung oder eines Systems von Beginn an berücksichtigt werden. Durch die frühzeitige Definition von Sicherheitsanforderungen und Sicherstellung der Umsetzung entlang des gesamten Entwicklungsprozesses können Schwachstellen frühzeitig erkannt und behandelt werden. Dies ist in der Regel kosten effektiver, als das nachträgliche Patchen von Systemen. 

IT-Sicherheit und Outsourcing

Viele Unternehmen sehen auch die Möglichkeit durch Outsourcing ihre IT Kosten einzusparen. Gezieltes Outsourcing spart Ressourcen in den Unternehmen und erhöht die Konzentration auf die Kernkompetenzen des Unternehmens. Neben der Ersparnis bei den laufenden Kosten sollen durch das Outsourcing eine höhere Leistungsqualität, eine flexiblere IT-Organisation, die Konzentration auf die Kernkompetenzen sowie eine höhere Sicherheit erreicht werden.

Dabei darf aber nicht vergessen werden, dass die Verantwortung für die IT-Sicherheit beim Unternehmen verbleibt und nicht an den Dienstleister ausgelagert werden kann. Wird die Risikovorsorge und -minimierung nicht ausreichend berücksichtigt, sind die positiven Effekte des Outsourcings schnell gefährdet. Informationsrisiken sollten deshalb auch beim Outsourcing über den gesamten Lebenszyklus des Vorhabens identifiziert, bewertet und gesteuert werden.

Auch hier empfiehlt es sich deshalb nach der Abgrenzung des Outsourcing-Gegenstands, dessen Wert für das Unternehmen im Rahmen einer Schutzbedarfsanalyse zu bestimmen und die aktuelle Ist-Situation einer Risikoanalyse zu unterziehen. Dadurch können Sicherheitsschwachstellen aufgedeckt werden, die sich durch das Auslagern verbessern lassen. Zugleich dient die Analyse als Maßstab, um mögliche Verbesserungen oder Verschlechterungen des Sicherheitsniveaus während der Auslagerung zu beurteilen. Um abzuklären, ob ein Outsourcing-Dienstleister die Mindestanforderungen an die Sicherheit erfüllt bzw. eine weitere Risikominimierung ermöglicht, empfiehlt sich ein "Due-Diligence-Audit", der sich an den Compliance-Audits zur Informationssicherheit - etwa ISO/IEC 27001:2005 - orientiert. Auch hier zeigt die Deloitte Studie auf, dass viele Firmen sich blind auf den Dienstleister verlassen, während nur 20% der befragten Unternehmen aktiv die Sicherheit und die eingesetzten Mechanismen ihrer Outsourcing-Partner überprüfen.  

Fazit

Gerade jetzt in der Krise kommt es darauf an, seine Sicherheitsanforderungen genau zu kennen. Es geht nicht darum, das technisch Machbare umzusetzen, sondern eine wirtschaftlich sinnvolle und organisatorisch vertretbare Lösung umzusetzen. Grundlage dafür bilden Schutzbedarfs- und Risikoanalysen. Unternehmen sollten die Chance nutzen, diese Analysen jetzt durchzuführen. Insbesondere dann, wenn die Geschäftsprozesse im Rahmen der Anwendungskonsolidierung oder eines Outsourcing-Vorhabens sowieso auf dem Prüfstand stehen. Dies wäre ein wichtiger Schritt, um der IT-Sicherheit gerade auch in wirtschaftlich schlechten Zeiten den richtigen Stellenwert beizumessen.   

Von Markus Wutzke, CSSLP, Consultant bei der Secaron AG

Foto: Quelle-Superstars_for_You/Fotolia.com

• Verwandte Themen
• Penetrationstests - Kriminelle rüsten auf