„Was die Integration von Sicherheitsmaßnahmen betrifft, befinden sich viele Unternehmen, besonders Mittelständler, noch im Mittelalter“, wundert sich Mario Hoffmann vom Fraunhofer Institut für sichere Telekooperation (SIT). Selbst wenn ein entsprechendes Bewusstsein vorhanden ist, wird IT-Sicherheit immer noch vorwiegend als technisches und produktorientiertes Thema begriffen, kritisiert auch Wolfram Funk, Berater bei der META Group, die Haltung der Firmen. „Bei den organisatorischen Maßnahmen gibt es hingegen noch viel Nachholbedarf“, so Wolfram Funk weiter. Hinzuzufügen ist, dass Funks Aussage durchaus eine allgemein verbreitete Situation beschreibt. Einschlägige Studien der META Group (Juni 2003), von Deloitte & Touche (November 2003), der Fachzeitschrift Informationweek (in Zusammenarbeit mit Mummert Consulting) sowie der Trendbarometer von PricewaterhouseCoopers (PwC; November 2003), um nur einige zu nennen, zeigen in beklemmender Deutlichkeit, dass viele Unternehmen, besonders aber mittelständische Firmen, noch kein oder kaum durchgehendes Sicherheitsmanagement haben.

Kultur der Sicherheit schaffen

Dies verwundert, denn im Zuge zunehmend „hoch entwickelter Technologien, die in Unternehmen eingesetzt werden, wird Informationssicherheit zu einem kritischen Faktor“, sagt Mark Lobel, Sicherheitsspezialist bei PwC. Die durch IT-Sicherheitsverletzungen verursachten, weltweiten volkswirtschaftlichen Schäden gehen in die Milliarden – gleich ob in US-Dollar oder Euro. Einem aktuellen Bericht des Sicherheitsunternehmens Symantec zufolge sind besonders Bedrohungen für die Vertraulichkeit sprunghaft angestiegen, wobei die neuen Schädlinge inzwischen gezielt Passwörter, Entschlüsselungscodes und Tastenkombinationen extrahieren. „Schon deshalb sollte IT-Sicherheit als Teil des Managementprozesses gesehen werden wie Finanzcontrolling oder Qualitätssicherung in der Produktion“, fordert Peter Wirnsperger. IT-Sicherheit „muss demnach als ganzheitliches Konzept beziehungsweise als Überbegriff für Vertraulichkeit, Verfügbarkeit und Integrität verstanden werden“, meint er. Ähnlich formuliert es Anil Miglani, Vice President beim US-Beratungshaus AMI Partners, anlässlich einer Befragung von SMBs in den Vereinigten Staaten. Je mehr Firmen in den USA ihre Geschäfte Internet gestützt abwickeln, umso mehr erkennen sie, dass „IT-Sicherheit integraler Bestandteil ihrer gesamten Geschäftstätigkeit werden muss.“ Viele Großunternehmen machen zudem die Auftragsvergabe an kleine Unternehmen „von deren Investitionen in Sicherheitstechnologien abhängig“, ergänzt Andy Bose, CEO und Gründer von AMI Partners. Generell gelten nämlich für SMBs beim Sicherheitsmanagement dieselben Regeln wie für multinationale Großkonzerne.
Experte Wirnsperger definiert die drei Bereiche Organisation (zum Beispiel Rollen, Abläufe und Regeln, um Geschäftsprozesse reibungslos durchzuführen), Technologie und Menschen als zur IT-Sicherheit gehörig. Dabei lassen sich die heutigen verteilten Rechnersysteme mit ihren „offenen“ Verbindungen nicht mehr allein durch organisatorische Maßnahmen schützen. Es müssen zusätzliche technische Sicherheitsmechanismen bereitgestellt werden, indem beispielsweise Verantwortlichkeiten genau definiert werden und sämtliche Aktivitäten überprüfbar und nachvollziehbar sind. Firmen sollten laut Wirnsperger generell in allen Kommunikationsbelangen Sicherheit einplanen, um eine kontrollierbare Informationsübertragung und -verarbeitung zu ermöglichen.
Das erfordert strategische Sicherheitskonzepte, welche die Vertraulichkeit und Integrität der per Netzwerk übermittelten Daten sowie deren ständige Verfügbarkeit gewährleisten und damit Unternehmenswerte schützen. Eine Forderung übrigens, welche die von der OECD (Organization for Economic Cooperation and Development) Mitte 2002 veröffentlichten „Guidelines on information and Network Security“ bereits formulierten. Angesichts der weltweiten Vernetzung, so das Vorwort, sei ein geschärftes Bewusstsein und Verständnis für Sicherheitsanforderungen zu entwickeln, das eine neue „Kultur der Sicherheit“ schafft. Insgesamt benennt der Leitfaden vom Sicherheitsbewusstsein über Risikoanalyse bis zum IT-Sicherheitsmanagement neun Bereiche, die Unternehmen helfen sollen, eine umfassende Sicherheitskultur aufzubauen.

Ausfälle sind teuer

Ziel aller Sicherheitsmaßnahmen muss immer sein, Ausfallzeiten zu verhindern beziehungsweise auf ein Mindestmaß zu reduzieren, denn Informations- und Kommunikationssysteme müssen von der ersten Betriebsstunde an belastbar und hochverfügbar sein. „Wer an der Sicherheit seiner Datennetze spart“, so das Fazit von BITKOM-Vizepräsident Paul Heinz Bonn in einem Vortrag auf der ITK-Messe ONLINE 2003 in Düsseldorf, „geht ein hohes Risiko für das gesamte Unternehmen ein.“
Besonders Mittelständler scheinen sich dessen nicht immer bewusst zu sein. Laut Deloitte betrug die höchste Ausfallzeit bei den befragten SMBs stolze 72 Stunden. Im Durchschnitt fielen die Systeme rund zwölf Stunden aus. Erstaunlich immerhin, dass die Unternehmen die Geschäftsverluste nicht beziffern können oder auf null setzen und nur in seltenen Fällen ihre Ausgaben für IT-Sicherheit und mögliche Schäden angeben. Auch die Berater von PwC geben in ihrem Sicherheitsbarometer lediglich allgemeine Zahlen an, wonach 83 Prozent finanzielle Verluste erlitten. Elf Prozent hatten keine Einbußen und sechs Prozent waren sich nicht sicher oder antworteten auf diese Frage nicht. Der durchschnittliche Zeitverlust bei Systemausfällen während der letzten zwölf Monate habe bei rund 1,3 Tagen gelegen.
Etwas mehr Klarheit bringt eine im Sommer 2003 unter weltweit knapp 2.500 IT-Managern und Sicherheitsverantwortlichen gemachte Befragung der Fachzeitschrift Informationweek. Interessant daran ist der Vergleich zwischen deutschen und US-Unternehmen. Während 32 Prozent der deutschen Firmen angaben, keinen Systemausfall gehabt zu haben, waren es auf US-Seite nur 16 Prozent. Bei relativ kurzfristigen Ausfällen liegen beide Länder mit je 28 Prozent gleichauf, bei längerfristigen verschiebt sich das Bild deutlich zu Ungunsten der US-Firmen. So beklagten 38 Prozent Ausfallzeiten von acht Stunden und länger, während nur 23 Prozent der deutschen Betriebe längerfristige Störungen hatten. Auch was die durch Ausfallzeiten verursachten finanziellen Schäden betrifft, lagen US-Firmen vorn. Nur 29 Prozent (deutsche Firmen: 44 Prozent) erlitten keine Einbußen. Knapp 60 Prozent der US-Unternehmen (deutsche Firmen: 37 Prozent) beklagten finanzielle Verluste im Gesamtwert zwischen unter 10.000 US-Dollar und mehr als 100.000 US-Dollar. Experte Wirnsperger gibt jedoch zu bedenken, dass konkrete Kosten für Ausfälle der IT generell sehr schwer zu ermitteln sind, „weil entsprechende Schätzungen auf einer ungenügenden Datenbasis mit zu wenigen aussagekräftigen Zahlen basieren. Angesichts der überdurchschnittlichen E-Business-Nutzung bestimmter Branchen wie der Automobilzulieferindustrie hat schon ein Systemausfall von nur wenigen Stunden verheerende Folgen“, weiß Peter Wirnsperger, „denn dort wird nicht nur Just-in-Time geliefert, sondern auch produziert.“

RoSI soll es richten

Besonders für kleinere Unternehmen sind Ausfallschäden in fünf- oder gar sechsstelliger Höhe oft schwer zu verkraften. Verstärkte Investitionen in die Sicherheit von IT-Systemen und Anwendungen rechnen sich also durchaus, zumal wenn es damit um die eigene Wettbewerbsfähigkeit geht. Viele SMBs sehen laut Peter Wirnsperger in den Ausgaben meist nur einen „lästigen Kostenfaktor“, verkennen jedoch, dass ein möglicher Ausfall der Systeme die eventuellen Kosten für IT-Sicherheit um ein Vielfaches übersteigen kann. Unter dem Oberbegriff Return-on-Security-Investment, kurz RoSI, hat inzwischen ein von der Universität von Idaho entwickeltes Konzept viele Anhänger gefunden. „RoSI ermittelt die Wirtschaftlichkeit von Investitionen in die Unternehmenssicherheit“, erläutert der Hamburger IT-Sicherheitsexperte Christian Aust das Konzept. „Dabei werden die Kosten für IT-Sicherheit auf ihre Effektivität hin geprüft und der erwarteten Kostenersparnis durch Risikoverminderung und dem damit verbundenen geringeren Schadensaufkommen gegenübergestellt.“
Um RoSI-Rechnungen nach diesem Muster anstellen zu können, müssen alle sicherheitsrelevanten Daten dokumentiert und interpretiert werden. Allerdings ist dies auch das Hauptproblem bei der Berechnung. Besonders deutsche Firmen halten sich laut Mummert Consulting offenbar vornehm zurück, wenn es darum geht, Schadensdaten bereitzustellen. Zudem fällt es kleineren Unternehmen oft schwer, mögliche Ausfallzeiten zu kalkulieren. Können SMBs also einen RoSI überhaupt konkret berechnen? „Durchaus“, meint Christian Aust, „denn die Genauigkeit der Wirtschaftlichkeitsbetrachtung beruht wesentlich auf einer belastbaren Risikoanalyse, so dass alle Risiken entsprechend ihrer Eintrittswahrscheinlichkeit und dem zu erwartenden Schadenspotenzial bewertet werden können. Damit sind die Kosten eines Risikos bekannt.“ Aust warnt jedoch vor einer zu hohen, weil unwirtschaftlichen Risikoabsicherung. Jedes Unternehmen müsse vielmehr eine „Risikoschwelle“ definieren, unterhalb derer ein Risiko akzeptabel, das heißt für die Firma wirtschaftlich vertretbar ist. „Entscheidend für einen positiven RoSI ist“, so Aust, „dass nach einem definierten Zeitraum die kumulierten Kosten kleiner als der kumulierte Nutzen durch Schadensbegrenzung sind.“ Na also!