20100506h Lexta Die Kosten der IT-Sicherheit

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

Wie viel darf IT-Sicherheit kosten?

Maßanzug oder Stangenware

Sicherheit ist ein höchst individuelles Gut, bei dem Angemessenheit im Vordergrund steht. Es gibt kein absolutes Sicherheitsniveau, das auf jedes Unternehmen angewendet werden kann. Was für eine Bank als angemessen gilt, ist für ein mittelständisches Industrieunternehmen meist überdimensioniert. Der Netzbetreiber für einen Energieversorger hat ein anderes Sicherheitsbedürfnis als ein Medienunternehmen.

 

Z

iel einer Sicherheitsstrategie muss es daher sein, die Maßnahmen zur Risikobehandlung angemessen auszuwählen und zu implementieren. Dies muss immer im Kontext des eigenen Unternehmens geschehen – in Abhängigkeit von dessen Anforderungen und Risiken.

Was ist angemessen? Die Antwort ist sowohl trivial als auch schwer zu beantworten: Ein Sicherheitskonzept ist dann angemessen, wenn die Risiken adäquat behandelt werden, und zwar mit den Maßnahmen, die das beste Verhältnis von Kosten und Nutzen aufweisen. Das Verhältnis von Kosten und Nutzen ist für IT-Sicherungsmaßnahmen nicht ohne weiteres ermittelbar. Das liegt in erster Linie daran, dass eine absolute Quantifizierung des Nutzens von IT-Sicherheit zum Scheitern verurteilt ist. Vielmehr ist eine relative Betrachtungsweise gefragt.

Im Folgenden ist ausführlich dargestellt, welche drei Schritte bei einer Kosten-Nutzen-Bewertung notwendig sind, um zu fundierten Aussagen über die Angemessenheit eines Sicherheitskonzepts und dessen Optimierungspotenzial zu gelangen:

-         Definition eines Soll-IT-Sicherheitskonzepts

-         Durchführung Assessment und Gap-Analyse

-         Wirtschaftliche Bewertung

Definition eines Soll-IT-Sicherheitskonzepts.

Ausgangspunkt der Kosten-Nutzen-Bewertung ist die Definition eines Soll-Konzepts der IT-Sicherheit. Dies sollte sowohl marktüblich als auch auf das betreffende Unternehmen zugeschnitten sein, da es kein allgemein gültiges Sicherheitskonzept gibt, das auf alle Unternehmen und Anwendungsbereiche passt. Marktüblich bedeutet hier, dass das Soll-Konzept sich neben den unternehmensspezifischen IT-Sicherheitsmaßnahmen auch an den Best Practices anderer Unternehmen orientiert. So wird eine einseitige interne Fokussierung auf das zu untersuchende Unternehmen durch das Einbeziehen einer marktüblichen Perspektive verhindert und gleichzeitig eine Positionsbestimmung ermöglicht.

Für die Soll-Konzept-Definition werden zuerst marktübliche IT-Sicherheitsmaßnahmen durch geeignete Parameter ausgewählt. Diese Parameter lassen sich in zwei Kategorien unterteilen – Unternehmenskennzahlen und Sicherheitsanforderungen – und sind als Eingangsgrößen für das Soll-Konzept zu sehen.

 

Hier ein Auszug der wichtigsten Parameter für die Kategorie Unternehmenskennzahlen:

Branchen-spezifika

Anzahl Mitarbeiter

Service-Level

Kunden

Lieferanten

 

Für die Kategorie Sicherheitsanforderungen entscheidende Parameter:

Art der verarbeiteten Informationen (personenbezogen, rechnungslegungsrelevant, vertraulich, offen)

Gefährdungen

Sicherheits-niveau (Risikoanalyse)

Eingesetzte Infrastruktur

 

Aus den Parametern, den Eingangsgrößen, erfolgt die Bestimmung der IT-Sicherheitsmaßnahmen und daraus die Definition des Soll-Konzepts für das spätere Assessment, die Gap-Analyse und die wirtschaftliche Bewertung.

Da die Bewertung über die rein technischen Maßnahmen hinausgeht, wird das Soll-Konzept in Bereiche untergliedert. Die Berücksichtigung bestehender Strukturen des zu betrachtenden Unternehmens steht dabei an erster Stelle. Bewährt hat sich in der Praxis bisher die Einteilung in technische IT-Sicherheit, Dokumentation sowie Betriebsprozesse und Management.

Zur technischen Sicherheit zählen in diesem Fall:

-         Bestehende Kryptografie-Konzepte, Datensicherung und Archivierung

-         Infrastruktur, das heißt Standort- und Gebäudesicherheit, besonders hinsichtlich Brandschutz, Stromversorgung und Klimatisierung sowie Netzwerksicherheit nach innen und nach außen

-         IT-Systeme und -Anwendungen, das heißt Authentifizierung, Monitoring und Logging, Penetrations- und Lasttests, Virenschutz und Sicherstellung Datenintegrität sowie Patch-Management

-         Verfügbarkeit der technischen Betrachtungsebene wie Redundanzen, Virtualisierungskonzepte und Internet-Access

Der Bereich Dokumentation legt Dokumentationsaufbau und -reife sowie notwendige dokumentierte Verfahren und Prozesse fest. Auch über den IT-Sicherheitsbereich hinaus werden in dem Soll-Konzept die relevanten Anforderungen für Service-Level-Agreements sowie Incidents und Problems festgelegt.

Betriebsprozesse und Management sind der Bereich, in dem über das Soll-Konzept die Anforderungen für Prozesse und für Projekte im laufenden Betrieb definiert werden. Dazu zählen zum Beispiel sicherheitsrelevante Aspekte im Änderungsmanagement und für den Datenschutz.

Assessment und Gap-Analyse.

Nach der Definition des Soll-Konzepts findet im Rahmen eines Assessments die Erhebung des Ist-Zustands statt. Dies hat in erster Linie die Aufdeckung fehlender oder nicht adäquater Maßnahmen gegenüber dem Soll-Konzept zum Ziel. Die Ergebnisse des Ist-Zustands werden in der Gap-Analyse ausgewertet, innerhalb welcher neben den Soll-Ist-Unterschieden Optimierungspotenzial, das auch eine Übererfüllung des Soll-Konzepts berücksichtigt, identifiziert wird.

Aufbauend auf die Gap-Analyse und das ermittelte Optimierungspotenzial wird ein Subset von Maßnahmen ausgewählt und im Anschluss grob bewertet. Bei diesem Vorgehen ist es wichtig, dass keine Bauchentscheidungen gefällt werden, sondern auf Expertenwissen zurückgegriffen wird und gegebenenfalls zusätzliche Untersuchungen stattfinden. Typischerweise werden Maßnahmen nicht betrachtet, für die bereits eine Implementierung ohnehin geplant und die Notwendigkeit schon im Vorfeld des Assessments evident war.

Wirtschaftliche Bewertung.

Im Anschluss an Assessment und Gap-Analyse werden die ausgewählten Maßnahmen nun im Zuge der wirtschaftlichen Bewertung einer ausführlichen Kosten-Nutzen-Bewertung unterzogen. Im Ergebnis stehen ein fundiertes Ranking der bewerteten Maßnahmen und ein detaillierter Handlungsplan. Zuerst werden Investitions- und Betriebskosten der ausgewählten Maßnahmen ermittelt. Neben bekannten Kostengrößen, zum Beispiel Personal- und Anschaffungskosten, werden auch die kalkulatorischen Kosten, das heißt Zinsen und AfA, in dieser Kostenermittlung berücksichtigt. Nach der detaillierten Kostenkalkulation werden diese dem Nutzen einer Maßnahme gegenübergestellt.

Der Nutzen setzt sich innerhalb dieser Bewertung aus monetären und nicht monetären Aspekten zusammen: Monetäre Aspekte finden insofern Berücksichtigung, als dass die ausgewählten Maßnahmen anderen Maßnahmen gegenübergestellt werden, die das gleiche Ziel erfüllen, bei denen die Kosten jedoch geringer sind. Nicht monetäre Nutzenaspekte werden ausgehend von den Geschäftsanforderungen, dem erforderlichen Sicherheitsniveau und dem Markt abgeleitet.

Den kalkulierten Kosten stehen auf der Nutzenseite zum Beispiel eine erhöhte Sicherheit und Verfügbarkeit gegenüber.

Resümee.

Angemessenheit ist beim Stichwort IT-Sicherheit Trumpf. Doch wie bewertet man diese? Ein angemessenes Sicherheitskonzept deckt alle Risiken adäquat ab und realisiert dabei die Maßnahmen, die ein optimales Kosten-Nutzen-Verhältnis beinhalten.

Wir haben beispielhaft eine Methodik zur Bewertung der Angemessenheit eines Sicherheitskonzepts hinsichtlich des Kosten-Nutzen-Verhältnisses vorgestellt. Ausgangspunkt ist dabei die Definition eines marktüblichen Soll-Konzepts unter Berücksichtigung der individuellen Geschäftsanforderungen und Risiken des Unternehmens. Durch ein anschließendes Assessment wird der Ist-Zustand erhoben und dem Soll-Konzept im Rahmen der Gap-Analyse gegenübergestellt. Daraus resultiert ein Katalog von Abweichungen sowie Maßnahmen, die zur Erreichung des Soll-Zustands implementiert oder abgeschafft werden müssen. Die ermittelten Maßnahmen werden wirtschaftlich bewertet und nach ihren Auswirkungen auf die IT-Sicherheit – dem Nutzen – geordnet. Anhand dieses fundierten Rankings der bewerteten Maßnahmen lässt sich ein optimaler Handlungsplan en détail herleiten.

Hannes Fuchs, Friedrich Hueber

____________________________________

Hannes Fuchs und Friedrich Hueber sind Senior Consultants in der IT-Management-Beratung LEXTA CONSULTANTS GROUP in Berlin. www.lexta.com

 

 

In einem Assessment wird der Ist-Zustand erhoben und dem Soll-Konzept im Rahmen der Gap-Analyse gegenübergestellt.

 Quelle: LEXTA


 


Das Verhältnis von Kosten und Nutzen ist für IT-Sicherungsmaßnahmen nicht ohne weiteres ermittelbar.

 

Folgen Sie »manage it«

auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH