Security- und Risiko-Management

Security-Investitionen dem CFO verständlich machen

| Autor / Redakteur: Liviu Arsene / Peter Schmitz

CFOs müssen über Budgets und -Investitionen entscheiden können, ohne IT-Experte zu sein. Security-Experten müssen das Thema für CFOs verständlich erklären können.
CFOs müssen über Budgets und -Investitionen entscheiden können, ohne IT-Experte zu sein. Security-Experten müssen das Thema für CFOs verständlich erklären können. (Bild: Pixabay / CC0)

Während es für den CIO oder CSO auf der Hand liegt, dass sie in angesichts der heutigen Bedrohungslage in IT-Security investieren sollten, muss der Chief Financial Officer (CFO) von Berufs wegen ein mögliches Security-Investment anderen Betriebskosten gegenüberstellen. Zudem ist es für ihn die Unterscheidung zwischen IT Operations und IT Security unklar, weil er in keinen der beiden Bereiche unmittelbar involviert ist.

Sicherheitsvorfälle sind inzwischen längst auf der Agenda der Vorstandsmitglieder angekommen und das C-Level Management ist unmittelbar in die Prozesse eingebunden, die einem Sicherheitsvorfall folgen. Chief Financial Officers (CFOs) stehen dabei vor schweren Herausforderungen: Sie müssen oft unter großem Zeitdruck Prioritäten definieren, Budgets verteilen, Investitionen abzeichnen – und all das ohne IT-Fachwissen.

In Anbetracht dieser Tatsache, müssen Sicherheitsexperten sich fit machen, den CFOs das Thema Security in einer für sie verständlichen Sprache zu erklären. Anders als bei anderen Investitionen, lässt sich das Thema Security weder in das folgende Quartal schieben, noch kann man es kleinteilig segmentieren. CFOs müssen erklärt bekommen, dass Security von Beginn an eine einheitliche Strategie benötigt. Einerseits ist es mittel- und langfristig kostengünstiger, ein umfassendes Paket zu implementieren, anstatt nachträglich neue Module hinzuzufügen oder zu einem späteren Zeitpunkt mit neuen Lösungen aufzurüsten. Aber vor allem ist nur mit einer kohärenten Sicherheitsarchitektur eine kontextuelle Auswertung der Bedrohungsdaten möglich.

Der Unterschied zwischen Rechenzentren und Security

CFOs tun sich schon schwer, den IT-Betrieb von der IT-Sicherheit zu trennen, zumal beide Bereiche zur IT-Abteilung gehören. Der Erwerb neuer Hardware oder IaaS-Dienste und Investitionen in neue Security-Technologien sind aber darüber hinaus nicht aus der Portokasse zu bezahlen, verursachen dauerhaft Kosten und haben keine quantifizierbare Rendite – diese Kombination macht dem CFO Kopfschmerzen.

Während die Kosten für ein Rechenzentrum, Anwendungen und Hardware einen direkten Einfluss auf das Wachstum des Geschäfts haben kann, können die Kosten für Sicherheit nicht in einen bilanztechnischen Nutzen umgerechnet werden, da sie kein unmittelbares oder quantifizierbares Ergebnis mit sich bringen.

Risiken darlegen statt Details auswalzen

Wie geht man damit um, wenn man als IT- oder Security-Verantwortlicher Investitionen durchsetzen muss, die möglicherweise lebenswichtig für das Unternehmen sind?

Ganz wichtig: Wenn es darum geht, potenzielle Sicherheitsrisiken darzulegen, sind CFOs wesentlich empfänglicher für die Beschreibung möglicher Konsequenzen für den Betrieb, als für technische Details über Zero Day Schwachstellen, Advanced Persistant Threats (APTs) und Patch Management. Die Verwendung bekannter Beispiele von Sicherheitsvorfällen, welche auf moderner Malware basieren und bei denen geistiges Eigentum eines Unternehmens über mehrere Monate ausspioniert wurde, treffen auf wesentlich mehr Verständnis. Die Fokussierung auf Implikationen und Kosten eines Sicherheitsvorfalls sowie Kosten-/Nutzen-Betrachtungen sind ebenfalls hilfreich, wenn sie mit Fakten und Statistiken untermauert werden können. Es gilt, den CFO darauf aufmerksam zu machen, dass jede Art von Security-Problem oder Ausfallzeit der Infrastruktur eine unmittelbare finanzielle Konsequenz in Form fallender Aktienkurse, abspringender Kunden oder Klagen vor Gericht nach sich ziehen kann. Wenn Daten oder qualifizierte Schätzungen auf dem Tisch liegen, welche finanziellen Einbußen betroffene Unternehmen erlitten haben, ist der erste Schritt geschafft: Die Aufmerksamkeit des CFO ist sichergestellt.

Es lohnt sich, im nächsten Schritt darauf hinzuweisen, dass es ohne umfassende Daten zur Bedrohungsanalyse nahezu unmöglich ist, einen Sicherheitsvorfall zeitnah zu erkennen, geschweige denn, einem erneuten Hack der gleichen Methode vorzubeugen. Die Unfähigkeit, im Nachhinein einen aufgetretenen Datendiebstahl oder -verlust auch nur zu erklären, würde zur öffentlichen Bloßstellung eines Unternehmens führen. Die Handlungsfähigkeit würde von Kunden, Partnern, Mitarbeitern angezweifelt, was nicht ohne massive finanzielle Auswirkungen bleiben kann.

Ein einheitlicher Security-Ansatz kann Kosten sparen

Dies waren die schlechten Nachrichten. Wenn der CFO bis hierher gefolgt ist, wird es Zeit für gute Nachrichten: Ein einheitlicher Security-Ansatz bedeutet auch eine höhere Uptime aller IT-Ressourcen und ein effizienteres Management. Die Betriebskosten, die üblicherweise vor allem durch Wartungs-Teams entstehen, die sich ausschließlich um spezielle Hard- oder Software kümmern, sinken. Kleinen oder mittleren Unternehmen fällt es oft relativ leicht, eine einheitliche Strategie zu verfolgen, wenn sich das Management einmal dazu durchgerungen hat.

Größere Unternehmen benötigen zugegebenermaßen oft mehr Zeit und Ressourcen, um ihre fragmentierten Sicherheitslösungen in den Griff zu bekommen. Aber gerade ihre oft skalierbaren, virtualisierten Rechenzentren benötigen Security-Technologien, die sich nahtlos in die IT-Infrastruktur einbinden. Ansonsten übersteigen Bereitstellungs- und Integrationskosten schnell den Kaufpreis. IT-Abteilungen richten sich immer konsequenter darauf aus, neue Dienste und bessere Hardware für immer bessere Produktivität der Mitarbeiter bereitzustellen. Ein integrierter Lösungsansatz trägt dazu bei, dass aktuelle und zukünftige Technologien miteinander harmonieren. Auch wenn der Einkaufspreis zunächst hoch erscheint: Auf Dauer spart das Kosten.

Security-Analogien: Mit Vergleichen überzeugen

Wie alle anderen Menschen auch, sollte man CFOs nicht nur rational ansprechen, wenn man sie wirklich von etwas überzeugen will. Der ultimative Tipp für das Budgetgespräch mit dem CFO ist es daher, auf technischen Jargon zu verzichten und Analogien aus dem Alltag zu verwenden.

Der Fantasie sind keine Grenzen gesetzt. Je nach Persönlichkeit des Ansprechpartners kann es zum Beispiel hilfreich sein, Fußball, Shopping oder Autos heranzuziehen. So gibt es den Spruch: Stürmer schießen Tore, die Verteidigung gewinnt Meisterschaften. Es sind immer die Mannschaften mit den besten Verteidigungen, welche die Titel holen. Nur mit einer Sicherheit nach hinten kann der Sturm auftrumpfen. Übertragen auf den IT-Betrieb heißt das: Nur im vollen Vertrauen darauf, dass die grundlegende IT-Architektur umfassend gesichert ist, kann die IT-Abteilung ihre Leistungsfähigkeit und Effizienz ausreizen und alle Chancen der digitalen Transformation nutzen.

Wer gerne shoppt, dem leuchtet sofort ein, dass er sich viel leichter für eine teure Hose, ein ausgefallenes Kleid oder einen neuen Hut entscheidet, wenn er ein umfassendes Rückgaberecht hat. Wer vom Partner oder von Freunden schlechte Rückmeldung bekommt, bringt das Kleidungsstück zurück und hat nichts verloren. Genauso sorgen zusätzliche Security-Layer für ein gutes Gefühl bei der Weiterentwicklung der IT. Wenn die Sicherheitsmechanismen aufzeigen, dass eine neue Anwendung oder IT-Lösung Sicherheitsprobleme aufweist, fällt das sofort auf, bevor negative Folgen auftreten.

Wer einen Automobilfan als Gesprächspartner hat, könnte darauf eingehen, dass man meistens wichtige Gründe hat, ein Auto zu kaufen: Design, Marke, Geschwindigkeit, Reichweite, Verbrauch, Sitzplatzanzahl, Stauraum oder Wartungskosten. Und doch würde niemand ein Auto kaufen, das all diese Träume erfüllt, aber bei dem Sicherheitsgurte, Airbags und Knautschzone fehlen. Selbst dem besten Fahrer kann es passieren, in einen Unfall verwickelt zu werden und dann soll das Risiko für Fahrer und Passagiere so gering wie möglich sein. Das gleiche gilt für das Rechenzentrum: Ein agiles, effizientes und optimiertes Rechenzentrum ermöglicht es, das Geschäft schnell voranzubringen. Aber ohne entsprechende Security-Technologien besteht das Risiko eines Totalschadens. Nicht für die IT, sondern für das Geschäft, wohlgemerkt.

Wer im persönlichen Gespräch passende Beispiele nutzt, wird überzeugen. Der Wert einer verhinderten Torchance des Gegners, eines Rückgaberechts oder einer Knautschzone lassen sich schwerlich quantifizieren. Aber wer Fußball, Shopping oder Autos liebt, kennt ihren Wert.

Über den Autor: Liviu Arsene ist Leitender Analyst für digitale Bedrohungen bei Bitdefender.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44883162 / Risk Management)