IT-Sicherheit in der Rezession Die Wirtschaftskrise begünstigt risikobasierte Outsourcing- und Sicherheitskonzepte

Autor / Redakteur: Markus Wutzke, CSSLP, Consultant bei der Secaron AG / Stephan Augsten

Fällt die IT-Sicherheit der Wirtschaftskrise zum Opfer? Nicht zwingend, denn unternehmens- und risikogerecht implementierte Sicherheitskonzepte sind trotz sinkender Budgets umsetzbar. Sie erfordern allerdings angemessene Risikoanalysen und gut ausgebildete Mitarbeiter. Dieser Beitrag befasst sich mit den Risiken und Chancen der Rezession.

Firma zum Thema

Weil Unternehmen den wahren Wert der Wirtschaftskrise nicht erkennen, leidet die IT-Sicherheit unter dem zunehmenden Kostendruck.
Weil Unternehmen den wahren Wert der Wirtschaftskrise nicht erkennen, leidet die IT-Sicherheit unter dem zunehmenden Kostendruck.
( Archiv: Vogel Business Media )

Parallel zur aktuellen Konjunkturentwicklung sinken derzeit die Gesamtinvestitionen in Sicherheit. Zu diesem Ergebnis kommt die Deloitte-Umfrage „Losing Ground – 2009 TMT Global Security Survey“.

Der zunehmende Kostendruck auf IT-Budgets ist zu einem branchenübergreifenden Risikofaktor für die Informationssicherheit geworden. Gleichzeitig steigt das Risiko durch verunsicherte oder unzufriedene Mitarbeiter hinsichtlich Datendiebstahl und Wirtschaftsspionage.

Experten schätzen, dass über die Hälfte entlassener Mitarbeiter – aus Sorge um die finanzielle Zukunft oder auch aus Rache – vertrauliche Daten des Arbeitgebers mitgehen lassen. Nicht umsonst steht das Thema „Information Leakage Prevention“ derzeit hoch im Kurs.

IT-Sicherheit leidet unter Kostendruck

Welchen Stellenwert hat die IT-Sicherheit also in der Krise? Meiner Meinung nach zeigt sich gerade in der Krise, dass die IT-Sicherheit im Vergleich zu anderen Anforderungen (Kosten, Bequemlichkeit, große Funktionalität, etc.) insgesamt einen zu geringen Stellenwert hat und eher als Kosten- statt als Nutzenfaktor angesehen wird.

Seit Juni 2007 engagiert sich der aus einer Initiative entstandene Verein „Deutschland sicher im Netz e.V.“ für einen höheren Stellenwert der IT-Sicherheit in kleinen und mittleren Unternehmen. Schirmherr ist Bundesministeriums des Innern, insgesamt 13 Unternehmen, Verbände und gemeinnützige Organisationen zählen zu den Mitwirkenden.

Bei mehreren Workshops im Herbst 2008 wurde den Unternehmen „ein Mangel an Aufmerksamkeit für das Thema Sicherheit im Umgang mit IT“ bescheinigt. Insbesondere das „unzureichende Problembewusstsein der Geschäftsleitung“ und „der Mangel an gefühlter Bedrohung, verhindere das Verständnis der Notwendigkeit für IT-Sicherheitsmaßnamen“.

Neben der mangelnden Management-Unterstützung sind die Gründe für einen geringen Stellenwert der IT-Sicherheit demnach ungenügende Recherche über Sicherheitsaspekte und viel zu knappe Budgets, die in wirtschaftlich schwierigen Zeiten weiter begrenzt werden. Die IT-Sicherheit nimmt also unabhängig von der Wirtschaftskrise noch lange nicht den Stellenwert ein, der notwendig wäre, um ein effektives und für das jeweilige Unternehmen zugeschnittenes Sicherheitsmanagement (z.B. gemäß ISO 27001) zu etablieren bzw. aufrecht zu erhalten.

Seite 2: Sicherheitsstandards erfordern Fachkenntnisse

Sicherheitsstandards erfordern Fachkenntnisse

Die Implementierung von Standards allein reicht nicht aus, wenn Mitarbeiter nicht über genügend Erfahrung im Umgang mit diesen besitzen bzw. nicht die notwendige Zeit für die Einarbeitung erhalten. Auch Schulungsbudgets fallen in der Regel in wirtschaftlich schlechten Zeiten dem Rotstift zum Opfer.

Unternehmen, die über genügend Rücklagen für zeitnahe Zukunftsinvestitionen verfügen, könnten derzeit das benötigte Know-how aufbauen und notwendige Schritte einleiten, um gestärkt aus der Krise hervorzugehen. Aber auch der Staat ist gefordert, das Sicherheitsbewusstsein in der Ausbildung zukünftiger IT-Entscheider unbedingt zu verankern und mit gezielten Lehrangeboten das notwendige Fachwissen zu vermitteln.

Wie es in dieser Hinsicht bei den IT-Entscheidern von morgen aussieht – also bei den Personen, die heute Informatik oder ein verwandtes Fach studieren – wollten der Branchenverband BITKOM und die Software AG in einer Studie herausfinden. Hierbei ging es um die Fragestellung „Wie sind die Studierenden der Informatik für die Problematik sensibilisiert?“ und „Wie begegnet ihnen das Thema Sicherheit im Studium?“.

Auch hier zeigt sich Nachholbedarf. Als Hauptergebnis lässt sich zwar ableiten, dass die Studierenden dem Thema IT-Sicherheit hohe Priorität geben, das Lehrangebot derzeit aber deutlich zu gering ausfällt. Fazit der Studie: „Fast drei Viertel aller abschlussnahen Studierenden wünschen sich mehr bzw. andere Lehrveranstaltungen“.

Arbeitsmarkt für IT-Experten

Die mangelnde Ausbildung von Sicherheitsexperten wirkt sich auch auf den Arbeitsmarkt aus. Personalverantwortliche haben Schwierigkeiten, offene Stellen in der IT-Sicherheit zu besetzen, da viele Kandidaten nicht die geforderten Qualifikationen vorweisen können. Das zeigt eine Befragung von (ISC)², der gemeinnützigen Organisation zur berufsbegleitenden Ausbildung und Zertifizierung von IT-Sicherheitsexperten.

Für die meisten zu besetzenden Stellen werden Kandidaten gesucht, die Qualifikationen bei der Implementierung von Sicherheit im operativen Betrieb bzw. bei der Sicherheit in der Applikations- und Netzwerk-Entwicklung sowie im Sicherheitsmanagement haben. Solche Qualifikationen haben selbst viele Sicherheitsprofis kaum vorzuweisen. Bei Berufseinsteigern fehlen sie meist ganz. Um dieses Defizit zu überbrücken, greifen viele Unternehmen auf Beratungsdienstleistungen zurück, die sich auf diese Bereiche spezialisiert haben.

Auswirkung auf IT-Sicherheitsbudgets

Noch eine weitere Auswirkung der Wirtschaftskrise auf den Stellenwert der IT-Sicherheit lässt sich aus der (ISC)²-Umfrage ableiten: Etwas mehr als die Hälfte der befragten Unternehmen bestätigten, dass es in ihrem Unternehmen in den letzten Monaten mindestens eine Entlassung eines IT-Sicherheitsmitarbeiters gab.

Ein Ende dieses Abwärtstrends scheint jedoch in Sicht. Laut Umfrage schauen 62 Prozent der Befragten positiv nach vorne. Sie erwarten derzeit keine weiteren Kürzungen der Budgets oder Entlassungen. 9 Prozent sind sogar überzeugt, dass die Budgets aufgestockt werden.

Seite 3: Angemessene Sicherheitskonzeption

Angemessene Sicherheitskonzeption

Die Krise ist ein guter Zeitpunkt zur Überprüfung der Sicherheit im Unternehmen. Viele Unternehmen versuchen derzeit Anwendungen zu konsolidieren, um dadurch Kosten einzusparen. Im Rahmen dieser Analyse bietet es sich an, die für eine angemessene und wirtschaftlich tragbare Sicherheitskonzeption notwendigen Schutzbedarfs- und Risikoanalysen durchzuführen und die minimal notwendigen Sicherheitsanforderungen zu ermitteln. Dabei sind insbesondere Compliance-Anforderungen, z.B. bezüglich des Bundesdatenschutzgesetzes, als Mindestmaß einzuhalten.

Durch die Bestandsaufnahme können kritische Bereiche auch bei knappen Budgets gezielt angegangen werden, um eine maximal mögliche Risikoreduktion im Rahmen der Mittel zu erreichen. Bei Neuentwicklungen bzw. -anschaffungen sollten Sicherheitseigenschaften einer Anwendung oder eines Systems von Beginn an berücksichtigt werden. Werden Sicherheitsanforderungen frühzeitig definiert und die Umsetzung entlang des gesamten Entwicklungsprozesses sichergestellt, können Schwachstellen frühzeitig erkannt und behandelt werden. Dies ist in der Regel kosteneffektiver, als das nachträgliche Patchen von Systemen.

IT-Sicherheit und Outsourcing

Viele Unternehmen sehen auch die Möglichkeit, IT-Kosten durch Outsourcing einzusparen. Mit gezieltem Outsourcing können Unternehmen Ressourcen einsparen und sich auf ihre Kernkompetenzen konzentrieren. Neben der Ersparnis bei den laufenden Kosten sollen durch das Outsourcing eine höhere Leistungsqualität, eine flexiblere IT-Organisation, die Konzentration auf die Kernkompetenzen sowie eine höhere Sicherheit erreicht werden.

Dabei darf aber nicht vergessen werden, dass die Verantwortung für die IT-Sicherheit beim Unternehmen verbleibt und nicht an den Dienstleister ausgelagert werden kann. Wird die Risikovorsorge und -minimierung nicht ausreichend berücksichtigt, sind die positiven Effekte des Outsourcings schnell gefährdet.

Informationsrisiken sollten deshalb auch beim Outsourcing über den gesamten Lebenszyklus des Vorhabens identifiziert, bewertet und gesteuert werden. Auch hier empfiehlt es sich deshalb nach der Abgrenzung des Outsourcing-Gegenstands, dessen Wert für das Unternehmen im Rahmen einer Schutzbedarfsanalyse zu bestimmen und die aktuelle Ist-Situation einer Risikoanalyse zu unterziehen. Dadurch können Sicherheitsschwachstellen aufgedeckt werden, die sich durch das Auslagern verbessern lassen.

Zugleich dient die Analyse als Maßstab, um mögliche Verbesserungen oder Verschlechterungen des Sicherheitsniveaus während der Auslagerung zu beurteilen. Um abzuklären, ob ein Outsourcing-Dienstleister die Mindestanforderungen an die Sicherheit erfüllt bzw. eine weitere Risikominimierung ermöglicht, empfiehlt sich ein „Due-Diligence-Audit“. Dieser sollte sich an den Compliance-Audits zur Informationssicherheit - etwa ISO/IEC 27001:2005 - orientieren.

Auch hier zeigt die Deloitte Studie auf, dass viele Firmen sich blind auf den Dienstleister verlassen. Nur 20 Prozent der befragten Unternehmen aktiv die Sicherheit und die eingesetzten Mechanismen ihrer Outsourcing-Partner überprüfen.

Fazit

Gerade in der Wirtschaftskrise kommt es darauf an, seine Sicherheitsanforderungen genau zu kennen. Es geht nicht darum, das technisch Machbare umzusetzen, sondern eine wirtschaftlich sinnvolle und organisatorisch vertretbare Lösung umzusetzen. Grundlage dafür bilden Schutzbedarfs- und Risikoanalysen.

Unternehmen sollten die Chance nutzen, solche Analysen jetzt durchzuführen. Insbesondere dann, wenn die Geschäftsprozesse im Rahmen der Anwendungskonsolidierung oder eines Outsourcing-Vorhabens sowieso auf dem Prüfstand stehen. Dies wäre ein wichtiger Schritt, um der IT-Sicherheit gerade auch in wirtschaftlich schlechten Zeiten den richtigen Stellenwert beizumessen.

(ID:2040394)