Security ROI

Investitionen in die IT-Sicherheit argumentieren

| Autor / Redakteur: Joe Campbell, Susanne Haase (One Identity) / Peter Schmitz

Um für Budget-Diskussionen gerüstet zu sein, müssen Sicherheitsverantwortliche über ausreichend Daten verfügen und die wirtschaftlich richtigen Argumente präsentieren können.
Um für Budget-Diskussionen gerüstet zu sein, müssen Sicherheitsverantwortliche über ausreichend Daten verfügen und die wirtschaftlich richtigen Argumente präsentieren können. (Bild: Pixabay / CC0)

In vielen Unternehmen sind Fakten und Zahlen die bestimmenden Faktoren für Entscheidung­en über Investitionen und Einsparungen. Aber wie argumentiert man als Security-Verantwort­lich­er bei Vorgesetzten mit Risiken, die noch gar nicht eingetreten sind und welche Herangehensweise ist überhaupt die richtige? Die gute Nachricht: Sicherheits­risiken sind real und messbar und es gibt für jeden Typ „Chef“ auch einen passenden Gesprächsansatz.

Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: „Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?“ Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

Intelligente Sicherheit spart Kosten!

Security-Startups im Blickpunkt: CS FOG

Intelligente Sicherheit spart Kosten!

27.10.17 - Unternehmen brauchen eine funktionierende IT die skalierbar ist, am Business ausgerichtet und die Unternehmenswerte effektiv schützt. Das verlangt der unternehmerische Verstand und auch der Gesetzgeber, denn Hacker und Schadsoftware sind existenzgefährdende Bedrohungen. Aber um seine IT vor Angriffen wirksam zu schützen muss man einiges an Aufwand betreiben und ein signifikantes Budget einplanen. lesen

Lernen Sie Ihre Zielgruppe kennen

Es gibt unterschiedliche Herangehensweisen. Bevor man aber überhaupt in ein Gespräch einsteigt, sollte man sich immer bewusst machen, mit wem genau man es zu tun hat. Die Botschaft: lernen Sie Ihre Unternehmensführung und das Management (besser) kennen. IT-Sicherheitsexperten sollten sich in jedem Fall klar machen, wie die Menschen „ticken“ mit denen sie es zu tun haben, bevor sie in ein Gespräch einsteigen. Denn Sie haben ja ein bestimmtes Ziel vor Augen und hoffen die betreffende Person dahingehend positiv beeinflussen zu können. Einfacher gesagt, man sollte wissen, welchen Typ von Führungspersönlichkeit man vor sich hat.

Es gibt drei charakteristische Typen von Managern und Managerinnen, die unterschiedliche Prioritäten setzen, wenn sie eine Entscheidung treffen.

Der Resultat-/Ergebnisorientierte Typ: So etwas wie der „Buchhalter“ in unserem beruflichen Leben. Ihr Gegenüber ist einzig und allein an den Fakten interessiert und daran, ob das, was Sie vortragen, finanziell Sinn macht. Hier sollten Sie sich im Gespräch auf den ROI konzentrieren.

Der emotionale Typ: Auch dann, wenn Sie mit dieser Person irgendwann über Zahlen sprechen, wird Ihr Gesprächspartner vermutlich eher daran interessiert sein, welche Folgen eine Datenschutzverletzung haben und wie sehr sie einer Marke, einem Unternehmen insgesamt schaden kann.

Der visionäre Typ: Der Visionär ist eine interessante Kombination aus resultatorientiert und emotional. Zahlen und Kontext sind für diesen Manager-Typus gleichermaßen wichtig. Hier ist es sinnvoll emotionale Argumente mit Zahlen und Fakten zu unterfüttern und sich auf die positiven Effekte zu konzentrieren.

Hat man eine Idee von der Persönlichkeitsstruktur desjenigen, der die Hand über das Budget hält, gibt diese Struktur den Ausschlag wie man besten argumentiert. Es existieren eine ganze Reihe unterschiedlicher Strategien. Wir konzentrieren uns auf die beiden wichtigsten: „Sich auf das Unerwartete vorbereiten“ und „Wie man den ROI erreicht“.

Wie man sich auf etwas vorbereitet, das man nicht kennt und trotzdem befürchten muss

In vielen Fällen sind Ängste und Befürchtungen etwas, auf das Menschen sehr unmittelbar reagieren. Furcht ist tatsächlich einer der wichtigsten Gründe, warum Menschen Geld ausgeben. Ein Beispiel ist die Bewegung der „Prepper“, die auch hierzulande immer häufiger von sich Reden macht. Es handelt sich um eine Gruppe von Menschen, die viel Zeit und Geld investieren, um für einen angenommen „Ernstfall“ vorbereitet zu sein.

Befürchtungen haben nicht immer eine reale Grundlage. Sie sind aber ein sinnvoller Antrieb um sich gegen Eventualitäten zu wappnen. Wenn man beispielsweise in einem Teil der Welt lebt, der regelmäßig von Naturkatastrophen heimgesucht wird, ist es sinnvoll sich entsprechend vorzubereiten.

Die Meisten, die intern Investitionen in IT-Sicherheit legitimieren müssen, sind auf eine solche Diskussion nicht ausreichend vorbereitet. Entscheidend sind einerseits die Detailtiefe und andererseits das Vermitteln konkreter Erfahrungen die andere schon gemacht haben.

„Was wäre wenn, wir tatsächlich Opfer eines Hackerangriffs werden würden? Wahrscheinlich hätten wir es mit einer Reihe von Schwierigkeiten zu tun.“ Das ist zwar sachlich richtig, aber bei weitem nicht ausreichend um jemanden zu überzeugen. Man sollte sich die Zeit nehmen und die Auswirkungen von Datenschutzverletzungen studieren mit denen es andere Firmen in der Vergangenheit schon zu tun hatten. Beispiele aus dem „richtigen Leben“ überzeugen mehr als theoretische Gedankenspiele.

Beispiel 1: Die Einzelhandelskette Target

Der Angriff auf die Einzelhandelskette Target ist so etwas wie der Archetyp dessen, was passieren kann. Und zwar nicht nur theoretisch. Im Fall von Target lassen sich die Folgen inzwischen recht gut beziffern. Der Diebstahl von 40 Millionen Kreditkartendaten und 70 Millionen Nutzerdatensätzen führte zu:

  • 46 Prozent Umsatzverlust, geschätzte 1,2 Milliarden US-Dollar
  • 200 Millionen US-Dollar Zahlungen an Kreditkarteninstitutionen für das Neuausstellen der gestohlenen Karten
  • 100 Millionen US-Dollar kostete das Upgraden der POS-Terminals
  • Und 55 Millionen US-Dollar teuer war die Abfindung an den CEO des Unternehmens

Beispiel 2: Die schweizer Wegelin Bank

Die älteste Bank der Schweiz, die St. Gallener Wegelin Bank, wurde 1741 gegründet und galt als Branchentitan. Bis mangelhafte interne Kontrollen die Bank letztendlich in die Knie gezwungen haben. Ein Kunde in den USA hatte gestanden, bei der Bank unversteuertes Geld versteckt zu haben. Die Informationen zu diesem Konto stammten aus Unterlagen der UBS. Neben den steuerrechtlichen und politischen Erschütterungen in diesem Fall, waren es fehlende Governance und die fehlende Separation of Duties (SOD), die es bestimmten Bankern erlaubt hatte auf vertrauliche interne Konten zuzugreifen und mithilfe von Scheinfirmen Steuergelder zu hinterziehen. Der Fall schlug international und national hohe Wellen, die Führungspersonen wurden angezeigt und waren lediglich dadurch geschützt, dass Auslieferungsabkommen nicht für den Bereich der Finanzkriminalität gelten.

Das sind nur zwei Beispiele unter Tausenden. Es geht dabei immer um die ganz realen Auswirkungen von Datenschutzverletzungen auf ganz reale Kunden. Je besser ein Vorfall zur Situation im eigenen Unternehmen und zur eigenen Branche passt desto eher eignet er sich, argumentative Schützenhilfe zu leisten. Angesichts der Vielzahl bekannt gewordener Vorfälle sollte es nicht allzu schwierig sein den passenden zu finden. Sei es eine Ransomware-Attacke, gestohlene IPs oder Benutzerdatensätze. Die Auswirkungen sind real und sie sind messbar.

IT-Sicherheit messbar machen

Einsatz von Metriken beim Security Monitoring

IT-Sicherheit messbar machen

09.01.08 - Rund 80 Prozent der Sicherheitsrisiken im Unternehmen liegen unterhalb der Wasseroberfläche. Deshalb ist es oft nur eine Frage der Zeit, bis das Unternehmen selbst zum Notfall wird. Dennoch fällt es den Spezialisten ausgesprochen schwer, die für sie relevanten Risiken konkret zu messen. Metriken können dazu eine Hilfestellung gegeben, sofern sie an der richtigen Stelle ansetzen. lesen

Der Königsweg zum ROI

Es mag überraschend klingen, aber wenn es darum geht für Investitionen in die IT-Sicherheit zu argumentieren kann man auf McDonalds und Henry Ford der Businesswelt zurückgreifen. Richard und Maurice McDonald waren die ersten Entrepreneure überhaupt, die erkannten, dass es eine Nachfrage für Fast Food gibt. Aber wie genau sollte man das Vorhaben am besten umsetzen? Zunächst konzentrierten sich die ambitionierten Gründer auf wenige Gerichte (Cheeseburger und Shakes). Dann entwickelten sie einen wiederholbaren Prozess um die Mahlzeiten besonders schnell fertigzustellen. Damit gelang es ihnen die durchschnittliche Wartezeit in einem Schnellrestaurant auf nur rund 30 Sekunden nach der eingegangen Bestellung zu reduzieren. Das war revolutionär.

Henry Ford wiederum hat die moderne Produktionsreihe erfunden und die Fließbandfertigung perfektioniert. Damit senkte er die Zeit, die man bisher für die Produktion eines Model-T gebraucht hatte auf nur noch 93 Minuten. Die Modelle rollten also quasi schneller vom Band als die Lackierung brauchte um zu trocknen. Und wirklich, das war nur mit einer einzigen Farbe, dem sogenannten „Japan Black“ möglich. Kein Wunder also, dass der Ford Model-T nur in einer einzigen Farbe erhältlich war, in schwarz. Es handelt sich also um einen durchgängigen, vorhersehbaren und wiederholbaren Prozess mit gängigen Einzelteilen, die so konstruiert waren, dass man sie schnell und einfach montieren konnte. Damit war es Ford gelungen den noch jungen Automobilmarkt zu dominieren.

In Sicherheit investieren, ROI messbar machen

Moderne Sicherheitslösungen bieten einen wiederholbaren, vorhersehbaren und sicheren Level an Automatisierung. Der ist nötig um Reibungsverluste zu vermeiden und gleichzeitig Firmen flexibler zu machen. Man kann leicht selbst nachvollziehen wie viel Zeit und Aufwand es kostet, beispielsweise einen neuen Mitarbeitenden mit allen Zugriffsberechtigungen auszustatten, die er braucht, und nur mit denen.

Ohne einen definierten sicheren Prozess passiert das Ganze manuell, und solange der Vorgang nicht abgeschlossen ist, kann der Betreffende nicht produktiv arbeiten. Im Gegensatz dazu stelle man sich ein Szenario vor in dem den Fachbereichsverantwortlichen nicht nur Tools zu Verfügung stehen, die sie selbst nutzen können, sondern auch solche, die Anfragen automatisch bearbeiten und ausführen. Ein anderes Beispiel sind typische Help Desk-Anfragen für das Zurücksetzen von Benutzerkonten. Sie kosten geschultes Personal Unmengen von Zeit. Über unternehmensweite Self-Service-Portale können sich die Benutzer stattdessen selbst helfen. Solche Ansätze haben einiges für sich. Mitarbeitende werden produktiver. Und das in einer Umgebung, die kontrolliert und die sicher ist. Automatisierung sorgt dafür, dass alle Konten durchgängig überwacht werden, dass veraltete oder riskante Zugriffsberechtigungen geändert beziehungsweise gelöscht werden, dass Konten in der Cloud angelegt werden und so weiter.

Fazit

Bei den meisten aktuellen Sicherheitslösungen ist es inzwischen möglich den ROI auf die eine oder andere Art messbar zu machen. Sie haben die Daten zur Verfügung, die sie für Ihr Zielpublikum brauchen. Konzentrieren Sie sich dann auf die potenziellen Kosten im Schadensfall oder auf das Versprechen Zeit und Geld zu sparen? Das kommt auf Ihre Gesprächspartner an. Unabhängig von der Position, die Sie vertreten wollen: es gibt ausreichend Fakten, die IT-Sicherheit auch im Hinblick auf die Budgetvergabe ganz nach oben auf die Agenda zu bringen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45485403 / Sicherheits-Policies)