Viel hilft selten viel

Richtig in Cyber-Sicherheit investieren

| Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Mithilfe einer Risikoanalyse lässt sich im Vorfeld verhindern, dass man Geld den Abfluss herunterspült.
Mithilfe einer Risikoanalyse lässt sich im Vorfeld verhindern, dass man Geld den Abfluss herunterspült. (Bild: Archiv)

Cyber-Attacken gefährden die IT-Systeme von Unternehmen und die wertvollen Daten. Vor allem nach Meldungen über neue Attacken oder nach konkreten Vorfällen im Unternehmen wird oft hektisch in neue Sicherheitssoftware investiert. Nur: Viel hilft nicht unbedingt – entscheidend ist, dass man richtig investiert.

Das Phänomen ist nicht neu. Es war beispielsweise in den vergangenen Jahren auch in manchem Unternehmen der Finanzindustrie zu beobachten, wenn die Auditoren schwerwiegende Mängel in der Umsetzung von regulatorischen Vorgaben festgestellt haben: Man hatte versucht, mit Technologieinvestitionen „um jeden Preis“ die Herausforderungen zu lösen.

Es besteht kein Zweifel, dass man auch technische Maßnahmen braucht, um die IT-Sicherheit zu erhöhen oder die wachsenden regulatorischen Anforderungen erfüllen zu können. Nur: Technologie alleine reicht nie aus.

Letztlich spielen immer Organisation und Mitarbeiter, Richtlinien und Prozesse eine Rolle. Und dann braucht es natürlich auch die geeignete Technologie. Da die IT-Budgets beschränkt sind, bedeutet das auch, dass man überlegen muss, mit welchem Mix an Technologien man die bestehenden Herausforderungen am besten adressieren kann.

Risikoanalyse beugt Fehlinvestitionen vor

Der erste Schritt hin zu fokussierten und erfolgreichen Investitionen in IT-Sicherheit ist daher die Risikoanalyse. Wenn man die Risiken kennt, kann man bei der Diskussion über mögliche Investitionen in IT-Sicherheit auch bewerten, wie hoch der Beitrag solcher Investitionen zur Verringerung des Risikos sein kann.

Eine Risikobewertung schärft aber automatisch auch den Blick für die erforderlichen Maßnahmen bezüglich der Organisation, der Mitarbeiter, der Richtlinien und der Prozesse. Viele Risiken entstehen ja dadurch, dass Mitarbeiter sich versehentlich oder, im Falle von internen Angreifern und Missbrauch, auch bewusst falsch verhalten.

Die Ausbildung der Mitarbeiter, aber auch definierte Prozesse und Richtlinien, die geeignete Vorgaben machen, sind unverzichtbar, um Risiken zu reduzieren. Denn der „Risikofaktor Mensch“ darf bei der IT-Sicherheit nicht unterschätzt werden, wie sich bei sehr vielen Angriffen und Missbrauchsfällen zeigt. Die konsequente Sensibilisierung und Ausbildung der Mitarbeiter für IT-Sicherheitsthemen ist damit ein essentieller Baustein jeder IT-Sicherheitsstrategie.

Bei Technologieinvestitionen geht es dann darum, ihren Nutzen bezüglich der Risikoentschärfung, englisch Risk Mitigation, zu verstehen. Dieser verändert sich auch im Laufe der Zeit durch verändertes Nutzerverhalten (Mobilität), durch sich ändernde IT-Infrastrukturen (Cloud) und durch neue Angriffsvektoren. Traditionelle Firewalls helfen nicht, wenn Nutzer vom mobilen Endgerät direkt auf Cloud-Dienste zugreifen.

Martin Kuppinger: „Der erste Schritt hin zu fokussierten und erfolgreichen Investitionen in IT-Sicherheit ist die Risikoanalyse.“
Martin Kuppinger: „Der erste Schritt hin zu fokussierten und erfolgreichen Investitionen in IT-Sicherheit ist die Risikoanalyse.“ (Bild: KuppingerCole)

Basierend auf einer Risiko- und Nutzenanalyse kann man aber mit überschaubarem Aufwand zwei wichtige Ziele erreichen. Eines davon ist ein Überblick über die aktuellen und zukünftigen Technologiebausteine im Bereich IT-Sicherheit. Das andere ist eine Priorisierung von Investitionen statt punktueller Lösungen und Investitionen im „Panikmodus“, weil man sich eben irgendwie gegen vermeintliche oder echte Bedrohungen wehren möchte. Es geht nicht darum, viel Geld in IT-Sicherheitstechnologie zu stecken, sondern richtig zu investieren.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44005418 / Risk Management)