IT-Risiken bewerten – Mut zur Wahrheit

„Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro“, schrieb der Branchenverband BITKOM im Sommer 2021. Die Schadenssumme – ein neuer Rekord – sei mehr als doppelt so hoch wie in den Jahren 2018/2019. Knapp neun von zehn Unternehmen waren zuletzt von Angriffen betroffen.

Inzwischen ist der Punkt erreicht, an dem das St.-Florians-Prinzip eine riskante Wette ist: „Verschon‘ mein Netz, greif‘ andere an.“ Dennoch tun sich viele Organisationen schwer, offen und transparent über das Thema IT-Sicherheit zu reden – nach innen wie nach außen. Fehlende Risiko-Analysen, arglose Top-Manager und isolierte Maßnahmen schwächen die Verteidigung gegen eine professionelle und vernetzte Täterschaft, die nach Lust und Laune ihre Ziele auswählen kann. Zudem sind vielen IT-Security-Teams von Zeit zu Zeit die Hände gebunden, weil nur ein unzureichendes Budget bewilligt wurde. Eine Daumenregel der Angreifer: Die Schwächsten werden die Ersten sein.

IT-Sicherheit und Analysen

Risikoanalysen bedeuten heute nicht mehr, dass Legionen von Beratern und Pentestern das Security-Budget aufzehren. Zum Anfang reicht meist ein automatisierter Scan der Systeme, etwa mit Tools wie LocateRisk. In kurzer Zeit sucht die Software nach Schwachstellen, also Infektionen, Verschlüsselungen, offenen Ports, Konfigurationsfehlern und Datenpannen. Dies umfasst optional auch Geschäftspartner in den eigenen Lieferketten. Die daraus abgeleitete Schwachstellenanalyse zeigt die wichtigsten Baustellen und lässt sich zudem mit den Werten anderer Unternehmen vergleichen. Dadurch erkennen CISOs, wo ihr Team in der Security-Tabelle steht und ob es abstiegsbedroht ist.

IT-Sicherheit und Budgets

Budgets für Maßnahmen, deren Nutzen nicht direkt ersichtlich ist, werden nur zögerlich bewilligt. Wie in der Krankenversicherung gilt: Prophylaxe zur Erhaltung der Zahngesundheit hat im Gegensatz zur Schadensbehandlung nur eine geringe Priorität.

Laut BITKOM-Studie zeigt sich zwar: Als Reaktion auf die verschärfte Bedrohungslage haben Unternehmen ihre Investitionen in IT-Sicherheit aufgestockt: 24 Prozent haben sie deutlich erhöht, 39 Prozent etwas. In 33 Prozent der Unternehmen sind die Ausgaben jedoch unverändert geblieben. „Gemessen am gesamten IT-Budget sind die Aufwendungen für ein Mehr an Sicherheit aber weiter gering“, so der Verband. Durchschnittlich sieben Prozent ihrer IT-Mittel setzen Unternehmen für IT-Sicherheit ein.

IT-Sicherheit und Offenheit

Viele Führungskräfte lassen sich durch pauschale Aussagen ihrer Security-Manager oder von Prüfungsergebnissen namhafter Beratungshäuser besänftigen – „der jähliche Check der Wirtschaftsprüfer“. So entwickelt sich die Kultur der IT-Sicherheit von einem Weg zu einem Ziel, das indes unerreichbar ist. Neben der Transparenz nach innen ist es auch wichtig, sich zu vernetzen und mit anderen Unternehmen auszutauschen. Eine Initiative ist seit Jahren G4C – German Competence Centre against Cybercrime. Die Strategie ist, dass hochspezialisierte Teams interdisziplinär zusammenarbeiten – weil das technische Spezialwissen und die vernetzten Abläufe für viele Anwender allein nicht mehr komplett zu erfassen sind.

IT-Security braucht ehrliche Analysen

IT-Sicherheit darf kein Tabu-Thema sein. Nur Offenheit und Vernetzung der Verantwortlichen macht es möglich, den komplexen Angriffen zu widerstehen. Dazu gehört auch, die eigenen Kapazitäten ehrlich zu analysieren, um gezielt nachzuschärfen. Niemand wird zu 100 Prozent sicher sein, aber im Vergleich mit anderen Organisationen sieht man zumindest, wo man steht – und stehen könnte. Dazu gehört allerdings auch, dass das Top-Management seine Sorgfaltspflichten in Wertschöpfungsketten ernst nimmt und die Entwicklung aktiv vorantreibt, statt nur Berichte abzunicken.

Quelle Titelbild: AdobeStock/Karin & Uwe Annas