365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Sandra Wiesbeck leitet diesen Cluster, für den sie schon seit zwölf Jahren IT-Sicherheitsthemen bearbeitet. Und das mit fundierten IT-Kenntnissen: Schon im BWL-Studium entschied sie sich für die Fachrichtung Wirtschaftsinformatik. Damit war sie prädestiniert, für Entwickler gesetzliche Anforderungen in Software-Requirements zu transformieren, was sie viele Jahre erfolgreich für ein Software-Haus tat. Heute ist sie mit dem Sicherheits-Cluster erfolgreich, der auf 130 Mitgliedsunternehmen und -einrichtungen angewachsen ist. Im Interview beantwortet sie Fragen zur Etatplanung für IT-Sicherheit.
Eine Faustregel, wonach das erforderliche Investitionsvolumen bestimmt werden kann, gibt es leider nicht. Dafür sind die Anforderungen in den Unternehmen und Branchen zu unterschiedlich. Beispielsweise müssen Unternehmen, die zur kritischen Infrastruktur (KRITIS) zählen, besondere Auflagen erfüllen. Das gestaltet sich recht aufwendig und damit kostenintensiv. Klar ist jedoch: Mit steigendem Grad der Digitalisierung sollten im gleichen Maß die Ausgaben für die IT-Sicherheit steigen. Ausschlaggebend ist die Art der zu schützenden Daten, Patientendaten sind schutzbedürftiger als die eines Handwerksbetriebs. Dazu ist eine Bewertung der vorhandenen Informationen erforderlich, um die Kronjuwelen zu identifizieren. Das sind Daten, die unternehmenskritisch sind und nicht verloren gehen dürfen, zum Beispiel Forschungsergebnisse. Die zu schützenden Informationen sollten immer die Bemessungsgrundlage für das erforderliche Budget bilden. Dem Unternehmen muss bewusst sein, dass auch Informationen einen monetären Wert haben können. Manchmal allerdings nur indirekt, wenn etwa bestimmte Daten an sich nicht wertvoll sind, aber bei Verlust aufgrund gesetzlicher Vorgaben eine Strafe droht.
Es existieren verschiedene gesetzliche Anforderungen. Strafen gemäß DSGVO drohen, wenn beispielsweise die gesetzlichen Bestimmungen für den Schutz von Kunden- oder Personaldaten nicht eingehalten werden. Auch das IT-Sicherheitsgesetz sieht Sanktionen vor, etwa bei der Meldepflicht von Sicherheitsvorfällen. Für Kommunen kommt noch das E-Governmentgesetz hinzu. Des Weiteren sind manchmal branchenabhängige Regelungen zu beachten, bei Banken SOX-Compliance oder Basel II. Hersteller von Medizingeräten müssen ebenfalls spezifische IT-Sicherheitsvorgaben berücksichtigen.
Zumindest im Branchendurchschnitt sind Unterschiede erkennbar. Das lässt sich auch einfach erklären: Es gibt Branchen, in denen allein durch den Geschäftszweck sensible Daten entstehen oder verarbeitet werden. Im Bereich Biotechnologie fallen zum Beispiel sehr häufig kritische Entwicklungs- oder Forschungsdaten an, die vor Diebstahl geschützt werden müssen. Auch aus einer Lieferkette können sich Abhängigkeiten ergeben: In der Automobilindustrie müssen Zulieferer Sicherheitsvorgaben der KFZ-Hersteller erfüllen. Die Automobilindustrie hat hierfür mit TISAX einen eigenen Standard geschaffen.
Hier sehe ich keine so deutlichen Unterschiede, wie bei Branchen. Ein Unternehmen – egal wie groß oder klein – muss die wichtigsten Geschäftsprozesse und die dafür notwendigen Daten identifizieren. Danach kommen die Kostenfragen. Natürlich verfügen größere Unternehmen meist über einen höheren Grad an Digitalisierung und kritische Abteilungen, wie Forschung und Entwicklung. Meistens orientieren sich gesetzliche Vorgaben auch an der Unternehmensgröße. Allerdings kann man als kleines Unternehmen sehr stark durch die Anforderungen größerer Kunden gefordert sein, viel in IT-Sicherheit investieren, wie etwa bei Automobilzulieferern dargestellt. Entweder dadurch, dass Daten mit einem geteilt werden oder durch vom Kunden geforderte Risikobewertungen: Schon bei der Angebotsabgabe stellen Sicherheitsanforderungen bei Zulieferern ein Bewertungskriterium dar. Beispielsweise kann ein kleiner Ingenieurdienstleister in ein Entwicklungsprojekt eingebunden werden und muss dann den Sicherheitsstandard für die übermittelten Daten des Kunden einhalten. Andernfalls könnte man den Auftrag verlieren oder riskiert Vertragsstrafen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterteilt im IT-Grundschutz das Feld in verschiedene Bausteine wie Virenschutz oder Intrusion Detection. Die dort genannten Module und Prioritäten können als Richtlinie dienen. Ich empfehle, dass man sich zunächst überlegt, was für das eigene Unternehmen das Wichtigste ist. Manchmal wird zu viel in neue Hardware investiert, ohne dass vorher klar ist, was man wirklich benötigt. Häufig werden dabei die Personalkosten vergessen, man braucht jedoch Fachkräfte, die sich um IT-Sicherheit kümmern. Zuerst sollte ein Sicherheitskonzept erstellt werden, das ist entscheidend. Gegebenenfalls muss man sich dafür Hilfe holen. Danach könnte zunächst eine Konsolidierung ratsam sein, weil in vielen Unternehmen eine Vielfalt von Systemen existiert. Wenn man das standardisiert, kann man vielleicht mit lediglich einer Sicherheitslösung arbeiten, ansonsten benötigt man eventuell verschiedene. Ein weiterer Punkt, der bei der Budget-Planung zu berücksichtigen ist, sind Schulungen der Mitarbeiter.
Ganz pragmatisch könnte man das über Zeiteinheiten regeln, da die Aufrechterhaltung von Prozessen und die Administration von Software und Hardware meist reinen Personalaufwand bedeutet. Hierzu sind Gespräche mit den Fachleuten aus den hausinternen Produktionsbereichen hilfreich, denn die kennen das Unternehmen besser als externe Berater. Schwieriger wird es, wenn ich erst Stellen für Sicherheitsexperten schaffen muss. Dann empfiehlt es sich, mit einem externen Informationssicherheitsbeauftragten (ISB) zu beginnen, um nach und nach den Arbeitsaufwand für eine interne Stelle abzuschätzen. Da es momentan sehr schwierig ist, Fachkräfte zu gewinnen, kann man mit dem ISB eine Ausschreibung gestalten oder einen Ausbildungsplan entwickeln.
Hier spielen nicht nur monetäre Fragen eine Rolle, sondern auch Sicherheitsbewertungen. SECaaS benötigt meist eine Internetverbindung, dadurch habe ich direkte Gefahren aus dem Netz. Eine Onpremise-Installation könnte ich natürlich ohne Netz rein intern betreiben und dadurch schon einmal die Sicherheit erhöhen. Entscheidend ist auch, ob bereits entsprechendes Equipment im Haus vorhanden ist. Wenn ich zum Beispiel ein eigenes Rechenzentrum betreibe, bleiben eher Fragen der Skalierung übrig, aber ich benötige keine Grundinvestition. Habe ich allerdings bisher beispielsweise nur ein NAS im Kopierraum stehen, ist es meist nicht sinnvoll, einen kompletten Serverraum aufzubauen. Da ist man mit einem SECaaS-Modell schneller, sicherer und günstiger unterwegs. Doch auch bei einer Entscheidung für Security as a Service muss man den Überblick über das Gesamtsicherheitskonzept behalten.
Ganz wichtig ist, dass IT-Sicherheit von ganz oben gesteuert werden muss. Nur so kann die Akzeptanz im ganzen Unternehmen sichergestellt werden. IT-Sicherheit betrifft alle Abteilungen, es muss zentral organisiert werden. Wenn jede Abteilung eigene Lösung kauft, kommt man nicht zu einem sinnvollen Gesamtkonzept und Sicherheit wird dann nur stiefmütterlich behandelt. Außerdem können nur von der oberen Ebene entsprechende Budgets eingerichtet werden. IT-Sicherheit betrifft nicht das Kerngeschäft, daher ist es oft schwierig, das nötige Budget zu bekommen. Wenn Sie Schulungen planen, müssen die auch unternehmensweit erfolgen und entsprechend budgetiert werden. Das geht nur auf der entsprechenden Ebene.
Autor: Uwe Sievers
