Laut Statistik war mindestens jedes zweite deutsche Unternehmen schon einmal die Zielscheibe von Computerkriminalität – oftmals ist hierdurch auch ein ernstzunehmender wirtschaftlicher Schaden entstanden. Aufgrund der permanenten Aufklärungskampagnen sind zwar mittlerweile ein Großteil der Verantwortlichen dazu bereit, größere Budgets für die IT-Sicherheit freizustellen; nur setzen viele dabei auf – meist technische – Insellösungen und dies, obwohl mit einem ganzheitlichen Ansatz bei nahezu identischem Einsatz der Mittel ein höherer Schutz der unternehmensinternen Systeme zu erreichen wäre.
Damit sich IT-Sicherheit optimal im Unternehmen integrieren lässt, sollte sie nicht als kostenträchtiges und lästiges Abstraktum betrachtet werden, sondern vielmehr als hilfreiches Vehikel innerhalb der Wertschöpfungskette. Dass Unternehmen bei der Abwicklung von vielen Geschäftsprozessen beziehungsweise allgemein für das Betreiben ihres Kerngeschäfts auf funktionierende IT-Systeme angewiesen sind, steht inzwischen ja nicht mehr zur Diskussion. Diese Erkenntnis allein hilft dem Verantwortlichen im Unternehmen in der Regel nicht weiter; seine wahre Herausforderung besteht vielmehr darin, eine – unter dem Kosten-/Nutzenaspekt – adäquate Strategie zu entwickeln, mit der grundsätzlich die Aufrechterhaltung des Geschäftsbetriebs gewährleistet werden kann.
Hierbei kommt es in erster Linie darauf an, mit geeigneten Maßnahmen die Eintrittswahrscheinlichkeit von Unterbrechungen bei kritischen Systemen gravierend zu senken oder – falls dies aus technischen oder organisatorischen Gründen nicht realisierbar ist – zumindest die Auswirkungen von technischen Ausfällen oder sonstigen so genannten kritischen Vorfällen auf ein Minimum zu reduzieren. Hilfreich in diesem Zusammenhang ist auch, die Auswirkungen von kritischen Vorfällen einmal genauer unter die Lupe zu nehmen, denn selbst ein an sich triviales Ereignis wie ein kurzer Stromausfall oder ein Fluss, der über die Ufer tritt, kann die Ursache dafür sein, dass in einer Fabrik die Produktionslinien stillstehen.
Dies bedeutet jedoch nicht, dass sich ein Unternehmen planlos gegen jeden nur erdenklichen Notfall absichern muss. Im Gegenteil, am Anfang einer jeden zielgerichteten Sicherheitsstrategie ist erst einmal zu analysieren, was im Unternehmen tatsächlich schützenswert ist. Im Rahmen dieser Schutzbedarfsanalyse wird zum Beispiel eruiert, welche Daten und/oder Systeme für den geordneten Fortgang der Geschäftstätigkeit unerlässlich sind – hier wird exakt beleuchtet, wie viel IT-Sicherheit für das Kerngeschäft tatsächlich notwendig ist. Im Laufe dieses Prozesses gelangt man meist unweigerlich zu der Erkenntnis, dass der Begriff IT-Sicherheit weitaus vielschichtiger ist, als zu Beginn gedacht.
Zum besseren Verständnis des komplexen Begriffs sollte daher die IT-Sicherheit zunächst in ihre Merkmale zerlegt werden. In (1.) Verfügbarkeit, damit wird die Eigenschaft eines Systems bezeichnet, bestimmte Dienstleistungen in definierter Zeit und Qualität bereitzustellen; (2.) Vertraulichkeit, diese wird gewährleistet, wenn die – in einem System enthaltenen – Informationen nur Berechtigten zur Kenntnis gelangen können; und (3.) Integrität, dies ist die Eigenschaft eines Systems, die besagt, dass nur zulässige Veränderungen der – in dem System enthaltenen – Informationen durchführbar sind. Die genannten Sicherheitsmerkmale sind innerhalb der Unternehmens-IT jeweils für verschiedene, zur Abarbeitung von Geschäftsprozessen notwendige Bereiche relevant: so hat beispielsweise bei der Absicherung der IT-Infrastruktur die Verfügbarkeit oberste Priorität, bei IT-Anwendungen sowohl die Verfügbarkeit als auch die Integrität. Diese Betrachtungsweise bedeutet jedoch keinesfalls, dass die IT-Sicherheit als Stückwerk aufgefasst werden soll. Im Gegenteil – ein integrierter Ansatz ist essentiell, damit der Aufwand, der für mehr Sicherheit an einer Stelle betrieben wird, nicht durch eine kleine Lücke an einer anderen Stelle konterkariert wird.
Aus den Ergebnissen der Schutzbedarfsanalyse kann das erforderliche Sicherheitslevel im Hinblick auf die unterschiedlichen IT-Anwendungen im Unternehmen bestimmt werden; um hier die bestmöglichen Ergebnisse zu erhalten, ist eine systematische Vorgehensweise angebracht. Diese verlangt im ersten Schritt eine Erfassung der im Unternehmen bereits vorhandenen Umgebung – sprich, eine Feststellung aller Maßnahmen, die zur Absicherung bereits durchgeführt wurden. Diese Statusanalyse dient im Weiteren sowohl als Grundlage für die Bewertung des momentanen Sicherheitsniveaus als auch für die Festlegung des notwendigen Schutzbedarfs. Zur besseren Transparenz werden an dieser Stelle – unter Berücksichtigung des tatsächlichen Bedrohungspotentials – verschiedene Schutzbedarfskategorien festgelegt.
Die Initiierung des Planungsprozesses sowie die Begleitung der ersten Projektphase liegt in der Verantwortung der Geschäftsleitung, denn hier stehen wichtige Entscheidungen an, wie beispielsweise die Festlegung der Verantwortlichkeiten, der allgemeinen Organisation sowie der Detaillierungstiefe. Nach dieser Einführungsphase findet die Bestimmung der kritischen Geschäftsprozesse statt: hierbei werden die einzelnen Geschäftsfunktionen sowie die Anwendungen und wichtigsten Unternehmensdaten (Assets) ermittelt und auf ihre Abhängigkeit von den IT-Systemen untersucht. Diese Überprüfung ist einer der Kernaspekte auf dem Weg zu einem optimal abgesicherten Unternehmen, denn hier werden die wesentlichen Schadensszenarien herausgearbeitet. So wird beispielsweise untersucht, welche Auswirkungen ein Stromausfall auf das Unternehmen tatsächlich hat, welche Folgen sich daraus kurz-, mittel- und langfristig kumuliert ergeben, sowie ab welchem Punkt die entstehenden Schäden den geordneten Fortgang der wichtigen Prozesse bedrohen. Des Weiteren werden dabei natürlich auch Eintrittswahrscheinlichkeit sowie Schadenshöhe und bisherige präventive Maßnahmen berücksichtigt.
Eines der wesentlichen Ergebnisse aus dieser so genannten Business Impact Analyse ist dann auch die Einordnung der Prozesse in Risikoklassen. Auf den Risikoklassen basiert die Planung der einzelnen Maßnahmen, sowohl für die Erstellung der Sicherheitsarchitekturen als auch für die Ausarbeitung der Strategie für Prävention und Notfallvorbereitung. Insbesondere im Hinblick auf die Sicherheitsarchitekturen gilt es, eine sorgfältige Abschätzung der Risikowahrscheinlichkeit vorzunehmen; bei geringem Schutzbedarf, dass heißt, bei minimalem Schadenspotential und niedriger Eintrittswahrscheinlichkeit kann eine generische Lösung eingesetzt werden. Für eine ganzheitliche Sicherheitsstrategie ist neben dem Einsatz der Technologie, auch die umfassende Dokumentation aller Maßnahmen sowie die Erstellung von IT-Sicherheitsrichtlinien für die Mitarbeiter notwendig.
Da die Etablierung von IT-Sicherheit insgesamt im Unternehmen kritisch geprüft wird – weil Schutzmaßnahmen Geld kosten, im ersten Moment nicht die Produktivität erhöhen und oft sogar die Flexibilität der Systeme einschränken – ist bei der Erstellung von ganzheitlichen Sicherheitskonzepten stets darauf zu achten, dass bei der Auswahl der entsprechenden Schutzmaßnahmen der Aspekt der wirtschaftlichen Angemessenheit berücksichtigt wird. Findet eine systematische Vorgehensweise zur Ermittlung des Schutzbedarfs statt, kommt es oft zu interessanten Ergebnissen: viele IT-Systeme werden überdimensioniert geplant, vorhandene Hochverfügbarkeitslösungen sind unnötigerweise zu umfangreich ausgelegt, weil oft Ausfallzeiten von zwei bis drei Tagen durchaus tolerierbar sind.
Auf dem Ansatz, IT-Sicherheit nicht punktuell zu behandeln, basiert auch für das Beratungsunternehmen Heine & Partner GmbH die logische Vorgehensweise. So lautet die Prämisse des Unternehmens: „Wir begleiten unsere Kunden durch alle Phasen zur Herstellung einer ganzheitlichen Sicherheit.“ Im ersten Schritt erfolgt hierfür die Feststellung des Handlungsbedarfs; dieser Prozess kann innerhalb von fünf Tagen durchgeführt werden und ist notwendig, um alle weiteren Maßnahmen auf die vorhandene Umgebung abstimmen zu können. Denn Sicherheitslösungen „aus der Schublade“ sind nur bedingt hilfreich – zu unterschiedlich gestalten sich Positionierung und strategische Ausrichtung der Unternehmen, zu verschieden die Kulturen. Um Verlusten vorzubeugen, muss deshalb das spezifische Risikoumfeld des Unternehmens analysiert und auf seine Gefährdungspotenziale hin betrachtet werden. Hierauf aufbauend werden dann die entsprechenden Pläne erstellt, um die ständige Verfügbarkeit der Geschäftsprozesse und damit der Arbeits- und Produktionsstätten sowie der Informations- und Kommunikationsstruktur zu gewährleisten.