Investitionen in IT-Sicherheit legitimieren

Sie sind hier: Das Magazin für alle IT-Security-Themen » Fachbeiträge » Grundlagen


Mit Sicherheit zum ROI: Investitionen in die Cybersicherheit und wie man sie intern überzeugend verargumentiert
Wie man am besten mit welchem Typus Manager spricht, wie man sich auf etwas vorbereitet, das man nicht kennt - Wie man in IT-Sicherheit investiert und gleichzeitig den ROI messbar macht



Von Joe Campbell / Susanne Haase, One Identity

Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

Lernen Sie Ihre Zielgruppe kennen
Es gibt unterschiedliche Herangehensweisen. Bevor man aber überhaupt in ein Gespräch einsteigt, sollte man sich immer bewusst machen, mit wem genau man es zu tun hat. Die Botschaft: lernen Sie Ihre Unternehmensführung und das Management (besser) kennen. IT-Sicherheitsexperten sollten sich in jedem Fall klar machen, wie die Menschen "ticken" mit denen sie es zu tun haben, bevor sie in ein Gespräch einsteigen. Denn Sie haben ja ein bestimmtes Ziel vor Augen und hoffen die betreffende Person dahingehend positiv beeinflussen zu können. Einfacher gesagt, man sollte wissen, welchen Typ von Führungspersönlichkeit man vor sich hat. Es gibt drei charakteristische Typen von Managern und Managerinnen, die unterschiedliche Prioritäten setzen, wenn sie eine Entscheidung treffen.

Der Resultat-/Ergebnisorientierte Typ: So etwas wie der "Buchhalter" in unserem beruflichen Leben. Ihr Gegenüber ist einzig und allein an den Fakten interessiert und daran, ob das, was Sie vortragen, finanziell Sinn macht. Hier sollten Sie sich im Gespräch auf den ROI konzentrieren.

Der emotionale Typ: Auch dann, wenn Sie mit dieser Person irgendwann über Zahlen sprechen, wird Ihr Gesprächspartner vermutlich eher daran interessiert sein, welche Folgen eine Datenschutzverletzung haben und wie sehr sie einer Marke, einem Unternehmen insgesamt schaden kann.

Der visionäre Typ: Der Visionär ist eine interessante Kombination aus resultatorientiert und emotional. Zahlen und Kontext sind für diesen Managertypus gleichermaßen wichtig. Hier ist es sinnvoll emotionale Argumente mit Zahlen und Fakten zu unterfüttern und sich auf die positiven Effekte zu konzentrieren.

Hat man eine Idee von der Persönlichkeitsstruktur desjenigen, der die Hand über das Budget hält, gibt diese Struktur den Ausschlag wie man besten argumentiert. Es existieren eine ganze Reihe unterschiedlicher Strategien. Wir konzentrieren uns auf die beiden wichtigsten: sich auf das Unerwartete vorzubereiten und darauf wie man den ROI erreicht.

Wie man sich auf etwas vorbereitet, dass man nicht kennt und trotzdem befürchten muss
In vielen Fällen sind Ängste und Befürchtungen etwas, auf das Menschen sehr unmittelbar reagieren. Furcht ist tatsächlich einer der wichtigsten Gründe, warum Menschen Geld ausgeben. Ein Beispiel ist die Bewegung der "Prepper", die auch hierzulande immer häufiger von sich Reden macht. Es handelt sich um eine Gruppe von Menschen, die viel Zeit und Geld investieren, um für einen angenommen "Ernstfall" vorbereitet zu sein.

Befürchtungen haben nicht immer eine reale Grundlage. Sie sind aber ein sinnvoller Antrieb um sich gegen Eventualitäten zu wappnen. Wenn man beispielsweise in einem Teil der Welt lebt, der regelmäßig von Naturkatastrophen heimgesucht wird, ist es sinnvoll sich entsprechend vorzubereiten.

Die Meisten, die intern Investitionen in IT-Sicherheit legitimieren müssen, sind auf eine solche Diskussion nicht ausreichend vorbereitet. Entscheidend sind einerseits die Detailtiefe und andererseits das Vermitteln konkreter Erfahrungen die andere schon gemacht haben.

"Was wäre wenn, wir tatsächlich Opfer eines Hackerangriffs werden würden? Wahrscheinlich hätten wir es mit einer Reihe von Schwierigkeiten zu tun." Das ist zwar sachlich richtig, aber bei weitem nicht ausreichend um jemanden zu überzeugen. Man sollte sich die Zeit nehmen und die Auswirkungen von Datenschutzverletzungen studieren mit denen es andere Firmen in der Vergangenheit schon zu tun hatten. Beispiele aus dem "richtigen Leben" überzeugen mehr als theoretische Gedankenspiele.

Beispiel 1: Die Einzelhandelskette Target
Der Angriff auf die Einzelhandelskette Target ist so etwas wie der Archetyp dessen, was passieren kann. Und zwar nicht nur theoretisch. Im Fall von Target lassen sich die Folgen inzwischen recht gut beziffern. Der Diebstahl von 40 Millionen Kreditkartendaten und 70 Millionen Nutzerdatensätzen führte zu:

>> 46 Prozent Umsatzverlust, geschätzte 1,2 Milliarden US-Dollar
>> 200 Millionen US-Dollar Zahlungen an Kreditkarteninstitutionen für das Neuausstellen von
>> 100 Millionen US-Dollar kostete das Upgraden der POS-Terminals
>> Und 55 Millionen US-Dollar teuer war die Abfindung an den CEO des Unternehmens

Beispiel 2: Die schweizerische Wegelin Bank
Die älteste Bank der Schweiz, die St. Gallener Wegelin Bank, wurde 1741 gegründet und galt als Branchentitan. Bis mangelhafte interne Kontrollen die Bank letztendlich in die Knie gezwungen haben. Ein Kunde in den USA hatte gestanden, bei der Bank unversteuertes Geld versteckt zu haben. Die Informationen zu diesem Konto stammten aus Unterlagen der UBS. Neben den steuerrechtlichen und politischen Erschütterungen in diesem Fall, waren es fehlende Governance und die fehlende Separation of Duties (SOD), die es bestimmten Bankern erlaubt hatte auf vertrauliche interne Konten zuzugreifen und mithilfe von Scheinfirmen Steuergelder zu hinterziehen. Der Fall schlug international und national hohe Wellen, die Führungspersonen wurden angezeigt und waren lediglich dadurch geschützt, dass Auslieferungsabkommen nicht für den Bereich der Finanzkriminalität gelten.

Das sind nur zwei Beispiele unter Tausenden. Es geht dabei immer um die ganz realen Auswirkungen von Datenschutzverletzungen auf ganz reale Kunden. Je besser ein Vorfall zur Situation im eigenen Unternehmen und zur eigenen Branche passt desto eher eignet er sich, argumentative Schützenhilfe zu leisten. Angesichts der Vielzahl bekannt gewordener Vorfälle sollte es nicht allzu schwierig sein den passenden zu finden. Sei es eine Ransomware-Attacke, gestohlene IPs oder Benutzerdatensätze. Die Auswirkungen sind real und sie sind messbar.

Der Königsweg zum ROI
Es gab überraschend klingen, aber wenn es darum geht für Investitionen in die IT-Sicherheit zu argumentieren kann man auf McDonalds und Henry Ford zurückgreifen.

Richard und Maurice McDonald waren die ersten Entrepreneure überhaupt, die erkannten, dass es eine Nachfrage für Fast Food gibt. Aber wie genau sollte man das Vorhaben am besten umsetzen? Zunächst konzentrierten sich die ambitionierten Gründer auf wenige Gerichte (Cheeseburger und Shakes). Dann entwickelten sie einen wiederholbaren Prozess um die Mahlzeiten besonders schnell fertigzustellen. Damit gelang es ihnen die durchschnittliche Wartezeit in einem Schnellrestaurant auf nur rund 30 Sekunden nach der eingegangen Bestellung zu reduzieren. Das war revolutionär.

Henry Ford wiederum hat die moderne Produktionsreihe erfunden und die Fließbandfertigung perfektioniert. Damit senkte er die Zeit, die man bisher für die Produktion eines Model-T gebraucht hatte auf nur noch 93 Minuten. Die Modelle rollten also quasi schneller vom Band als die Lackierung brauchte um zu trocknen. Und wirklich, das war nur mit einer einzigen Farbe, dem sogenannten "Japan Black" möglich. Kein Wunder also, dass der Ford Model-T nur in einer einzigen Farbe erhältlich war, in schwarz. Es handelt sich also um einen durchgängigen, vorhersehbaren und wiederholbaren Prozess mit gängigen Einzelteilen, die so konstruiert waren, dass man sie schnell und einfach montieren konnte. Damit war es Ford gelungen den noch jungen Automobilmarkt zu dominieren.

In Sicherheit investieren, ROI messbar machen
Moderne Sicherheitslösungen bieten einen wiederholbaren, vorhersehbaren und sicheren Level an Automatisierung. Der ist nötig um Reibungsverluste zu vermeiden und gleichzeitig Firmen flexibler zu machen. Man kann leicht selbst nachvollziehen wie viel Zeit und Aufwand es kostet, beispielsweise einen neuen Mitarbeitenden mit allen Zugriffsberechtigungen auszustatten, die er braucht, und nur mit denen.

Ohne einen definierten sicheren Prozess passiert das Ganze manuell, und solange der Vorgang nicht abgeschlossen ist, kann der Betreffende nicht produktiv arbeiten. Im Gegensatz dazu stelle man sich ein Szenario vor in dem den Fachbereichsverantwortlichen nicht nur Tools zu Verfügung stehen, die sie selbst nutzen können, sondern auch solche, die Anfragen automatisch bearbeiten und ausführen. Ein anderes Beispiel sind typische Help Desk-Anfragen für das Zurücksetzen von Benutzerkonten. Sie kosten geschultes Personal Unmengen von Zeit.

Über unternehmensweite Self-Service-Portale können sich die Benutzer stattdessen selbst helfen. Solche Ansätze haben einiges für sich. Mitarbeitende werden produktiver. Und das in einer Umgebung, die kontrolliert und die sicher ist. Automatisierung sorgt dafür, dass alle Konten durchgängig überwacht werden, dass veraltete oder riskante Zugriffsberechtigungen geändert beziehungsweise gelöscht werden, dass Konten in der Cloud angelegt werden und so weiter.

Fazit
Bei den meisten aktuellen Sicherheitslösungen ist es inzwischen möglich den ROI auf die eine oder andere Art messbar zu machen. Sie haben die Daten zur Verfügung, die sie für Ihr Zielpublikum brauchen. Konzentrieren Sie sich dann auf die potenziellen Kosten im Schadensfall oder auf das Versprechen Zeit und Geld zu sparen? Das kommt auf Ihre Gesprächspartner an. Unabhängig von der Position, die Sie vertreten wollen: es gibt ausreichend Fakten, die IT-Sicherheit auch im Hinblick auf die Budgetvergabe ganz nach oben auf die Agenda bringen. (One Identity: ra)

eingetragen: 09.09.18
Newsletterlauf: 05.10.18

One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

Schon die einfache SSL-Einrichtung kann Risiken bergen

Die fortschreitende Ökonomisierung in der Cyberkriminalität bringt immer spezifischere Angriffsvektoren hervor. Malware-Kampagnen machen sich mithilfe von Exploit Kits automatisiert auf die Suche nach Sicherheitslücken in gängigen Anwendungen, um Infrastrukturen infiltrieren zu können.

Produktive sichere Arbeitsumgebungen schaffen

Die Risiken der sogenannten Schatten-IT werden häufig unterschätzt. Auf den ersten Blick scheinen die Anwendungen, Cloud-Dienste und Konten, welche Abteilungen ohne Genehmigung der IT-Verantwortlichen nutzen, eher harmlos. Sie sind oft benutzerfreundlicher als die Unternehmens-IT und stehen kostenlos zur Verfügung.

Eintrittskarte für den Versicherungsschutz

IT-Sicherheit hat ein Problem: Sie erzielt keine Gewinne. Für viele verursacht sie immer noch zu hohe Kosten. Der Nutzen der Cyberabwehr durch eine umfassende IT-Sicherheitsplattform lässt sich aber durchaus darstellen. Ohne Zweifel verursacht Cyber-Abwehr zusätzliche Kosten über den reinen Lizenzpreis hinaus. Denn eine Sicherheitssoftware ist nicht nur zu beschaffen und schnell zu installieren.

Verstärkter Angriff auf Backup-Infrastrukturen

Ransomware-Angriffe nutzen Schwachstellen aus, um in Unternehmen einzudringen. Sie verschlüsseln Business-Daten und versuchen damit hohe Lösegeldzahlungen zu erpressen. Eine besonders stark betroffene Branche ist das Gesundheitswesen. Hier verzeichnete man im Jahr 2021 einen erschreckenden Anstieg der Ransomware-Angriffe um 755 Prozent.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>

Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Diese Webseite verwendet Cookies - Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit dem Klick auf „Erlauben“erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.