- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Investitionen in IT-Sicherheit legitimieren


Mit Sicherheit zum ROI: Investitionen in die Cybersicherheit und wie man sie intern überzeugend verargumentiert
Wie man am besten mit welchem Typus Manager spricht, wie man sich auf etwas vorbereitet, das man nicht kennt - Wie man in IT-Sicherheit investiert und gleichzeitig den ROI messbar macht

- Anzeigen -





Von Joe Campbell / Susanne Haase, One Identity

Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

Lernen Sie Ihre Zielgruppe kennen
Es gibt unterschiedliche Herangehensweisen. Bevor man aber überhaupt in ein Gespräch einsteigt, sollte man sich immer bewusst machen, mit wem genau man es zu tun hat. Die Botschaft: lernen Sie Ihre Unternehmensführung und das Management (besser) kennen. IT-Sicherheitsexperten sollten sich in jedem Fall klar machen, wie die Menschen "ticken" mit denen sie es zu tun haben, bevor sie in ein Gespräch einsteigen. Denn Sie haben ja ein bestimmtes Ziel vor Augen und hoffen die betreffende Person dahingehend positiv beeinflussen zu können. Einfacher gesagt, man sollte wissen, welchen Typ von Führungspersönlichkeit man vor sich hat. Es gibt drei charakteristische Typen von Managern und Managerinnen, die unterschiedliche Prioritäten setzen, wenn sie eine Entscheidung treffen.

Der Resultat-/Ergebnisorientierte Typ: So etwas wie der "Buchhalter" in unserem beruflichen Leben. Ihr Gegenüber ist einzig und allein an den Fakten interessiert und daran, ob das, was Sie vortragen, finanziell Sinn macht. Hier sollten Sie sich im Gespräch auf den ROI konzentrieren.

Der emotionale Typ: Auch dann, wenn Sie mit dieser Person irgendwann über Zahlen sprechen, wird Ihr Gesprächspartner vermutlich eher daran interessiert sein, welche Folgen eine Datenschutzverletzung haben und wie sehr sie einer Marke, einem Unternehmen insgesamt schaden kann.

Der visionäre Typ: Der Visionär ist eine interessante Kombination aus resultatorientiert und emotional. Zahlen und Kontext sind für diesen Managertypus gleichermaßen wichtig. Hier ist es sinnvoll emotionale Argumente mit Zahlen und Fakten zu unterfüttern und sich auf die positiven Effekte zu konzentrieren.

Hat man eine Idee von der Persönlichkeitsstruktur desjenigen, der die Hand über das Budget hält, gibt diese Struktur den Ausschlag wie man besten argumentiert. Es existieren eine ganze Reihe unterschiedlicher Strategien. Wir konzentrieren uns auf die beiden wichtigsten: sich auf das Unerwartete vorzubereiten und darauf wie man den ROI erreicht.

Wie man sich auf etwas vorbereitet, dass man nicht kennt und trotzdem befürchten muss
In vielen Fällen sind Ängste und Befürchtungen etwas, auf das Menschen sehr unmittelbar reagieren. Furcht ist tatsächlich einer der wichtigsten Gründe, warum Menschen Geld ausgeben. Ein Beispiel ist die Bewegung der "Prepper", die auch hierzulande immer häufiger von sich Reden macht. Es handelt sich um eine Gruppe von Menschen, die viel Zeit und Geld investieren, um für einen angenommen "Ernstfall" vorbereitet zu sein.

Befürchtungen haben nicht immer eine reale Grundlage. Sie sind aber ein sinnvoller Antrieb um sich gegen Eventualitäten zu wappnen. Wenn man beispielsweise in einem Teil der Welt lebt, der regelmäßig von Naturkatastrophen heimgesucht wird, ist es sinnvoll sich entsprechend vorzubereiten.

Die Meisten, die intern Investitionen in IT-Sicherheit legitimieren müssen, sind auf eine solche Diskussion nicht ausreichend vorbereitet. Entscheidend sind einerseits die Detailtiefe und andererseits das Vermitteln konkreter Erfahrungen die andere schon gemacht haben.

"Was wäre wenn, wir tatsächlich Opfer eines Hackerangriffs werden würden? Wahrscheinlich hätten wir es mit einer Reihe von Schwierigkeiten zu tun." Das ist zwar sachlich richtig, aber bei weitem nicht ausreichend um jemanden zu überzeugen. Man sollte sich die Zeit nehmen und die Auswirkungen von Datenschutzverletzungen studieren mit denen es andere Firmen in der Vergangenheit schon zu tun hatten. Beispiele aus dem "richtigen Leben" überzeugen mehr als theoretische Gedankenspiele.

Beispiel 1: Die Einzelhandelskette Target
Der Angriff auf die Einzelhandelskette Target ist so etwas wie der Archetyp dessen, was passieren kann. Und zwar nicht nur theoretisch. Im Fall von Target lassen sich die Folgen inzwischen recht gut beziffern. Der Diebstahl von 40 Millionen Kreditkartendaten und 70 Millionen Nutzerdatensätzen führte zu:

>> 46 Prozent Umsatzverlust, geschätzte 1,2 Milliarden US-Dollar
>> 200 Millionen US-Dollar Zahlungen an Kreditkarteninstitutionen für das Neuausstellen von
>> 100 Millionen US-Dollar kostete das Upgraden der POS-Terminals
>> Und 55 Millionen US-Dollar teuer war die Abfindung an den CEO des Unternehmens

Beispiel 2: Die schweizerische Wegelin Bank
Die älteste Bank der Schweiz, die St. Gallener Wegelin Bank, wurde 1741 gegründet und galt als Branchentitan. Bis mangelhafte interne Kontrollen die Bank letztendlich in die Knie gezwungen haben. Ein Kunde in den USA hatte gestanden, bei der Bank unversteuertes Geld versteckt zu haben. Die Informationen zu diesem Konto stammten aus Unterlagen der UBS. Neben den steuerrechtlichen und politischen Erschütterungen in diesem Fall, waren es fehlende Governance und die fehlende Separation of Duties (SOD), die es bestimmten Bankern erlaubt hatte auf vertrauliche interne Konten zuzugreifen und mithilfe von Scheinfirmen Steuergelder zu hinterziehen. Der Fall schlug international und national hohe Wellen, die Führungspersonen wurden angezeigt und waren lediglich dadurch geschützt, dass Auslieferungsabkommen nicht für den Bereich der Finanzkriminalität gelten.

Das sind nur zwei Beispiele unter Tausenden. Es geht dabei immer um die ganz realen Auswirkungen von Datenschutzverletzungen auf ganz reale Kunden. Je besser ein Vorfall zur Situation im eigenen Unternehmen und zur eigenen Branche passt desto eher eignet er sich, argumentative Schützenhilfe zu leisten. Angesichts der Vielzahl bekannt gewordener Vorfälle sollte es nicht allzu schwierig sein den passenden zu finden. Sei es eine Ransomware-Attacke, gestohlene IPs oder Benutzerdatensätze. Die Auswirkungen sind real und sie sind messbar.

Der Königsweg zum ROI
Es gab überraschend klingen, aber wenn es darum geht für Investitionen in die IT-Sicherheit zu argumentieren kann man auf McDonalds und Henry Ford zurückgreifen.

Richard und Maurice McDonald waren die ersten Entrepreneure überhaupt, die erkannten, dass es eine Nachfrage für Fast Food gibt. Aber wie genau sollte man das Vorhaben am besten umsetzen? Zunächst konzentrierten sich die ambitionierten Gründer auf wenige Gerichte (Cheeseburger und Shakes). Dann entwickelten sie einen wiederholbaren Prozess um die Mahlzeiten besonders schnell fertigzustellen. Damit gelang es ihnen die durchschnittliche Wartezeit in einem Schnellrestaurant auf nur rund 30 Sekunden nach der eingegangen Bestellung zu reduzieren. Das war revolutionär.

Henry Ford wiederum hat die moderne Produktionsreihe erfunden und die Fließbandfertigung perfektioniert. Damit senkte er die Zeit, die man bisher für die Produktion eines Model-T gebraucht hatte auf nur noch 93 Minuten. Die Modelle rollten also quasi schneller vom Band als die Lackierung brauchte um zu trocknen. Und wirklich, das war nur mit einer einzigen Farbe, dem sogenannten "Japan Black" möglich. Kein Wunder also, dass der Ford Model-T nur in einer einzigen Farbe erhältlich war, in schwarz. Es handelt sich also um einen durchgängigen, vorhersehbaren und wiederholbaren Prozess mit gängigen Einzelteilen, die so konstruiert waren, dass man sie schnell und einfach montieren konnte. Damit war es Ford gelungen den noch jungen Automobilmarkt zu dominieren.

In Sicherheit investieren, ROI messbar machen
Moderne Sicherheitslösungen bieten einen wiederholbaren, vorhersehbaren und sicheren Level an Automatisierung. Der ist nötig um Reibungsverluste zu vermeiden und gleichzeitig Firmen flexibler zu machen. Man kann leicht selbst nachvollziehen wie viel Zeit und Aufwand es kostet, beispielsweise einen neuen Mitarbeitenden mit allen Zugriffsberechtigungen auszustatten, die er braucht, und nur mit denen.

Ohne einen definierten sicheren Prozess passiert das Ganze manuell, und solange der Vorgang nicht abgeschlossen ist, kann der Betreffende nicht produktiv arbeiten. Im Gegensatz dazu stelle man sich ein Szenario vor in dem den Fachbereichsverantwortlichen nicht nur Tools zu Verfügung stehen, die sie selbst nutzen können, sondern auch solche, die Anfragen automatisch bearbeiten und ausführen. Ein anderes Beispiel sind typische Help Desk-Anfragen für das Zurücksetzen von Benutzerkonten. Sie kosten geschultes Personal Unmengen von Zeit.

Über unternehmensweite Self-Service-Portale können sich die Benutzer stattdessen selbst helfen. Solche Ansätze haben einiges für sich. Mitarbeitende werden produktiver. Und das in einer Umgebung, die kontrolliert und die sicher ist. Automatisierung sorgt dafür, dass alle Konten durchgängig überwacht werden, dass veraltete oder riskante Zugriffsberechtigungen geändert beziehungsweise gelöscht werden, dass Konten in der Cloud angelegt werden und so weiter.

Fazit
Bei den meisten aktuellen Sicherheitslösungen ist es inzwischen möglich den ROI auf die eine oder andere Art messbar zu machen. Sie haben die Daten zur Verfügung, die sie für Ihr Zielpublikum brauchen. Konzentrieren Sie sich dann auf die potenziellen Kosten im Schadensfall oder auf das Versprechen Zeit und Geld zu sparen? Das kommt auf Ihre Gesprächspartner an. Unabhängig von der Position, die Sie vertreten wollen: es gibt ausreichend Fakten, die IT-Sicherheit auch im Hinblick auf die Budgetvergabe ganz nach oben auf die Agenda bringen. (One Identity: ra)

eingetragen: 09.09.18
Newsletterlauf: 05.10.18

One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Cyberangriffe auf medizintechnische Geräte

    Cyberangriffe treten in vielen unterschiedlichen Formen in Erscheinung. Wenn sie sich allerdings gegen medizinische Einrichtungen, Dienste oder Geräte richten, sind die möglichen Folgen besonders schwerwiegend - für die Patienten sowie Einrichtungen und Behörden im Gesundheitswesen. Wo es Sicherheitslücken gibt, wird es auch jemanden geben, der sie ausnutzt. Wenn man überprüfen will wie hoch das Cybersicherheitsrisiko für Patienten ist muss man drei Komponenten berücksichtigen: medizinische Einrichtungen, Dienste und die Geräte selbst, denn sie sind der Verbindungspunkt zum Patienten. Alle drei sind unter dem Dach des Internet of Medical Things (IoMT) vereint. Versagt eine der Komponenten, ist der Patient einer Gefahr ausgesetzt, die erhebliche Auswirkungen haben kann. Den Verlust personenbezogener Daten, körperliche Schäden oder sogar den Tod.

  • Kontrolle über die Daten gewinnen

    Für Cyberkriminelle sind sensible Unternehmensdaten Gold wert: Gestohlene Kundeninformationen und Account-Logins von Mitarbeitern ermöglichen Betrug und Identitätsdiebstahl; geistiges Eigentum und Geschäftsgeheimnisse lassen sich lukrativ an die Konkurrenz verkaufen. Kontrolle über ihre Daten zu gewinnen, ist in Zeiten massiv wachsender Datenmengen für Unternehmen jeder Größe eine Herausforderung. E-Mails, Kollaborations-Tools und mobile Geräte verbinden Mitarbeiter, Dienstleister und Geschäftspartner, gewähren zugleich aber Zugang zu Unternehmensnetzwerken, die oft vertrauliche Informationen enthalten. Zudem haben Nutzer häufig höhere Zugriffsrechte, als für ihre Aufgaben erforderlich wäre. Das verschärft das Risiko von Datendiebstahl weiter, sowohl durch externe Angreifer als auch durch Insider-Bedrohungen.

  • Sicherheit & Schutz der Privatsphäre

    Patientendaten sind extrem vertrauliche Informationen. Sie besonders zu schützen ist nur konsequent, und die Institutionen im Gesundheitswesen sind sich der Tragweite bewusst. Die hier anfallenden Daten, die sogenannten PHI-Daten, Personal Health Information, sind so sensibel wie begehrt. Das führt schon seit einigen Jahren dazu, dass Institutionen im Gesundheitswesen kontinuierlich mit Angriffen von Innentätern als auch von externen Cyberkriminellen zu kämpfen haben. Die Beispiele erfolgreicher Attacken sind Legion. Auch hierzulande hat es bereits spektakuläre Vorfälle mit schwerwiegenden Folgen gegeben. PII-Daten gehören zu den Daten, die sich besonders gut verkaufen lassen, und die finanzielle Motivation spielt bei externen Angreifern eine entscheidende Rolle. Es verwundert also nicht, dass die Zahl der Angriffe steigt und die verwendeten Vektoren zunehmend ausgefeilter werden. Ziel ist es, illegitim auf alle Arten von medizinischen Daten und Patienteninformationen zuzugreifen und dabei möglichst lange unentdeckt zu Werke zu gehen. Gleichzeitig gehört die Gesundheitsbranche zu den besonders stark regulierten Industriezweigen. Regulatorischer Druck und mögliche Strafen, stellen die Verantwortlichen vor nicht zu unterschätzende Herausforderungen.

  • Die ersten 90 Tage

    Sicherheit in einem wachstumsstarken Unternehmen auf- und ausbauen ist die zentrale Aufgabe eines designierten IT-Sicherheitschefs. Mit großer Wahrscheinlichkeit hat das Unternehmen bereits eine Reihe grundlegender Sicherheitsverfahren und Technologien implementiert, wie etwa Scan-Tools oder einen jährlichen Penetrationstest. Worin aber besteht das beste Fundament für maßgeschneiderte Sicherheitskonzepte? Welche Schritte sind geeignet Sicherheitsmaßnahmen einzuziehen, die mit dem Unternehmen wachsen? Neue und laufende Projekte, konkurrierende Prioritäten, Upgrades, potenzielle Sicherheitsschwachstellen und die 5-Jahresplanung. Mangelnde Betätigung und zu wenig Herausforderungen sind vermutlich das letzte über das sich ein Sicherheitsexperte beklagen muss. Angesichts der Fülle an Aufgaben mag es paradox anmuten: Trotzdem sollte man die Anfangsphase nutzen um sich zunächst gründlich zu orientieren. Nehmen Sie sich die Zeit, den aktuellen Status des Unternehmens gut zu verstehen. Dieses Verständnis trägt entscheidend dazu bei, präzise zu definieren wie der Status in Zukunft sein soll.

  • Wird Bluekeep zu WannaCry 2.0?

    Vor kurzem entdeckte Microsoft die Sicherheitslücke Bluekeep, die die schlimmsten Cyberangriffe seit der berüchtigten Ransomware-Attacke WannaCry aus 2017 ermöglichen könnte. WannaCry konnte sich nur deshalb so weit ausbreiten und solch immense Schäden verursachen, weil Tausende von Systemen nicht gepatcht waren. Microsoft hatte zwar einen Patch bereitgestellt, der vor WannaCry geschützt hätte, aber dieser Patch war bei vielen Systemen nicht aufgespielt worden. So blieben diese Systeme verwundbar. Mit Bluekeep droht sich die Geschichte zu wiederholen: Einige Wochen nach der Entdeckung von Bluekeep und Bereitstellung des Patches durch Microsoft sind immer noch fast eine Millionen Systeme mit extern exponiertem RDP ungepatcht.