Meldungen und Artikel in der Wirtschaftspresse über mangelnde IT-Sicherheit haben mittlerweile leider epidemische Ausmaße erreicht. Die Schlagzeilen sind voll von Meldungen über verlegte und gestohlene Laptops, verschwundene USB-Sticks und CDs. Hackerangriffe, Phishing und E-Mail-Viren können in den Informations- und Kommunikationsnetzwerken von Unternehmen verheerende Schäden anrichten.
Untersuchungen der letzten Zeit bestätigen die Medienberichte: Die 2008 für das britische Wirtschaftsministerium durchgeführte Information Security Breaches Survey1 ergab, dass bei 45 Prozent – also bei fast der Hälfte – der an der Umfrage teilnehmenden kleinen Unternehmen mit bis zu 50 Mitarbeitern im Jahr zuvor eine Sicherheitsverletzung aufgetreten war. Gewöhnlich kam es zu sechs2 Vorfällen pro Jahr, wobei die schwerwiegendsten Ereignisse Kosten in Höhe von etwa 10.000 bis 20.000 Pfund Sterling verursachten.
IT-Mitarbeiter in Unternehmen machen sich berechtigterweise Sorgen über die Sicherheit. Bei einer 2008 von der Computing Technology Industry Association durchgeführten Umfrage3 gaben knapp ein Drittel der Befragten an, dass ihre Hauptsorge die Sicherung von Netzwerken und Daten betrifft. Bei anderen kürzlich veröffentlichten Untersuchungen wurden die Vermeidung von Datenlecks, die Absicherung von Fernzugriffen auf Informationen sowie der Schutz von mobiler Kommunikation und Zusammenarbeit als wichtigste Probleme genannt.
Eine Umfrage, die Research International 20084 im Auftrag von Cisco unter kleinen und mittelständischen Unternehmen in Großbritannien, Frankreich, den Niederlanden und Spanien durchgeführt hat, zeigt allerdings eine widersprüchliche Haltung, was den Schutz des eigenen Unternehmens betrifft:
Auf die Frage, mit welchen Hauptvorteilen Technologie für ihre Unternehmen verbunden ist, verwiesen IT-Entscheidungsträger vergleichsweise selten auf Verbesserungen bei Sicherheit und Datenschutz, häufig dagegen auf gesteigerte Effizienz, höhere Produktivität und effektivere Kommunikation sowie Zeit- und Kosteneinsparungen. In der Öffentlichkeit ist die Sorge um (fehlende) Sicherheit also weit verbreitet, und doch werden verbesserte Sicherheit und Vertraulichkeit nicht als wichtiger Nutzen wahrgenommen – woran liegt das?
Vielen Entscheidungsträgern geht es hauptsächlich um Geschäftsergebnisse: Produktivität, Umsatz und Gewinn. Dabei wird Sicherheit vielleicht nur als Fixkostenposition betrachtet. Hauptmotivation für Investitionen in IT-Lösungen ist offenbar die Verbesserung der Geschäftsabläufe, wohingegen deren Absicherung allenfalls als Hygienemaßnahme – oder schlimmer noch: zusätzlicher Aufwand – angesehen wird.
Die von Research International erhobenen Daten stützen diese These: Sicherheit wurde zwar am seltensten als Vorteil genannt, Lösungen für die Netzwerksicherheit werden aber in 83 Prozent der an der Umfrage beteiligten kleinen und mittelständischen Unternehmen eingesetzt, und 95 Prozent der Entscheidungsträger betrachten Sicherheit bei Investitionen in High-End-Kommunikationstechnologie als wichtig. Mit anderen Worten: Sicherheit spielt für uns eine Rolle, und natürlich sichern wir unser Unternehmen ab, aber das bringt uns keinen großen Vorteil.
Es scheint, als wäre IT-Sicherheit eine Ausgabenkategorie ähnlich wie Versicherungen: Man bezahlt Geld dafür, bekommt aber nichts Vorzeigbares zurück. Sicherheit wird als notwendiges Übel betrachtet – eine Verteidigungsmaßnahme, die Schäden vorbeugt, eigentlich aber keinen Nutzen bringt. Analog zu Versicherungen werden die Kosten der Geschäftsabsicherung durch IT-Lösungen gegen das Risiko fehlenden Schutzes abgewogen – das kann buchstäblich zum Glücksspiel werden.
Es gibt eine Reihe von Gründen, warum die Geschäftsabsicherung in einem positiveren Licht gesehen werden sollte:
Ohne angemessene Sicherheit sind die Vorteile von Technologie hinfällig.
Wenn auf Sicherheitsverletzungen reagiert werden muss, sind dafür Ressourcen einzusetzen, die ursprünglich anderweitig eingeplant waren. Eine schwerwiegende Sicherheitsverletzung kann den laufenden Austausch zwischen dem Unternehmen und Kunden bzw. anderen Beteiligten beeinträchtigen. Die „Mundpropaganda“ unter Konsumenten oder Online-Blogs können die Aufmerksamkeit von Medienvertretern erregen; unter Umständen werden Krisenmanagement-Programme notwendig. Alles in allem zieht eine Sicherheitsverletzung garantiert eine schwächere Produktivität, schlechtere Kommunikation sowie einen Aufwand in Form von Zeit und Geld nach sich. Wenn es dazu sechs Mal im Jahr kommen kann, sind Ausgaben für Sicherheit eine lohnende Investition in die übrigen, mit Technologie zusammenhängenden Vorteile!
Sichere Geschäftsabläufe schützen Ihren guten Ruf.
Ein Unternehmen ist immer nur so gut wie sein Ruf. Im gegenwärtigen digitalen Zeitalter kann ein gutes Renommee dank des Internets blitzschnell aufgebaut werden – ebenso schnell lässt es sich aber auch wieder zerstören. Welche Folgen hat ein unerwarteter Zwischenfall bei der IT-Sicherheit wohl für Ihr Unternehmen und Ihren Ruf? Welche Kosten würden sich ergeben? Womöglich ist die Sicherheit personenbezogener Daten (bzw. der Einsatz geeigneter Schutzmaßnahmen) für potenzielle Kunden künftig ein so wichtiges Entscheidungskriterium wie die soziale Verantwortung des Unternehmens.
Stabile Sicherheit kann ein Verkaufsargument sein.
Unternehmen sollten auf Sicherheit Wert legen, um sich vor elektronischen Bedrohungen und von Personen ausgehenden IT-Gefahren zu schützen. Gleichzeitig erhalten Kunden damit das beruhigende Gefühl, dass ihre Daten, ihr Geld und ihr geistiges Eigentum in sicheren Händen sind – sowohl innerhalb als auch außerhalb des Unternehmensnetzwerks. Die Untersuchung von Research International hat ergeben, dass 100 Prozent der Kunden von Cisco im Bereich Netzwerksicherheit mit den erworbenen Technologielösungen zufrieden waren (70 Prozent sogar sehr zufrieden bzw. äußerst zufrieden).
Fazit.
Ist die richtige Sicherheitsinfrastruktur ihren Preis wert? Können Sie es sich leisten, darauf zu verzichten? Ein sicheres und stabiles Netzwerk sollte nicht nur als Verteidigungsmaßnahme oder Kostenfaktor betrachtet werden, sondern als betriebswirtschaftlich sinnvolle Investition in den Unternehmenserfolg. Es ist Zeit für eine veränderte Denkweise. In fortschrittlichen Unternehmen werden Mitarbeiter nicht mit Aufwendungen gleichgesetzt, sondern als Aktivposten der Bilanz betrachtet. Warum sollte man bei einem sicheren und zuverlässigen IT-System nicht eine ähnliche Sicht entwickeln? Sorgen Sie dafür, dass Mitarbeiter die Sicherheit in einem positiven Licht sehen, dass sie ebenso wichtig ist wie die richtige Software und Hardware.
Proaktive Sicherheit erschließt weitere Vorteile von Technologie.
Wie kann nun also durch zuverlässige Sicherheit für gute Kommunikation – und gute Geschäfte – gesorgt werden? Unterziehen Sie Ihr vorhandenes Netzwerk und die eingesetzten Geräte einer Prüfung. Wie gut wären Sie im Ernstfall vor verschiedenen elektronischen und von Personen ausgehenden Bedrohungen (von innen und außen) geschützt? Beim Aufstellen eines IT-Notfallplans (Disaster-Recovery-Plan, DRP) wird deutlich, welche unterschiedlichen Szenarien realistisch sind und wie darauf reagiert werden könnte.
Wie ist zu verfahren, wenn sich bei der Überprüfung oder der Notfallplanung Schwachstellen zeigen? Ganz gleich, ob es sich um ein Netzwerkproblem, eine technische Angelegenheit oder auch um die mangelnde Einhaltung gesetzlicher Auflagen handelt, ergreifen Sie proaktive Maßnahmen zum Schutz Ihrer IT und Ihrer Geschäftsabläufe. Untersuchen Sie alle verfügbaren Möglichkeiten, und führen Sie mit Ihren Lieferanten intensive Gespräche darüber. Es ist wichtig, dass diese genau verstehen, welche Probleme sich für Sie stellen, denn nur so ist eine optimale Beratung möglich. Bedenken Sie: Mit der richtigen Sicherheitstechnologie können Sie sich auf das Geschäft konzentrieren, weil Ihre Ängste in den Hintergrund treten.
1 2008 Information Security Breaches Survey, Department of Business Enterprise and Regulatory Reform (Umfrage des britischen Wirtschaftsministeriums zur Datensicherheit, Erstveröffentlichung im April 2008). Die Befragung wurde zwischen Oktober 2007 und Januar 2008 von PriceWaterhouseCoopers durchgeführt, insgesamt gingen 1.007 Antworten ein.
2 Medianwert.
3 Umfrage des Branchenverbands Computing Technology Industry Association, durchgeführt von Juni bis August 2008 mit 934 Antworten von Befragten.
4 Umfrage von Research International, durchgeführt 2007 bis 2008 unter kleinen und mittelständischen Unternehmenskunden von Cisco sowie externen Befragten in Großbritannien, Frankreich, den Niederlanden und Spanien.
Ingesamt wurden die Antworten von 607 Befragten ausgewertet.
