Investitionen in die IT-Sicherheit dem Vorstand erklären

Da es keine hundertprozentige IT-Sicherheit gibt, scheinen Investitionen in den Schutz der IT-Infrastruktur nie auszureichen. Infolge dessen wirkt die IT-Sicherheit wie ein Fass ohne Boden und der CISO ist ständig gefordert, sein bestehendes Budget und zusätzliche Ressourcen vor dem Vorstand seines Unternehmens zu verteidigen. 

Die Herausforderung besteht darin, dass sich seine Kollegen selten für die technischen Aspekte interessieren. Eine gute Vorbereitung ist deshalb Pflicht, um den richtigen Ton ihrer zahlen- und geschäftsorientierten Sprache zu treffen. Drei einfache Schritte können über den Erfolg und Misserfolg eines Pitch entscheiden.

Anzeige

Schritt #01: Das Risikoniveau evaluieren

Bevor eine zusätzliche Investition beantragt wird, muss der CISO belegen, dass die verfügbaren Ressourcen bereits optimal eingesetzt werden. Eine Priorisierung der Risiken, ihr Verhältnis zu den bestehenden Sicherheitsmaßnahmen sowie eine Quantifizierung des Restrisikos ist dafür unumgänglich: Der erste Schritt der Vorbereitung ist daher eine IT-Risikobewertung. Diese kann vorerst einfach gehalten werden, wenn zunächst aktuelle Bedrohungen und getroffenen Sicherheitsmaßnahmen miteinander in Relation gesetzt und das Ausmaß des Risikos bestimmt wird, das die einzelnen Bedrohungen für das Unternehmen darstellen.

Die drei Kernelemente dieser Relation sind:

1. Die Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle tatsächlich ausnutzt.

2. Die Auswirkungen, die eine Bedrohung hat, falls sie die Schwachstelle erfolgreich ausgenutzt hat.

3. Die Angemessenheit der bestehenden oder geplanten Sicherheitskontrollen, um das Bedrohungspotenzial zu senken oder zu beseitigen.

Der CISO muss mit diesem Hintergrundwissen die bestehenden Sicherheitsrisiken priorisieren und kann anschließend festhalten, welche Risiken seine Organisation bereits abdeckt. Mit dieser Vorbereitung hat er bereits eine fundierte Übersicht, mit der er eine Roadmap zur Beseitigung kritischer Schwachstellen und ein starkes Argument aufbauen kann, um weitere Investitionen in die IT-Sicherheit vor dem Vorstand zu rechtfertigen.

Eine sehr gute Ergänzung der klassischen IT-Risikobewertung ist der Vergleich des eigenen Risikoprofils mit dem der Mitbewerber. Ein solcher Peer-Vergleich rundet die Einschätzung mit branchenspezifischem Hintergrundwissen ab, indem beispielsweise die Datenschutzverletzung bei einem Marktbegleiter als Ausgangspunkt für eine Evaluation dient, ob die gleiche Schwachstelle im eigenen Unternehmen denkbar ist und wie sie sinnvoll abgesichert wird. Die Forschungsarbeit von Marktanalysten wie Gartner fasst oft typische Sicherheitsabläufe zusammen und liefern wertvolle Best Practices-Beispiele.

Schritt #02: Sicherheitsfragen verständlich kommunizieren

Mit dieser Vorbereitung ist der CISO bereit, sein Anliegen vor den anderen Führungskräften zu präsentieren. Ein guter Einstieg ist der aktuelle Sicherheitsstatus: Dazu kann die zuvor erstellte Roadmap vorgestellt werden. Mit dieser Übersicht wird der Sicherheitsstatus der Firma sowie der optimale Einsatz der vorhandenen Technologien und Ressourcen verdeutlicht. Als Nachweis der Wirksamkeit bestehender Sicherheitskontrollen bieten sich viele aussagekräftige Metriken an, z. B. die MTTD (mean time to detect) oder die MTTR (mean time to repair). Auch Anzahl der entdeckten Vorfälle sowie Schwachstellen im Vergleich zur Anzahl der behobenen Vorfälle, Geldeinsparungen durch die Behebung einer Schwachstelle und der durchschnittliche, zeitliche Abstand zwischen dem Eintreten verschiedener Sicherheitsvorfälle besitzen einiges an Aussagekraft.

Anschließend ist es an der Zeit, die drängendsten Schwachstellen im System hervorzuheben, die für aktuelle Bedrohungen anfällig sind und deren Behebung zusätzliche Gelder benötigt. Meist wird der Erfolg der Argumentation daran festgemacht, ob die geschäftlichen Auswirkungen der Sicherheitsvorfälle erläutert oder quantifiziert wurden, die sich ohne Gegenmaßnahmen ergeben könnten.

Ein Beispiel dafür ist, wenn Vertriebsleiter per Fernzugriff über VPN arbeiten, was den Prozess relativ langsam macht. Gelegentlich werden deshalb Lösungen von Drittanbietern wie Dropbox oder Google Drive genutzt, um den Geschwindigkeitsverlust zu umgehen. Das kann wiederum die vertraulichen Partner- und Kundendaten gefährden, weil die eigenen Sicherheitsteams keine Kontrolle über die Aktivitäten in der Cloud-Umgebung haben. Potenziell schädliche Aktivitäten können daher übersehen werden. Der CISO kann die Kosten eines solchen Vorfalls auf einen bestimmten Geldbetrag schätzen, wobei seine Schätzung in der Regel nur Erkennungs- und Untersuchungskosten sowie behördliche Geldbußen beinhaltet. Die negativen Auswirkungen auf die öffentliche Meinung, Ausfallzeiten und Rechtskosten, die daraus resultieren können, sind durch ihn oft nicht abschätzbar und treiben die Summe weiter in die Höhe. Auch die nicht-technischen Mitglieder der Führungsebene verstehen solche Argumente normalerweise schnell.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Schritt #03: Lösungen anbieten und Vorteile betonen

Im letzten Schritt geht es für den CISO darum, einen klaren, umsetzbaren Plan vorzustellen, wie seine Organisation das beantragte Budget verwenden kann, um die bestehenden IT-Risiken auf ein begründetes Maß zu reduzieren. Dieser Überblick sollte die Ressourcen (Menschen, Technologien usw.), Fristen und eine detaillierte Budgetplanung einschließen, die jede Ausgabe nachvollziehbar darstellt.

Zur Stärkung seiner Argumentation kann der CISO den erwarteten Return on Security Investment (ROSI) für die geplanten Investitionen schätzen, um deren Effektivität im Risiko- und Kostenvergleich zu beweisen. Am besten ist es, die quantitative Formel zur Risiko-Analyse des SANS Institutes zu verwenden. Die Formel ermittelt den ROSI, indem sie quantifiziert, wie gut die Lösung die relevanten Risiken minimiert und wie viel Geld durch die geringere Risikoexposition eingespart werden kann. Der Bewertungsalgorithmus ermöglicht, die Rendite einer Sicherheitsinvestition Zeitverlauf zu betrachten.

Abgesehen davon, dass eine solche Präsentation zeigt, welche Verluste der Vorstand vermeiden kann, ist es nützlich den Wert beziffern zu können, den das gewünschte Sicherheitsprojekt für das Unternehmen bedeuten kann. Die Budgetanträge werden den Vorstandskollegen dadurch als hilfreiche Maßnahme bei der Erreichung ihrer Geschäftsziele präsentiert, wie z. B. eine Kostensenkung, eine Umsatzsteigerung oder die Steigerung des Unternehmenswertes auf dem Markt. Für den restlichen Vorstand gewinnt das Argument des CISOs somit an Stärke, da es sich nicht mehr ausschließlich auf die technischen Aspekte beschränkt.

Im Beispiel der Vertriebsleiter kann das Risiko durch die Vertriebsleitung reduziert werden, indem die betroffenen Daten in ein Cloud-Repository verschoben und ein Cloud Access Security Broker (CASB) implementiert werden. Der CASB stellt sicher, dass der Datenverkehr zwischen der IT-Umgebung des Unternehmens und dem Cloud-Anbieter den Sicherheitsanforderungen entspricht. Die Investition in solch eine Lösung reduziert das Risiko eines finanziellen Verlusts in Folge einer Datenschutzverletzung. Die monetären Einbußen können auf Basis der Kostenschätzung einer Sicherheitsverletzung und der Berechnung des ROSIs beziffert werden. Zur Abrundung der Argumentation können folgende, zusätzliche Vorteile angeführt werden:

  • Die Benutzer können nahtlos auf die gewünschten Cloud-Services zugreifen und ihre Arbeit effizienter erledigen.
  • Das Compliance-Team hat die volle Kontrolle über die Aktivitäten in der Cloud, sodass die Firma compliance-konform bleibt. Die Vorbereitung und Durchführung von Audits nimmt außerdem viel weniger Zeit in Anspruch, sodass die hier üblichen Zusatzkosten eingespart werden.
  • Durch eine zentralisierte Sicht auf die Cloud-Services kann die IT-Abteilung erkennen, welche Services selten oder nie genutzt werden und diese einsparen.

Fazit

Die Argumentation für neue Investitionen in zusätzliche Sicherheitsprojekte ist eine Herausforderung für jeden CISO, weil sich der Unternehmensvorstand nicht durch vage Versprechungen überzeugen lässt. Vielmehr müssen Fakten und Zahlen einen positiven Beitrag der Budgeterhöhung auf den Unternehmenserfolg verdeutlichen, weshalb der Sicherheitsverantwortliche sich gut vorbereiten muss. Ein gutes Verständnis des Markts und der Unternehmensziele ist eine notwendige Voraussetzung. Mit dieser Kenntnis kann der CISO geschäftskritische Risiken und erfolgsfördernde Vorteile, die der Unternehmensführung wichtig sind, identifizieren, zielorientiert formulieren und den Erfolg seines Budgetantrags fördern.

Matt Middleton-LealMatt Middleton-Leal, General Manager EMEA bei Netwrix, www.netwrix.com

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.