Verfolgen Sie die Aktivitäten der NIFIS auch bei Twitter.
01.08.2008 01:00
Security-Budgets auf dem Prüfstand
"Wie sicher ist sicher genug?" Mit der Beantwortung dieser Frage ringen Unternehmen in aller Welt. Strukturiertes Vorgehen hilft Sicherheitsverantwortlichen weiter.
Angesichts der durch die stagnierende Wirtschaft wieder knapper bemessenen IT-Budgets sehen sich auch Sicherheitsverantwortliche gezwungen, jeden Cent, den sie ausgeben, zu rechtfertigen. Unternehmen wollen mittlerweile genau wissen, ob die Mittel, die sie in Security investieren, überzogen, zu knapp oder richtig bemessen sind. IT-Manager geraten demnach zunehmend unter Druck, exakt aufzuzeigen, inwieweit ihre Security-Ausgaben dazu beitragen, die Gefahren für das Business tatsächlich abzuwenden.
Diese Frage akkurat zu beantworten, ist nach Erfahrung von Sicherheitsexperten ebenso Kunst wie Wissenschaft - und erfordert zudem eine Portion Glück. Die folgenden fünf Schritte können Security-Managern helfen, das richtige Maß zu finden.
1. Legen Sie fest, wie sicher Sie sein wollen
Wer wissen will, ob die in der eigenen Organisation implementierten Sicherheitsvorkehrungen den Geschäftsanforderungen gerecht werden, muss zunächst herausfinden, welches Sicherheitsniveau das Unternehmen überhaupt anstrebt. Da die Vermeidung sämtlicher Risiken ein Ding der Unmöglichkeit ist, muss ein Unternehmen entscheiden, mit wie viel potenzieller Bedrohung es leben kann, statuiert Krag Brotby, auf Security-Governance spezialisierter Consultant bei der Information Systems Audit and Control Association (ISACA).
"Oft ist von akzeptablem Risiko die Rede, tatsächlich muss der Fokus aber auf den für das Business akzeptablen Risikoauswirkungen liegen", so der Berater. Im Klartext: Zu bestimmen ist das exakte Ausmaß an Störung durch einen Sicherheitsvorfall, das ein Unternehmen zu ertragen bereit ist, bevor es in die Abwehr potenzieller Bedrohungen investiert. Um dies benennen zu können, sind laut Brotby folgende Fragen zu berücksichtigen:
- Wie viel würde das Unternehmen in die Abwehr eines Risikos investieren, das mit einer Wahrscheinlichkeit von eins zu zehn eine geschäftliche Störung verursacht, die Kosten von etwa 2000 Dollar nach sich zieht?
- Wie viel Geld würde die Organisation für die Abwehr derselben Bedrohung ausgeben, wenn diese einen finanziellen Schaden in Höhe von zehn Millionen Dollar anrichten könnte?
- Wie lange kann ein kritisches System ausfallen?
- Wie schnell muss die Wiederherstellung erfolgen?
- Gibt es gesetzliche und branchenspezifische Compliance-Vorgaben, die eingehalten werden müssen - und wenn ja, welche?
Mit dieser Art von Fragen sollten Sicherheitsverantwortliche das Management ihres Unternehmens konfrontieren, empfiehlt der ISACA-Berater. Der daraus resultierende Verhandlungsprozess liefere gute Anhaltspunkte, welche Risikoauswirkungen als akzeptabel zu betrachten sind, und ermögliche Security-Managern, ihre Planung entsprechend anzupassen.
2. Ordnen Sie IT-Assets einen Geschäftswert zu
Zu wissen, wie gravierend eine Bedrohung ist, reicht nach Erfahrung von Security-Managern nicht aus, um Risiken zu managen. Als ebenso wichtig erachtet John Meakin, Group Head Information Security bei der Standard Chartered Bank, über folgende Aspekte im Bild zu sein: die Wahrscheinlichkeit, mit der die Bedrohung in der eigenen Umgebung ausgenutzt wird, den Wert der dadurch gefährdeten Assets sowie die voraussichtlichen Auswirkungen auf das Geschäft. Nur mit diesem Wissen lässt sich dem Security-Manager zufolge beurteilen, ob die Kosten für die Abwehr einer Bedrohung gerechtfertigt sind.
"Ein risikogetriebener Ansatz ist ungemein befreiend, denn er ermöglicht es, traditionell lang befolgte Regeln zu hinterfragen", erläutert Meakin die Vorteile dieser Herangehensweise.
Dank dieses Ansatzes kann die Standard Chartered Bank beispielsweise die Installation auch kritischer Security-Patches auf bestimmten Systemen zurückstellen, wenn sie zu dem Schluss gekommen ist, dass sich der Aufwand - gemessen an dem realen Bedrohungspotenzial - nicht lohnt. Ebenso kann es sich das Finanzinstitut erlauben, auf einige seiner internen Systeme unautorisierten Zugriff zu gewähren, da genügend kompensierende physikalische Sicherheitskontrollen implementiert sind.
Eine Kernvoraussetzung für den risikogetriebenen Ansatz ist laut Meakin aber das Wissen um die Asset-Werte. Da nicht alle IT-Systeme auf dieselbe Weise entstanden und im selben Ausmaß Bedrohungen ausgesetzt sind oder das gleiche Risiko darstellen, erachtet es der Security-Manager als zwingend erforderlich, den IT-Assets einen Geschäftswert zuzuordnen. Asset-Werte basieren auf Faktoren wie der Kritikalität von Applikationen oder Diensten, die von einem IT-System unterstützt werden, sowie dessen Wechselwirkung mit anderen Applikationen und Infrastrukturkomponenten. So sei ein Active-Directory-Server, der viele geschäftskritische Anwendungen unterstütze, im Hinblick auf Business-Continuity in der Regel ungleich wichtiger als ein Server, auf dem eine E-Mail-Applikation laufe, erklärt Meakin.
3. Implementieren Sie ein Kontroll-Framework
Wer sich Klarheit über das angestrebte Sicherheitsniveau verschafft hat, muss die passenden Techniken sowie Management- und Prozesskontrollen wählen, um dieses zu erreichen und zu erhalten. Am besten gelingt dies aus Sicht von Eric Litt, Chief Information Security Officer (CISO) bei General Motors, mit Hilfe eines internen Rahmenwerks, das Geschäfts- und Risiko-Management-Anforderungen auf entsprechenden IT-Kontrollen abbildet. "Wer gute Entscheidungen treffen will, braucht ein Framework für das eigene Sicherheitsprogramm", weiß der CISO. Standards wie Cobit (Control Objectives for Information and Related Technologies), ISO 17799/27001 und das Accounting-Risk-Management-Framework COSO unterstützen IT-Organisationen bei der Identifikation von Kontrollmechanismen, die dabei helfen, firmenspezifische Geschäftsanforderungen und gesetzliche Vorgaben zu erfüllen. Laut Litt lassen sich mit Hilfe der beiden Frameworks ISO 27001 und 27002 Sicherheitsrichtlinien definieren sowie Methoden und Prozesse entwickeln, um Risiko-Management- und Compliance-Ziele zu erreichen. Darüber hinaus bieten die Standards eine Liste an dazu erforderlichen Technikkontrollen und helfen bei der Auswahl des für den jeweiligen Zweck am besten geeigneten Tools.
Laut Marc Othersen, Analyst bei Forrester Research, lässt sich mit Hilfe eines formalen Rahmenwerks schnell eruieren, wie effektiv Kontrollmechanismen arbeiten, da jede Sicherheitskontrolle auf ein spezifisches Geschäfts- oder Compliance-Ziel abgebildet ist. "Es zeigt, wozu eine Kontrolle überhaupt da ist, verknüpft Sicherheitskontrollen mit IT-Risiken und macht klar, was passieren würde, wenn bestimmte Vorkehrungen versagen", erklärt der Experte. Ziel des IT-Risiko-Managements ist ihm zufolge, das Versagen einer Kontrolle in einen Kontext zu setzen.
4. Messen Sie alles
Unternehmen sollten Metriken nutzen, um sicherzustellen, dass die jeweiligen Kontrollziele erfüllt werden. Da sowohl die Zielgruppe für diese Messmethoden als auch der Zweck, den sie erfüllen sollen, variieren können, ist es wichtig, sämtliche Aspekte eines IT-Sicherheitsprogramms zu messen. Ein Messkonzept, das sich auf Betriebsdaten - etwa Firewall-Log- oder Antivirus-Daten - beschränke, biete keine Navigations- oder Management-Metriken, gibt ISACA-Berater Brotby zu bedenken. "Wenn etwa die Policy-Compliance im eigenen Unternehmen zu wünschen übrig lässt, stellt sich die Frage nach der Ursache: Liegt es daran, dass die Mitarbeiter nicht wissen, wie sie die Richtlinien befolgen sollen, oder daran, dass sie die Policies ignorieren?" Um über Dinge wie diese Klarheit zu schaffen, hat General Motors ein vierschichtiges Mess-Framework eingeführt, mit dessen Hilfe der Automobilkonzern Leistungsdaten zu multiplen Aspekten des firmeninternen Information-Security-Programms sammelt und analysiert.
Mit den richtigen Metriken können Unternehmen sicherheitsrelevante Performance nachverfolgen, hochrechnen und entsprechende Berichte erstellen, meint Ed Cooper, Vice President Marketing bei dem auf Risk-Modeling-Produkte spezialisierten Anbieter Skybox Security. Dazu müssten Firmen allerdings wissen, welche Messmethoden für den einzelnen Interessenvertreter sinnvoll sind, wie Informationen gesammelt werden können - und in welcher Sprache sie zu präsentieren sind. "Jeder hat seine eigene Risikosicht - die Metriken müssen demnach Relevanz für den Blickwinkel des jeweiligen Betrachters haben", mahnt Cooper.
5. Überwachen Sie alle Kontrollen
Die Implementierung von Kontrollen zur Handhabung von Sicherheitsbedrohungen ist eine Sache - sie zu testen, zu überwachen und zu bewerten eine andere. "Wer Schlüsselkontrollen für kritische Prozesse etabliert hat, braucht ein kontinuierliches Monitoring, um sicherzustellen, dass sie auch funktionieren", stellt Brotby klar. Diese Art der Überwachung kann Teil eines weiter gefassten IT-Governance-Programms oder einer Compliance- und Auditing-Initiative sein.
Viele Kontrollmechanismen, die Unternehmen für das Management von Risiken nutzen, wurden ursprünglich aus taktischen Gründen implementiert. So haben viele Firmen Tools etwa zur Analyse des Netzverhaltens in Reaktion auf so genannte Zero-Day-Bedrohungen eingeführt, die ungepatchte Softwareschwachstellen ausnutzen. Wichtig ist nach Ansicht von Berater Brotby jedoch, Kontrollen stets mit spezifischen Geschäftsrisiken zu verknüpfen und dann zu überwachen, ob sie auch tatsächlich das tun, was sie sollen. "Problematisch ist, dass Kontrollen meist reaktiv, also als Antwort auf eine bestimmte Bedrohung eingeführt werden, sich dann mit der Zeit zu Schichten anhäufen und nicht mehr als Kontrollen erkannt werden", erklärt der ISACA-Consulant.
Für große Organisationen, deren Sicherheitsumgebung auf Basis taktischer statt strategischer Erwägungen gewachsen ist, dürften die beschriebenen fünf Schritte eine Herausforderung sein. Um herauszufinden, welches Sicherheitsniveau in dieser Art von Umfeld erforderlich ist, sollten sich Firmen in einem ersten Schritt mit den gesetzlichen und branchenspezifischen Compliance-Vorgaben beschäftigen, empfiehlt Forrester-Analyst Othersen.
Welche Umgebung auch immer - Unternehmen sollten sich daran machen, der Security-Kernfrage "Wie sicher ist sicher genug?" auf den Grund zu gehen - eine Antwort ist in Reichweite. (kf)
NIFIS WarnhinweiseNews
- NIFIS gibt Positionspapier zur Erarbeitung einer prototypischen eIDAS 2.0- konformen Infrastruktur...
- Sichere Verschlüsselung (Ende-zu-Ende) in Gefahr, Office 365 sicher einsetzen
- NIFIS wendet sich in offenem Brief an Dorothee Bär gegen das Ende der privaten Datenverschlüsselung...
- Virtuelle Verhandlungen vor Gericht
- Cyber Security Fairevent in Dortmund 4./5.3.2020
NIFIS jetzt auch bei Twitter
Verfolgen Sie die Aktivitäten der NIFIS auch bei Twitter.
Dienst des Monats
