IT-Sicherheitssysteme

Investitionen in IT-Sicherheit rechnen sich langfristig

Von Christian Raum · 2023

Selbstverständlich haben alle Unternehmen und Organisationen ein zumindest grundlegendes IT-Sicherheitssystem implementiert. Allerdings stellt sich bei einer Analyse im Rahmen des Risikomanagements in vielen Fällen heraus, dass die Nutzung der Systeme mangelhaft ist.

Eine Hand schwebt schützend über einem IT-Sicherheitssymbol.
Foto: iStock / Galeanu Mihai

Häufig starten Unternehmen die Projekte rund um das Risikomanagement aus einem Bauchgefühl heraus. Sicherheitsexperten sprechen immer wieder mit Geschäftsleitungen, die in Sorge sind, dass ihre Sicherheitssysteme trotz hoher Anschaffungskosten „insgesamt nicht gut aufgestellt sind“.

Verantwortliche werden nachdenklich, wenn sie mit Sicherheitsfragen konfrontiert werden, auf die sie keine Antwort haben. Dann zweifeln sie häufig daran, dass ihre bisherigen Investitionen in die Sicherheitskonzepte sinnvoll waren. Auslöser kann sein, dass Partner und Kunden im Zuge einer neuen Zusammenarbeit ein Sicherheitsaudit verlangen. Dann hängt womöglich ein großer Auftrag von der nachzuweisenden IT-Security eines Unternehmens ab. Die Überlegungen und Abwägungen bis zu einer Entscheidung für Systemanalysen und ein strukturiertes Risikomanagement sind mitunter sehr lang. Das ist sicherlich auch deshalb so, weil sich die Geschäftsleitung vor dem Ergebnis fürchtet. Schließlich ist die Chefetage für die Sicherheit der IT-Systeme verantwortlich – und ein mangelhaftes Audit wirft ein schlechtes Licht auf den zuständigen Personenkreis.

Bisherige Investition in IT-Sicherheitssysteme prüfen und sichern

Im ersten Schritt einer Risikoanalyse ist es wichtig, den Zustand der IT-Sicherheitssysteme zu prüfen und eine möglichst vollständige Bestandsliste zu erarbeiten. Dazu zählen nicht nur Hardware, Software und Netzwerktechnik, sondern auch das Wissen und die Spezialisierung in der IT-Abteilung. In vielen Fällen hat die Unternehmensspitze tatsächlich keine Ahnung, wie viel Geld bereits in die Sicherheitstechnik geflossen ist – und auch nicht, wie es um das Know-how ihrer Mitarbeiterinnen und Mitarbeiter bestellt ist.

Risiken quantifizieren

Im Rahmen einer Risikobetrachtung ist es notwendig, die tatsächlichen Kosten einer Cyberattacke auf die Organisation zu quantifizieren – dies ist die Grundlage einer Kosten-Nutzen-Analyse und die Voraussetzung für die Festlegung eines sinnvollen und ausreichenden Budgets. Dabei dürfen auch die Kosten für das Aufräumen, die Schadensanalyse und das Neuaufstellen der gehackten und vielleicht zerstörten Systeme nicht vergessen werden. Bei einem zerstörerischen Angriff auf eine große Organisation muss das Management eventuell mit einem sechsstelligen Betrag rechnen. Wenn das Risiko quantifiziert ist, werden die Verhandlungen um Budgets für die Systeme und die Rückstellungen für mögliche erfolgreiche Angriffe beginnen.

Ständige Weiterbildung ist entscheidend

Entscheidet sich der Kunde dafür, neue Systeme anzuschaffen, neues Sicherheits-Know-how in das Unternehmen zu holen und Weiterbildungen durchzuführen, kommt als weiterer Faktor die Zeit mit in die Risikobetrachtung. Denn diese neuen Sicherheitssysteme und Sicherheitsmaßnahmen werden sich nur rechnen, wenn sie langfristig angelegt sind. Sie sollten mit Updates und Support versorgt werden, aber auch die vorhersehbaren Risiken für die kommenden Jahre abdecken. Nur so können sich Investitionen langfristig auszahlen.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)