Klassisches Risiko-Management gefragt

Strategien für das Optimum an IT-Sicherheit

10. März 2005
Von Ingo Butters
Das Thema IT-Sicherheit steht bei den meisten Unternehmen weit oben auf der Prioritätenliste. Doch bei der Umsetzung agieren viele Firmen im Blindflug und stöpseln Technologien wahllos zusammen. In einer Studie hat der Marktforscher Aberdeen nun Strategien vorgestellt, wie Firmen die Ressourcen für IT-Sicherheit am wirkungsvollsten einsetzen.

Hin- und hergerissen sind Unternehmen beim Thema IT-Sicherheit. Einerseits ist ihnen klar, dass sie ihre laufenden Geschäfte und sensible Daten vor Gefahren wie Viren oder Würmern aus dem Internet absichern müssen. Andererseits wollen sie dem Thema IT-Sicherheit nicht alles unterordnen, da es in den wenigsten Fällen zu ihren Kernkompetenzen gehört.

In diesem Spannungsfeld haben Unternehmen verschiedene StrategienStrategien für den Umgang mit der Sicherheit entwickelt - mit ganz unterschiedlichem Erfolg. Die Schlusslichter in der Aberdeen-Studie verlieren im Schnitt 8,4 Prozent ihrer Einnahmen durch Probleme mit der IT-Sicherheit. Die Spitzengruppe büßt dagegen nur 1,4 Prozent ein. Insgesamt könnten Firmen mehrere Milliarden Dollar einsparen, wenn sie bei dem Thema strategischer vorgehen würden, so die Marktforscher von Aberdeen. Alles zu Strategien auf CIO.de

Als Vorbild dienen dabei bekannte Tugenden aus dem Risiko Management. Unternehmen, die ihre IT-Sicherheit besonders effizient organisiert haben, arbeiten dabei mit detaillierten Kosten-Nutzen-Rechnungen. Sie erfassen regelmäßig sowohl den finanziellen Aufwand für die IT-Sicherheit, als auch die positiven Effekte, die diese Investitionen mit sich bringen. Dabei protokolliert die IT-Abteilung nicht nur, wie oft das IT-System virenbedingt in die Knie geht. Stattdessen werden auch andere Unternehmensbereiche, beispielsweise Einkauf, FinanzenFinanzen oder die Rechtsabteilung mit in die Auswertung einbezogen. Auf dieser Basis werden dann Ziele definiert, an denen sich die Sicherheits-Technologien messen lassen müssen. Top-Firmen der Branche Finanzen

Kosten-Nutzen-Rechnungen sind auch für die IT-Sicherheit wichtig.
Kosten-Nutzen-Rechnungen sind auch für die IT-Sicherheit wichtig.

Eindeutige Verantwortlichkeiten

Außerdem arbeiten die besonders effizienten Unternehmen mit klaren Strukturen. Sie stellen jährliche Budgets für die IT-Sicherheit auf und sorgen dafür, dass es eindeutige Zuständigkeiten gibt. Idealerweise wird die Stelle des Chief SecuritySecurity Officers (CSO) geschaffen, bei dem alle Fäden zusammen laufen. Dieser sollte nicht nur darüber Bescheid wissen, welche Bedrohung aus dem Internet gerade besonders gefährlich ist, sondern auch welche Prozesse zentral für den Unternehmenserfolg sind und deshalb besonders geschützt werden müssen. Alles zu Security auf CIO.de

Entsprechend zielgerichtet können solche Firmen dann auch bei der Auswahl der Sicherheits-Technologien vorgehen. In der Aberdeen-Studie zeichneten sich die effizientesten Unternehmen dadurch aus, dass sie ein genaues Kosten- und Anforderungsprofil für die Sicherheits-Software erstellen und dann unter den Anbietern den jeweils besten aussuchen (Best of breed).

Zur Startseite