IT-Security: Definition von Sicherheit

Jedes Unternehmen sollte anstreben, sicher vor Angriffen zu sein, aber wenige können beantworten, was „sicher zu sein“ überhaupt für sie selbst heißt. Bevor wir den Begriff IT-Sicherheit definieren können, müssen wir deswegen erst einmal verstehen, was der Begriff „Sicherheit“ überhaupt bedeutet. „Sicherheit“ wird laut Wikipedia als „Abwesenheit unvertretbarer Risiken“ beschrieben. Aber wie genau können die eigenen Risiken herausgefunden werden, vor denen Unternehmen sich schützen müssen? Dazu kann eine einfache Gleichung aufgestellt werden:
Risiko = Schadenshöhe x Eintrittswahrscheinlichkeit
Um die beiden Parameter zu erklären und anschließend auf die IT-Sicherheit zu übertragen, wählen wir einfaches Beispiel aus dem Alltag:

• Schadenshöhe: Wovor habe ich Angst und wie schlimm ist der Schaden für mich? Beim Fahrradfahren habe ich beispielsweise Angst davor, gegen einen Baum zu fahren, da der Schmerz vermutlich sehr hoch sein wird. 
• Eintrittswahrscheinlichkeit: Wie hoch ist die Wahrscheinlichkeit, dass ich beim Fahrradfahren gegen einen Baum fahren werde?

Diese beiden Parameter können manipuliert werden, wenn über das Thema Sicherheit und Risiken gesprochen wird:

• Schadenshöhe: Ich kaufe mir einen Helm, Knieschützer, … -> Welches Maß an Schutzmaßnahmen ich ergreife, ist individuell, je nachdem wie ängstlich ich bin und was meine eigene Definition von Sicherheit ist 
• Eintrittswahrscheinlichkeit: Ich fahre nicht im Wald, ich absolviere vorher ein Training, … -> Welches Maß ich ergreife um die Eintrittswahrscheinlichkeit zu senken, ist auch hier wieder individuell 

Im Bezug darauf wird deutlich, dass die Definition von Sicherheit viele Freiheiten hat, dementsprechend aber auch Verantwortung mit sich bringt. Wenn ich mich nur für einen Helm entscheide, mir bei einem Unfall aber das Knie zertrümmere, bin ich das Restrisiko bewusst eingegangen.

Wie läuft eine IT-Sicherheitsanalyse ab?

Jedes Unternehmen hat ein für sich individuelles Maß an Risiken und ein Angebot an passenden Werkzeugen, um die dazugehörige Schadenshöhe und Eintrittswahrscheinlichkeit zu manipulieren. Deswegen sollte immer zu Beginn einer IT-Sicherheitsanalyse geklärt werden, was IT-Sicherheit für die eigenen Anforderungen bedeutet. 
Nehmen wir als Beispiel einen Kindergarten vs. ein Krankenhaus: In einem Kindergarten würde ausreichende Sicherheit bedeuten, dass die Computer außerhalb der Reichweite von den Kindern aufgestellt werden. Im Gegensatz hierzu wäre dies keine ausreichende Maßnahme für ein Krankenhaus, das sensible Daten von Patienten auf dem Computer speichert. 

Nachdem die Risiken definiert wurden, sollte festgelegt werden, welche Risiken minimiert werden sollen, weil deren Schadenshöhe sehr hoch ist. Und mit welchem Restrisiko kann ein Unternehmen arbeiten und die Verantwortung dafür tragen, da die Eintrittswahrscheinlichkeit eher gering ist? Eine 100%ige IT-Sicherheit kann nicht garantiert werden. 
Eine Schwierigkeit in der IT ist somit, herauszufinden, was die Eintrittswahrscheinlichkeit und die Schadenshöhe der verschiedenen Risiken jedes einzelnes Unternehmens ist und zu entscheiden, welche Maßnahmen sinnvoll sind und ergriffen werden sollten oder müssen. 

Schadenshöhe und Eintrittswahrscheinlichkeit bestimmen

Schadenshöhe

Unternehmen sind sehr stark abhängig von Ihrer IT. Daher sollten Sie sich unbedingt mit den folgenden Fragestellungen beschäftigen:

• Was wäre denn die Schadenshöhe, wenn ein System auf Grund eines Angriffs einen ganzen Tag lang ausfallen würde?
• Und wäre es rentabel, sich vor diesem Risiko zu schützen?

Neben dem Punkt, dass Ihre Mitarbeiter den ganzen Tag nicht arbeiten können und ein erheblicher betriebswirtschaftlicher Eigenschaden entstehen kann, der die Kosten eines Sicherheitsscans oft weit überschreitet, muss auch immer die Haftungsfrage miteinbezogen werden.

Ein Ausfall betrifft oft nicht nur das eigene Unternehmen, sondern unter Umständen auch Kunden oder Partner, die ihren Ausfallschaden gegebenenfalls bei Ihnen einklagen. Ein Beispiel dafür wäre ein Angriff auf ein Kreditkarteninstitut, bei dem Kundendaten gestohlen und missbraucht wurden. Hier könnten die Kunden aufgrund der Datenschutzverletzung klagen oder aufgrund des Vertrauensverlustes den Anbieter wechseln.

Ist das System hingegen für den betrieblichen Ablauf nicht von großer Bedeutung und Dritte im Schadensfall unbeteiligt, würden die Kosten für eine Risikoabschwächung nicht in Relation zu denen eines Ausfalls stehen und das Risiko mit kleiner Schadenshöhe als vertretbares Restrisiko eingestuft.

Eintrittswahrscheinlichkeit

Die mögliche Eintrittswahrscheinlichkeit ist hingegen schwieriger zu definieren. Versicherungen nutzen bei der Berechnung Ihre eigene Erfahrung oder die anderer und leiten die Wahrscheinlichkeit daraus ab. Wie oft haben bspw. Fahranfänger einen Unfall im Gegensatz zu erfahrenen Autofahrern?

Die Abschätzung der Eintrittswahrscheinlichkeit ist in der IT leider nicht so einfach, da Datendiebstähle oft nicht registriert werden – außer diese beruhen auf Erpressung. Wenn es keine eigene Erfahrung gibt, kann aus diesen auch nicht gelernt werden. Hier muss auf andere Erfahrungen zugegriffen werden, wie zum Beispiel ein Erfahrungstausch mit anderen Unternehmen oder IT-Sicherheitsexperten, die mit Anomalieerkennung, Social-Engineering-Kampagnen und Passwort-Audits Ihre IT-Sicherheit und die Eintrittswahrscheinlichkeit von Angriffen überprüfen.
Um die eigene Bedrohungslage zu verstehen, passende Werkzeuge auszuwählen und damit das eigene Risiko zu minimieren, ist es unumgänglich, die eigene IT-Sicherheit für sich zu definieren. Damit ist auch offensichtlich, dass eine IT-Sicherheitsanalyse immer individuell ist und nicht standardisiert werden kann.