Was kostet IT-Sicherheit?

Ein Netzwerk für die Vermarktung und Vernetzung mit Akteuren aus Firmen und Hochschulen, das ist der Bayerische IT-Sicherheitscluster. Bekannt geworden ist er mit eigenen Entwicklungen, wie dem Informationssicherheitsmanagementsystem (ISMS) und mit beliebten Veranstaltungen, wie der seit 14 Jahren erfolgreichen Reihe "IT-Sicherheit am Donaustrand" in verschiedenen Städten entlang der Donau. Sandra Wiesbeck leitet diesen Cluster, für den sie schon seit zwölf Jahren IT-Sicherheitsthemen bearbeitet. Im Interview beantwortet sie Fragen zur Etatplanung für IT-Sicherheit. 

Frau Wiesbeck, in der Geschäftsführung entsteht oft die Frage, welche Summen notwendig sind, damit ein Unternehmen abgesichert ist. Kann man einen bestimmten Prozentsatz des Umsatzes angeben, der für IT-Sicherheit aufgewendet werden sollte?

Eine Faustregel, wonach das erforderliche Investitionsvolumen bestimmt werden kann, gibt es leider nicht. Dafür sind die Anforderungen in den Unternehmen und Branchen zu unterschiedlich. Beispielsweise müssen Unternehmen, die zur kritischen Infrastruktur (KRITIS) zählen, besondere Auflagen erfüllen. Das gestaltet sich recht aufwendig und damit kostenintensiv.

Ausschlaggebend ist die Art der zu schützenden Daten, Patientendaten sind schutzbedürftiger als die eines Handwerksbetriebs. Dazu ist eine Bewertung der vorhandenen Informationen erforderlich, um die Kronjuwelen zu identifizieren. Das sind Daten, die unternehmenskritisch sind und nicht verloren gehen dürfen, zum Beispiel Forschungsergebnisse. 

Die zu schützenden Informationen sollten immer die Bemessungsgrundlage für das erforderliche Budget bilden. Dem Unternehmen muss bewusst sein, dass auch Informationen einen monetären Wert haben können. Manchmal allerdings nur indirekt, wenn etwa bestimmte Daten an sich nicht wertvoll sind, aber bei Verlust aufgrund gesetzlicher Vorgaben eine Strafe droht.

Welche gesetzlichen Vorgaben für die IT-Sicherheit müssen beachtet werden?

Es existieren verschiedene gesetzliche Anforderungen. Strafen gemäß DSGVO drohen, wenn beispielsweise die gesetzlichen Bestimmungen für den Schutz von Kunden- oder Personaldaten nicht eingehalten werden. Auch das IT-Sicherheitsgesetz sieht Sanktionen vor, etwa bei der Meldepflicht von Sicherheitsvorfällen. Für Kommunen kommt noch das E-Governmentgesetz hinzu. Des Weiteren sind manchmal branchenabhängige Regelungen zu beachten, bei Banken SOX-Compliance oder Basel II. Hersteller von Medizingeräten müssen ebenfalls spezifische IT-Sicherheitsvorgaben berücksichtigen.

Existieren branchenabhängige Unterschiede in den Budgets für IT-Sicherheit?

Zumindest im Branchendurchschnitt sind Unterschiede erkennbar. Das lässt sich auch einfach erklären: Es gibt Branchen, in denen allein durch den Geschäftszweck sensible Daten entstehen oder verarbeitet werden. Im Bereich Biotechnologie fallen zum Beispiel sehr häufig kritische Entwicklungs- oder Forschungsdaten an, die vor Diebstahl geschützt werden müssen. Auch aus einer Lieferkette können sich Abhängigkeiten ergeben: In der Automobilindustrie müssen Zulieferer Sicherheitsvorgaben der KFZ-Hersteller erfüllen. Die Automobilindustrie hat hierfür mit TISAX einen eigenen Standard geschaffen.

Unterscheiden sich kleine von großen Unternehmen bei den Etatkriterien?

Hier sehe ich keine so deutlichen Unterschiede, wie bei Branchen. Ein Unternehmen - egal wie groß oder klein - muss die wichtigsten Geschäftsprozesse und die dafür notwendigen Daten identifizieren. Danach kommen die Kostenfragen. Natürlich verfügen größere Unternehmen meist über einen höheren Grad an Digitalisierung und kritische Abteilungen, wie Forschung und Entwicklung. 

Meistens orientieren sich gesetzliche Vorgaben auch an der Unternehmensgröße. Allerdings kann man als kleines Unternehmen sehr stark durch die Anforderungen größerer Kunden gefordert sein, viel in IT-Sicherheit investieren, wie etwa bei Automobilzulieferern dargestellt. Entweder dadurch, dass Daten mit einem geteilt werden oder durch vom Kunden geforderte Risikobewertungen: Schon bei der Angebotsabgabe stellen Sicherheitsanforderungen bei Zulieferern ein Bewertungskriterium dar. Beispielsweise kann ein kleiner Ingenieurdienstleister in ein Entwicklungsprojekt eingebunden werden und muss dann den Sicherheitsstandard für die übermittelten Daten des Kunden einhalten. Andernfalls könnte man den Auftrag verlieren oder riskiert Vertragsstrafen. 

Wie verteilen sich die Investitionssummen auf Sicherheitsbereiche und -produkte?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterteilt im IT-Grundschutz das Feld in verschiedene Bausteine wie Virenschutz oder Intrusion Detection. Die dort genannten Module und Prioritäten können als Richtlinie dienen. Ich empfehle, dass man sich zunächst überlegt, was für das eigene Unternehmen das Wichtigste ist. Manchmal wird zu viel in neue Hardware investiert, ohne dass vorher klar ist, was man wirklich benötigt.

Zuerst sollte ein Sicherheitskonzept erstellt werden, das ist entscheidend. Gegebenenfalls muss man sich dafür Hilfe holen. Danach könnte zunächst eine Konsolidierung ratsam sein, weil in vielen Unternehmen eine Vielfalt von Systemen existiert. Wenn man das standardisiert, kann man vielleicht mit lediglich einer Sicherheitslösung arbeiten, ansonsten benötigt man eventuell verschiedene. Ein weiterer Punkt, der bei der Budget-Planung zu berücksichtigen ist, sind Schulungen der Mitarbeiter.

Die laufenden Kosten für Administration und Wartung dürften auch ein großer Posten sein, wie kalkuliert man diese?

Ganz pragmatisch könnte man das über Zeiteinheiten regeln, da die Aufrechterhaltung von Prozessen und die Administration von Software und Hardware meist reinen Personalaufwand bedeutet. Hierzu sind Gespräche mit den Fachleuten aus den hausinternen Produktionsbereichen hilfreich, denn die kennen das Unternehmen besser als externe Berater. Schwieriger wird es, wenn ich erst Stellen für Sicherheitsexperten schaffen muss. 

Dann empfiehlt es sich, mit einem externen Informationssicherheitsbeauftragten (ISB) zu beginnen, um nach und nach den Arbeitsaufwand für eine interne Stelle abzuschätzen. Da es momentan sehr schwierig ist, Fachkräfte zu gewinnen, kann man mit dem ISB eine Ausschreibung gestalten oder einen Ausbildungsplan entwickeln.

Mangels Personal kaufen einige Unternehmen entsprechende Dienstleistungen ein, die als Security as a Service (SECaaS) das ganze Spektrum abdecken sollen. Wovon hängt es ab, ob sich SECaaS lohnt?

Hier spielen nicht nur monetäre Fragen eine Rolle, sondern auch Sicherheitsbewertungen. SECaaS benötigt meist eine Internetverbindung, dadurch habe ich direkte Gefahren aus dem Netz. Eine Onpremise-Installation könnte ich natürlich ohne Netz rein intern betreiben und dadurch schon einmal die Sicherheit erhöhen. Entscheidend ist auch, ob bereits entsprechendes Equipment im Haus vorhanden ist. Wenn ich zum Beispiel ein eigenes Rechenzentrum betreibe, bleiben eher Fragen der Skalierung übrig, aber ich benötige keine Grundinvestition. Habe ich allerdings bisher beispielsweise nur ein NAS im Kopierraum stehen, ist es meist nicht sinnvoll, einen kompletten Serverraum aufzubauen. Da ist man mit einem SECaaS-Modell schneller, sicherer und günstiger unterwegs. Doch auch bei einer Entscheidung für Security as a Service muss man den Überblick über das Gesamtsicherheitskonzept behalten.

Was ist bei Budget-Planungen noch zu berücksichtigen?

Ganz wichtig ist, dass IT-Sicherheit von ganz oben gesteuert werden muss. Nur so kann die Akzeptanz im ganzen Unternehmen sichergestellt werden. IT-Sicherheit betrifft alle Abteilungen, es muss zentral organisiert werden. Wenn jede Abteilung eigene Lösung kauft, kommt man nicht zu einem sinnvollen Gesamtkonzept und Sicherheit wird dann nur stiefmütterlich behandelt. Außerdem können nur von der oberen Ebene entsprechende Budgets eingerichtet werden. IT-Sicherheit betrifft nicht das Kerngeschäft, daher ist es oft schwierig, das nötige Budget zu bekommen. Wenn Sie Schulungen planen, müssen die auch unternehmensweit erfolgen und entsprechend budgetiert werden. Das geht nur auf der entsprechenden Ebene.