„Der deutsche Security-Markt kommt im Jahr 2009 mit einem „blauen Auge“ davon“, so bewertete die Experton Group die Situation der Security-Branche im IT-Markt noch im Februar 2009. Inzwischen ist jedoch klar, dass auch die Umsätze der IT-Anbieter, die sich den Sicherheitsthemen verschrieben haben, in 2009 auf die wirtschaftliche Lage in Deutschland deutlich reagieren. Statt eines Wachstums um 6 Prozent für den Umsatz der Security-Anbieter erwartet die Experton Group im Mai 2009 nur noch eine schwarze Null für das erste Halbjahr 2009 im Security-Markt.

Nicht nur die Sicherheitsanbieter müssen nun auf diese Entwicklung reagieren. Auch deren Kunden, also die Unternehmen in der deutschen Wirtschaft, sind gefordert. Diese stehen vor dem Dilemma, einerseits weniger Geld für die Datensicherheit zur Verfügung zu haben, andererseits aber dem Datenschutz und der IT-Sicherheit eine hohe Priorität zuerkennen zu müssen.

Eine Vernachlässigung des Datenschutzes und der Datensicherheit kann sich ein Unternehmen gerade heute nicht mehr leisten, in einer Zeit, wo die Medien nahezu auf neue Datenlecks lauern und die Öffentlichkeit zu Recht sehr sensibel auf Datenverluste und Datenmissbrauch reagiert.

Beraten Sie die Geschäftsleitung in puncto Datensicherheit

Falls sich Ihre Geschäftsführung nicht von alleine an Sie und die IT-Leitung des Hauses wendet, sollten Sie den ersten Schritt tun und Ihre Beratung anbieten. Leider wird die Bedeutung der IT-Sicherheit trotz aller Datenschutz-Skandale und der zunehmenden Gefahr der Wirtschaftsspionage über das Internet immer noch nicht richtig eingestuft.
Die IT ist in den meisten Unternehmen ein wesentlicher Lebensnerv, diesen zu schützen sollte ebenso selbstverständlich sein wie der Schutz personenbezogener Daten von Kunden, Geschäftspartnern und Beschäftigten.

Um die Bedeutung der Datensicherheit zu unterstreichen, sollten Sie zum einen auf die Haftungsrisiken für die Geschäftsleitung und die Kosten eines Datenverlustes aufmerksam machen, auch wenn es weh tut und nicht mit Freude aufgenommen wird.

Klären Sie die Prioritäten

Außerdem sollten Sie die Prioritäten klären. Natürlich hat der Datenschutz eine hohe Priorität, dennoch sieht das BDSG grundsätzlich die Verhältnismäßigkeit der Maßnahmen vor (§ 9 Technische und organisatorische Maßnahmen). Alle Anstrengungen in der Datensicherheit sollten also nach dem angestrebten Schutzzweck abgeklopft werden und sollten möglichst effizient sein.

Firewall steht an erster Stelle

Eine Studie der eingangs erwähnten Experton Group ergab auf Basis einer Befragung von 150 Unternehmen, dass die Schwerpunkte in der IT-Sicherheit aktuell bei Firewalls (94 Prozent der Befragten), Messaging-Sicherheit am Server und Gateway (Schutz vor Malware, Spam, Phishing: 88 Prozent), VPN auf Basis von IPsec oder SSL/TLS (86 Prozent), Messaging-Sicherheit am Client (75 Prozent) und Web Content Filtering am Gateway und Server (73 Prozent) liegen.

Künftige Planungen für die Zeit vor 2010 würden insbesondere die revisionssichere E-Mail-Archivierung (33 Prozent der Befragten), E-Mail-Verschlüsselung (21 Prozent), Festplattenverschlüsselung (18 Prozent) und Lösungen für die starke Authentisierung (16 Prozent) favorisieren. Allerdings sei nicht auszuschließen, dass bei anhaltender Rezession in Deutschland einzelne Planungen revidiert werden könnten.

Machen Sie eine Bestandsaufnahme der besonderen Art

Gemeinsam mit der IT-Leitung und der Systemadministration sollten Sie nun eine Bestandsaufnahme der besonderen Art machen. Dabei geht es nicht nur um eine Analyse des internen Netzwerks und der IT-Infrastruktur, sondern um die Datensicherheits- und Datenschutz-Perspektive. So können Sie sogar Kennzahlen ermitteln, die Ihrer Geschäftsleitung helfen könnten, die eigene IT-Sicherheit besser einzuschätzen und dadurch auch das richtige Budget zu finden.

Nutzen Sie erprobte Metriken

Um passende Kennzahlen zu finden, die bei der Budgetfindung helfen können, empfiehlt es sich, auf praxiserprobte Metriken zurückzugreifen. Beispiele kommen von dem US-amerikanischen Center for Internet Security CIS. Dort wirkten über 100 Experten zusammen, um ein möglichst aussagekräftiges Zahlensystem zu entwickeln.

Ziel dieses Systems ist es, die Schwere und Häufigkeit von Sicherheitsvorfällen, die Fähigkeit der IT, nach solchen Vorfällen wieder anzulaufen, und den Gebrauch von effektiven Sicherheitsmaßnahmen bewertbar zu machen. Zu den dort definierten Kennzahlen gehören insbesondere

• die Applikationssicherheit (Anzahl der verschiedenen Applikationen im Unternehmen, Prozentsatz kritischer Applikation, Anzahl der Prüfungen und Testläufe pro Monat)
• die Sicherheit von Systemveränderungen (Prozentsatz der Systemänderungen, nach denen eine Sicherheitsüberprüfung stattfindet)
• der Anteil des Security-Budgets am IT-Budget insgesamt
• die Reaktion auf Sicherheitsvorfälle (mittlere Zeit, einen Vorfall zu entdecken, der Prozentsatz der Sicherheitsvorfälle, die intern entdeckt wurden, im Vergleich zu extern gemeldeten Vorfällen, die das Unternehmen betrafen)
• das Patch-Management (mittlere Zeitspanne, bis ein Patch eingespielt wird)
• das Schwachstellen-Management (die Anzahl der Schwachstellen-Scans pro Monat, die Anzahl der gefundenen Sicherheitslücken pro Monat)

Solche Kennzahlen machen die aktuelle IT-Sicherheit für die Geschäftsleitung greifbarer, zeigen einen Bedarf zur Änderung der Strategie in der Datensicherheit und können bei der Kosten-Nutzen-Analyse im Datenschutz und bei der Datensicherheit helfen. Letztlich helfen Ihre Bemühen um das Security-Budget im Unternehmen dabei, dass nicht am falschen Ende gespart wird oder aber die Sicherheitsausgaben zumindest besser verteilt werden.