- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Investitionen in IT-Sicherheit legitimieren


Mit Sicherheit zum ROI: Investitionen in die Cybersicherheit und wie man sie intern überzeugend verargumentiert
Wie man am besten mit welchem Typus Manager spricht, wie man sich auf etwas vorbereitet, das man nicht kennt - Wie man in IT-Sicherheit investiert und gleichzeitig den ROI messbar macht

- Anzeigen -





Von Joe Campbell / Susanne Haase, One Identity

Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

Lernen Sie Ihre Zielgruppe kennen
Es gibt unterschiedliche Herangehensweisen. Bevor man aber überhaupt in ein Gespräch einsteigt, sollte man sich immer bewusst machen, mit wem genau man es zu tun hat. Die Botschaft: lernen Sie Ihre Unternehmensführung und das Management (besser) kennen. IT-Sicherheitsexperten sollten sich in jedem Fall klar machen, wie die Menschen "ticken" mit denen sie es zu tun haben, bevor sie in ein Gespräch einsteigen. Denn Sie haben ja ein bestimmtes Ziel vor Augen und hoffen die betreffende Person dahingehend positiv beeinflussen zu können. Einfacher gesagt, man sollte wissen, welchen Typ von Führungspersönlichkeit man vor sich hat. Es gibt drei charakteristische Typen von Managern und Managerinnen, die unterschiedliche Prioritäten setzen, wenn sie eine Entscheidung treffen.

Der Resultat-/Ergebnisorientierte Typ: So etwas wie der "Buchhalter" in unserem beruflichen Leben. Ihr Gegenüber ist einzig und allein an den Fakten interessiert und daran, ob das, was Sie vortragen, finanziell Sinn macht. Hier sollten Sie sich im Gespräch auf den ROI konzentrieren.

Der emotionale Typ: Auch dann, wenn Sie mit dieser Person irgendwann über Zahlen sprechen, wird Ihr Gesprächspartner vermutlich eher daran interessiert sein, welche Folgen eine Datenschutzverletzung haben und wie sehr sie einer Marke, einem Unternehmen insgesamt schaden kann.

Der visionäre Typ: Der Visionär ist eine interessante Kombination aus resultatorientiert und emotional. Zahlen und Kontext sind für diesen Managertypus gleichermaßen wichtig. Hier ist es sinnvoll emotionale Argumente mit Zahlen und Fakten zu unterfüttern und sich auf die positiven Effekte zu konzentrieren.

Hat man eine Idee von der Persönlichkeitsstruktur desjenigen, der die Hand über das Budget hält, gibt diese Struktur den Ausschlag wie man besten argumentiert. Es existieren eine ganze Reihe unterschiedlicher Strategien. Wir konzentrieren uns auf die beiden wichtigsten: sich auf das Unerwartete vorzubereiten und darauf wie man den ROI erreicht.

Wie man sich auf etwas vorbereitet, dass man nicht kennt und trotzdem befürchten muss
In vielen Fällen sind Ängste und Befürchtungen etwas, auf das Menschen sehr unmittelbar reagieren. Furcht ist tatsächlich einer der wichtigsten Gründe, warum Menschen Geld ausgeben. Ein Beispiel ist die Bewegung der "Prepper", die auch hierzulande immer häufiger von sich Reden macht. Es handelt sich um eine Gruppe von Menschen, die viel Zeit und Geld investieren, um für einen angenommen "Ernstfall" vorbereitet zu sein.

Befürchtungen haben nicht immer eine reale Grundlage. Sie sind aber ein sinnvoller Antrieb um sich gegen Eventualitäten zu wappnen. Wenn man beispielsweise in einem Teil der Welt lebt, der regelmäßig von Naturkatastrophen heimgesucht wird, ist es sinnvoll sich entsprechend vorzubereiten.

Die Meisten, die intern Investitionen in IT-Sicherheit legitimieren müssen, sind auf eine solche Diskussion nicht ausreichend vorbereitet. Entscheidend sind einerseits die Detailtiefe und andererseits das Vermitteln konkreter Erfahrungen die andere schon gemacht haben.

"Was wäre wenn, wir tatsächlich Opfer eines Hackerangriffs werden würden? Wahrscheinlich hätten wir es mit einer Reihe von Schwierigkeiten zu tun." Das ist zwar sachlich richtig, aber bei weitem nicht ausreichend um jemanden zu überzeugen. Man sollte sich die Zeit nehmen und die Auswirkungen von Datenschutzverletzungen studieren mit denen es andere Firmen in der Vergangenheit schon zu tun hatten. Beispiele aus dem "richtigen Leben" überzeugen mehr als theoretische Gedankenspiele.

Beispiel 1: Die Einzelhandelskette Target
Der Angriff auf die Einzelhandelskette Target ist so etwas wie der Archetyp dessen, was passieren kann. Und zwar nicht nur theoretisch. Im Fall von Target lassen sich die Folgen inzwischen recht gut beziffern. Der Diebstahl von 40 Millionen Kreditkartendaten und 70 Millionen Nutzerdatensätzen führte zu:

>> 46 Prozent Umsatzverlust, geschätzte 1,2 Milliarden US-Dollar
>> 200 Millionen US-Dollar Zahlungen an Kreditkarteninstitutionen für das Neuausstellen von
>> 100 Millionen US-Dollar kostete das Upgraden der POS-Terminals
>> Und 55 Millionen US-Dollar teuer war die Abfindung an den CEO des Unternehmens

Beispiel 2: Die schweizerische Wegelin Bank
Die älteste Bank der Schweiz, die St. Gallener Wegelin Bank, wurde 1741 gegründet und galt als Branchentitan. Bis mangelhafte interne Kontrollen die Bank letztendlich in die Knie gezwungen haben. Ein Kunde in den USA hatte gestanden, bei der Bank unversteuertes Geld versteckt zu haben. Die Informationen zu diesem Konto stammten aus Unterlagen der UBS. Neben den steuerrechtlichen und politischen Erschütterungen in diesem Fall, waren es fehlende Governance und die fehlende Separation of Duties (SOD), die es bestimmten Bankern erlaubt hatte auf vertrauliche interne Konten zuzugreifen und mithilfe von Scheinfirmen Steuergelder zu hinterziehen. Der Fall schlug international und national hohe Wellen, die Führungspersonen wurden angezeigt und waren lediglich dadurch geschützt, dass Auslieferungsabkommen nicht für den Bereich der Finanzkriminalität gelten.

Das sind nur zwei Beispiele unter Tausenden. Es geht dabei immer um die ganz realen Auswirkungen von Datenschutzverletzungen auf ganz reale Kunden. Je besser ein Vorfall zur Situation im eigenen Unternehmen und zur eigenen Branche passt desto eher eignet er sich, argumentative Schützenhilfe zu leisten. Angesichts der Vielzahl bekannt gewordener Vorfälle sollte es nicht allzu schwierig sein den passenden zu finden. Sei es eine Ransomware-Attacke, gestohlene IPs oder Benutzerdatensätze. Die Auswirkungen sind real und sie sind messbar.

Der Königsweg zum ROI
Es gab überraschend klingen, aber wenn es darum geht für Investitionen in die IT-Sicherheit zu argumentieren kann man auf McDonalds und Henry Ford zurückgreifen.

Richard und Maurice McDonald waren die ersten Entrepreneure überhaupt, die erkannten, dass es eine Nachfrage für Fast Food gibt. Aber wie genau sollte man das Vorhaben am besten umsetzen? Zunächst konzentrierten sich die ambitionierten Gründer auf wenige Gerichte (Cheeseburger und Shakes). Dann entwickelten sie einen wiederholbaren Prozess um die Mahlzeiten besonders schnell fertigzustellen. Damit gelang es ihnen die durchschnittliche Wartezeit in einem Schnellrestaurant auf nur rund 30 Sekunden nach der eingegangen Bestellung zu reduzieren. Das war revolutionär.

Henry Ford wiederum hat die moderne Produktionsreihe erfunden und die Fließbandfertigung perfektioniert. Damit senkte er die Zeit, die man bisher für die Produktion eines Model-T gebraucht hatte auf nur noch 93 Minuten. Die Modelle rollten also quasi schneller vom Band als die Lackierung brauchte um zu trocknen. Und wirklich, das war nur mit einer einzigen Farbe, dem sogenannten "Japan Black" möglich. Kein Wunder also, dass der Ford Model-T nur in einer einzigen Farbe erhältlich war, in schwarz. Es handelt sich also um einen durchgängigen, vorhersehbaren und wiederholbaren Prozess mit gängigen Einzelteilen, die so konstruiert waren, dass man sie schnell und einfach montieren konnte. Damit war es Ford gelungen den noch jungen Automobilmarkt zu dominieren.

In Sicherheit investieren, ROI messbar machen
Moderne Sicherheitslösungen bieten einen wiederholbaren, vorhersehbaren und sicheren Level an Automatisierung. Der ist nötig um Reibungsverluste zu vermeiden und gleichzeitig Firmen flexibler zu machen. Man kann leicht selbst nachvollziehen wie viel Zeit und Aufwand es kostet, beispielsweise einen neuen Mitarbeitenden mit allen Zugriffsberechtigungen auszustatten, die er braucht, und nur mit denen.

Ohne einen definierten sicheren Prozess passiert das Ganze manuell, und solange der Vorgang nicht abgeschlossen ist, kann der Betreffende nicht produktiv arbeiten. Im Gegensatz dazu stelle man sich ein Szenario vor in dem den Fachbereichsverantwortlichen nicht nur Tools zu Verfügung stehen, die sie selbst nutzen können, sondern auch solche, die Anfragen automatisch bearbeiten und ausführen. Ein anderes Beispiel sind typische Help Desk-Anfragen für das Zurücksetzen von Benutzerkonten. Sie kosten geschultes Personal Unmengen von Zeit.

Über unternehmensweite Self-Service-Portale können sich die Benutzer stattdessen selbst helfen. Solche Ansätze haben einiges für sich. Mitarbeitende werden produktiver. Und das in einer Umgebung, die kontrolliert und die sicher ist. Automatisierung sorgt dafür, dass alle Konten durchgängig überwacht werden, dass veraltete oder riskante Zugriffsberechtigungen geändert beziehungsweise gelöscht werden, dass Konten in der Cloud angelegt werden und so weiter.

Fazit
Bei den meisten aktuellen Sicherheitslösungen ist es inzwischen möglich den ROI auf die eine oder andere Art messbar zu machen. Sie haben die Daten zur Verfügung, die sie für Ihr Zielpublikum brauchen. Konzentrieren Sie sich dann auf die potenziellen Kosten im Schadensfall oder auf das Versprechen Zeit und Geld zu sparen? Das kommt auf Ihre Gesprächspartner an. Unabhängig von der Position, die Sie vertreten wollen: es gibt ausreichend Fakten, die IT-Sicherheit auch im Hinblick auf die Budgetvergabe ganz nach oben auf die Agenda bringen. (One Identity: ra)

eingetragen: 09.09.18
Newsletterlauf: 05.10.18

One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • KI: Kein Ersatz für IT-Sicherheitsteams

    Ob Spear-Phishing, Ransomware oder Zero-Day-Exploits, Netzwerke sind ständig in Gefahr gehackt zu werden. Die wachsende Bedrohung geht einher mit immer komplexeren IT-Landschaften, mehr Daten und weniger IT-Personal. Um ihre Netzwerke unter diesen schwierigen Umständen effektiver zu schützen, setzen viele Unternehmen inzwischen auf Technologien wie KI-basierte Verhaltensüberwachung. Sie nutzt die Möglichkeiten von Datenanalyse und maschinellem Lernen um einen der größten Risikofaktoren im Netzwerk zu minimieren: den Benutzer. Nutzer sind die Einfallstore, die sensible Unternehmensdaten gefährden, sei es ein kompromittiertes Nutzerkonto im Netzwerk, ein Insider-Angriff oder unbedachtes Verhalten eines Mitarbeiters.

  • Cyber-Erpressung auf Bestellung

    CryptoLocker, GoldenEye, Locky, WannaCry - Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware-as-a-Service (RaaS) rasch ein lukratives Geschäftsmodell für sich entdeckt, das in kürzester Zeit enormes Wachstum erlebt hat. Das Prinzip ist denkbar einfach - wie in der legalen Wirtschaft sind die Dienstleistungen ganz auf die Bedürfnisse einer möglichst breiten Kundschaft zugeschnitten: Auf Ransomware-as-a-Service-Plattformen können nun auch technisch wenig versierte Kriminelle ins Cyber-Erpressergeschäft einsteigen und sich von Schadware-Entwicklern die entsprechende Service-Leistung gegen Abgabe einer festen Gebühr oder einer Provision basierend auf den Lösegeldeinnahmen besorgen.

  • Investitionen in IT-Sicherheit legitimieren

    Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert.

  • Tor-Browser, um IP-Adressen zu verschleiern

    Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social Engineering-Angriffe immer weiter verfeinern. Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservice-Hosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten. Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen "Cumulus" den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.