Ich behaupte „so viel wie nötig und so wenig wie möglich“.
Ein Spagat? Absolut! Der Wiederbeschaffungswert eines Servers ist häufig vernachlässigbar. Der Invest in Sicherheitsmaßnahmen hängt in erster Linie von den Aufgaben ab die ein Server für den Betrieb erfüllt. Außerdem hängt er natürlich von dem Wert der Informationen ab die auf diesem Server abgelegt werden. Doch wie kann man diesen Wert bestimmen?
Kosten für Schäden versus Investitionen
Man könnte davon ausgehen dass 100%ige Sicherheit durch maximal hohe Investitionen erreicht wird. Das ist ein Trugschluß! Totale Sicherheit wird es niemals geben (grüne Kurve).
Einleuchtend ist auch dass Kosten durch Schäden je höher ausfallen umso niedriger das Sicherheitsniveau ist (blaue Kurve). Beide Kurven schneiden sich in einem Punkt bei dem Investitionskosten genauso hoch sind wie die Kosten die durch Schäden entstehen würden. Dieser Schnittpunkt stellt den Punkt der niedrigsten Ausgaben dar. Ob er nun bei einem Sicherheitsniveau von 30% oder von 60% optimal ist, hängt vom eigentlichen zu schützenden Sicherheitswert ab.
Was ist ein Sicherheitswert?
Verfügbarkeit
Bei einem Serverausfall lässt sich die zu erwartende Schadenshöhe von dem entgangenen Gewinn ableiten. Der Sicherheitswert ist in diesem Fall „Verfügbarkeit“. Sofern der besagte Server nicht verfügbar ist kann er nicht mehr in der Produktion verwendet werden. Eine SachbearbeiterIn könnte ihre Aufgabe nicht mehr erfüllen und folglich ihren Auftrag nicht erfüllen. Die Schadenshöhe könnte daraus abgeleitet werden.
Integrität
Veränderte Zahlen oder verfälschte Meßergebnisse können zu falschen Schlussfolgerungen führen. Im schlimmsten Fall führt dies sogar zu fehlerhafter Produktion die unter Umständen zu Problemen beim Endkunden führen kann. Der Sicherheitswert in diesem Fall ist die „Integrität“.
Vertraulichkeit
Der dritte Sicherheitswert ist die „Vertraulichkeit“ der Daten auf dem besagten Server. Die Kosten die entstehen, wenn ein geheimes Rezept, ein Konstruktionsplan oder eine neue Software in falsche Hände gerät, könnten ein Unternehmen bis in die Insolvenz führen.
Weitere unter Umständen zu schützende Sicherheitswerte sind „Authentizität“ bzw. „Echtheit“ und „Verbindlichkeit“. Unter Authentizität versteht man z.B. das Vertrauen in die Identität einer Person die sich durch einen Ausweis oder ein Zertifikat ausweisen muss. Verbindlichkeit kann durch eine digitale Unterschrift erzeugt werden. Dadurch kann eine rechtskräftige Absichtserklärung erfolgen. Wurde ein digitales Zertifikat bzw. ein privater Schlüssel von einem Angreifer abgefangen, so kann der digitalen Unterschrift nicht mehr vertraut werden bzw. keine Verbindlichkeit garantiert werden.
Unklar bleibt jedoch welcher der Werte welche Relevanz für Ihr Unternehmen hat. Vielleicht ist es auch eine Kombination der Werte die für Ihren Betrieb eine Rolle spielen. Man kann demnach nicht erkennen wie genau investiert werden muss.
Konkrete Maßnahmen durch Risikoanalyse
Helfen kann eine Risikoanalyse mit deren Ergebnis die Investitionen richtig verteilt werden könnten. Das Ergebnis zeigt wie wichtig ein Server, ein System, ein Netzwerk, eine Maschine, ein Mensch oder auch ein Prozess ist. Daraus ergeben sich Sicherheits-Maßnahmen welche die gefundenen Schwachstellen kosteneffizient mindern. Das Ergebnis einer Risikoanalyse bietet weitaus mehr als nur einen Hinweis wieviel Geld „investiert“ werden sollte.
Risiko überwachen durch Risikomanagement
Wer eine Risikoanalyse erstellt, davon Maßnahmen ableitet und umsetzt, erlebt anschließend ein verändertes Risikoprofil. Deswegen bewertet man Risiken erneut nach Anwendung von Maßnahmen (siehe hierzu auch Deming Cycle: Plan, Do, Check, Act). Schließlich ändert sich auch der Markt, die Ansprüche oder die Produktionsgeschwindigkeit. Der Anspruch an Vertraulichkeit von Daten nimmt eventuell mit der Zeit sogar ab oder die Integrität eines Konstruktionsplanes ist nicht mehr so wichtig nachdem die Produktion selbständig funktioniert. Die Sicherheit bzw. die Risiken werden regelmäßig neu bewertet. Dazu führen wir einen so genannten Lebenszyklus bzw. ein Lifecycle von Risikoanalysen ein – genannt Risikomanagement.
Professionalität ist also angesagt bei der Betrachtung und Behandlung von Sicherheitsrisiken. Werkzeuge dazu sind bekannt – Sicherheits-Experten wenden diese regelmäßig an um Betriebe sicherer zu machen.
