Die Kosten der Sicherheit

Einer der häufig angeführten Einwände gegen die Einführung eines wirksamen Informationssicherheitsmanagementsystems (wie es in der Norm ISO27001 definiert ist) sind die Kosten. Die Mitarbeiter kosten Geld, die Hilfsmittel kosten Geld, die internen und externen Auditoren kosten Geld, und was die Zeit des Managements betrifft, so ist Zeit nun einmal Geld. Und oft sind die Vorteile der Sicherheit schwer zu definieren, vor allem, weil man nicht weiß, wie groß das Risiko ist, überhaupt keine Sicherheit zu haben.

Ja, es gibt Berichte und Erhebungen, die angeblich das wahre Ausmaß des Problems der Internetkriminalität aufzeigen, aber sie werden von Leuten verfasst, die Ihnen ihre Produkte verkaufen wollen, können Sie ihnen also wirklich vertrauen? Die Antwort ist wahrscheinlich nein, aber das bedeutet nicht, dass sie falsch sind.

Die versteckte Cyber-Kriminalität

Lassen Sie uns einen Moment über den gesamten Bereich der Cyber-Kriminalität nachdenken.

Sie haben einige Vermögenswerte in Ihrem Unternehmen, die auf einem oder mehreren Computern gespeichert sind. Diese Vermögenswerte sind für Sie sehr wertvoll – es könnte sich um Kundendaten, Produktgeheimnisse, Personalinformationen, Finanzdaten usw. handeln, und ohne sie hätten Sie ein ernsthaftes Problem, Ihr Unternehmen zu führen. Und nicht nur das: Zu den Vermögenswerten gehören vielleicht auch Dinge, von denen Sie nicht wollen, dass andere sie erfahren; die Informationen könnten für einen Konkurrenten nützlich sein oder es könnte sich um Dinge handeln, die peinlich wären, wenn sie im Internet durchsickern und öffentlich bekannt werden würden.

Hinzu kommt, dass die meisten Hacks heutzutage nicht mehr angekündigt werden. Vorbei sind die Zeiten, in denen ein Totenkopf auf dem Bildschirm aufblitzte und sagte: “Sie wurden gehackt”. Nein, wenn Sie gehackt worden sind, wissen Sie es wahrscheinlich nicht. Das erste Mal, dass Sie es merken, ist, wenn der Hacker die gestohlenen Informationen zu einem Zweck wie Erpressung verwendet.

Nehmen wir an, Sie haben Glück und finden heraus, dass sich jemand illegal Zugang zu Ihren Systemen verschafft hat. Würden Sie wissen, was derjenige gestohlen hat? Möglicherweise nicht, und Sie müssen vom schlimmsten Fall ausgehen. Können Sie die Person aufspüren und festnehmen lassen? Nun, selbst wenn Sie der forensischen Untersuchung Vorrang vor der schnellstmöglichen Behebung des Problems einräumen würden, sind die Chancen, dass die Spur zur richtigen Person führt, offen gestanden ziemlich gering.

Es gibt also keine Gerechtigkeit.

Der Eisberg

Dann ist da noch die Frage, ob Sie es jemandem erzählen. Hier kommt Ihr Image und der Ruf Ihres Unternehmens ins Spiel. Die bittere Wahrheit über die Folgen eines Reputationsverlusts nach einem erfolgreichen (oder auch einem erfolglosen) Hack ist, dass Sie wahrscheinlich untergehen werden. Überlegen Sie, wie Sie reagieren würden, wenn Sie herausfinden würden, dass ein Unternehmen, mit dem Sie zu tun hatten, Ihre Daten verloren hat; Sie würden sich wahrscheinlich nach anderen Anbietern umsehen, um Ihren Bedarf zu decken, vor allem, wenn es viele ähnliche Anbieter gibt und die Konkurrenz groß ist.

Ein Unternehmen, das einen solchen öffentlichen Verstoß erleidet, könnte überleben, wenn es groß genug ist und über ausreichende Reserven verfügt. Aber wie viele kleinere Unternehmen würden den plötzlichen Mangel an Kunden überstehen? Die traurige Tatsache ist, dass einmal verlorenes Vertrauen nur sehr schwer wiedergewonnen werden kann. In den meisten Ländern gibt es heute (noch) keine gesetzliche Verpflichtung, Sicherheitsverstöße den Behörden zu melden. Seien wir ehrlich, Sie werden es wahrscheinlich niemandem erzählen.

Das heißt im Klartext:

Viele Unternehmen haben keine Ahnung, dass sie gehackt wurden.
Wenn sie glauben, dass sie gehackt wurden, können die meisten nicht sagen, was gestohlen wurde. Die Chancen, die Schuldigen zu finden, sind gering bis gleich null. Jemandem davon zu erzählen ist geschäftlicher Selbstmord

Eisberg

Was das Risiko betrifft, so haben wir es mit einem Eisberg zu tun – eine immer größer werdende sichtbare Spitze öffentlicher Sicherheitsverletzungen mit einer potenziell riesigen verborgenen Fläche unter dem Wasser. Wie groß ist die Ausdehnung? Das weiß niemand. Und was die Auswirkungen betrifft, so haben wir es mit einem fast schon Armageddon-Szenario zu tun, bei dem ein Vertrauensverlust Ihr Unternehmen in kürzester Zeit in den Ruin treibt. Das ist die Art von Risiko, die ich ernst nehmen würde. Also ja, gute Sicherheit kostet etwas. Aber schlechte Sicherheit ist noch viel teurer.

Die ISO27001-Norm

Die ISO27001-Norm gibt Ihnen die Instrumente an die Hand, mit denen Sie Ihr Risiko bewerten und verwalten können, so dass die Gefahr, dass Ihr Unternehmen auf dem Eisberg landet, geringer wird.