IT-Sicherheit in Unternehmen macht sich bezahlt

IT-Sicherheit dient nicht als Selbstzweck, sondern bildet die Grundlage für zuverlässige Leistungen gegenüber Kunden und Dienstleistern. Wenn Unternehmer an der Sicherheit sparen, sinkt damit die Verfügbarkeit ihrer IT-Systeme: Technische Defekte an Festplatten, schädigende Viren oder unzureichend administrierte IT führen zu Datenverlust oder schneiden Unternehmen unter Umständen für Stunden oder Tage von der elektronischen Kommunikation ab. Für Kunden entsteht leicht der Eindruck, dass das Unternehmen unzuverlässig, wenn nicht sogar fahrlässig handelt. Ausfälle der IT-Systeme können außerdem wegen nicht eingehaltener Termine zusätzliche Kosten verursachen.

Angemessene IT-Sicherheit trägt somit direkt zum positiven Erscheinungsbild eines Unternehmens bei Geschäftspartnern bei und hilft, das Kostenrisiko durch mögliche Ausfälle zu verringern. IT-Sicherheit muss deshalb ein integraler Bestandteil des Geschäftsalltags sein – so wie es IT-Systeme heute schon sind.

Wirtschaftlichkeit von IT-Sicherheit

Der wirtschaftliche Nutzen von Investitionen in IT-Sicherheit ist schwer zu messen. Angelehnt am Return-of-Investment (ROI) existiert zwar als Messgröße der Return-of-Security-Investment (ROSI). Diese ist aber nur in wenigen Bereichen und nicht auf alle in einem Unternehmen notwendigen Sicherheitsmaßnahmen anwendbar. Die Wirtschaftlichkeit von IT-Sicherheit erschließt sich deshalb vorwiegend argumentativ und weniger durch belastbare Zahlen, da sich die möglichen Kosten sowie der Vertrauensverlust bei Kunden, Diensteistern und Kreditgebern durch Störungen in der IT nicht exakt im Voraus beziffern lassen.

Daher ist es umso wichtiger, die positiven Effekte von IT-Sicherheit zu kennen und sie den Kosten möglicher Schäden gegenüberzustellen.

IT-Sicherheit oder Versicherung?

Eine Reihe von Maßnahmen der IT-Sicherheit dient der Vermeidung von Schäden, die teilweise auch durch Versicherungen abgedeckt werden können. Kann man sich IT-Sicherheit deshalb sparen?

Das wäre ein voreiliger Schluss, denn die Prämien von Versicherungen – beispielsweise gegen Betriebsunterbrechungen – orientieren sich auch am Stand des vorhandenen Sicherheitsniveaus. Da vorhandene Sicherheitsmaßnahmen das Risiko senken, können sich diese auch auf die Prämienhöhe auswirken. Doch selbst eine Versicherung kann nicht alle Schäden, die auftreten können, abdecken. Und selbst versicherte Schäden werden nur durch Geld entschädigt – Vertrauensverlust und Imageschaden können so nicht ausgebessert werden. Ein möglicher Datenverlust lässt sich schlimmstenfalls gar nicht kompensieren.

Auch der Schaden in der EDV – und somit die Ursache – sind keineswegs beseitigt. Bis die betroffenen Systeme wiederhergestellt sind, vergeht zusätzliche Zeit, denn die individuelle EDV-Konfiguration eines Unternehmens können Sie nicht von der Stange kaufen.

Beugen Sie vor: Beispiel Datensicherung

Zunehmend liegen Unternehmensdaten elektronisch vor. Der gute alte Aktenordner dient oft weiterhin der Dokumentation, ist aber selten tagesaktuell gepflegt. Computer-Festplatten speichern heutzutage alle geschäftswichtigen Daten, die täglich benötigt werden und zur Verfügung stehen müssen: Kundendaten, Korrespondenz, Rechnungsunterlagen oder Vertragsdaten sind schnell verfügbar, aber ebenso schnell auch zu löschen.

Jede Festplatte – egal, ob in einem Arbeitsplatz-PC oder einem Server – hat eine begrenzte Lebensdauer; sie unterliegt Verschleiß. Der Ausfall geschieht in der Regel ohne Vorankündigung und oft gerade dann, wenn die Daten vor dem Abschluss eines neuen Geschäfts am dringendsten benötigt werden. Auch andere Speichermedien haben eine begrenzte Lebensdauer. Viren oder menschliches Versagen sind weitere Ursachen eines möglichen Datenverlustes. Regelmäßige Datensicherung ist deshalb notwendig.

Umfang und Häufigkeit der Datensicherung bestimmen Sie nach den möglichen Schäden, die Ihnen ein Datenverlust bringen kann: Können Sie es sich leisten, nur einmal pro Woche die Daten zu sichern und damit schlimmstenfalls die Arbeit einer Woche zu verlieren? Oder vielleicht die Arbeit eines ganzen oder halben Tages? Je häufiger Sie die Daten bearbeiten und je wichtiger diese sind, desto öfters sollten Sie diese sichern. Sind Ihre Daten auf dem Computer dann nicht mehr lesbar – weil die Festplatte defekt ist oder sie versehentlich gelöscht wurde – können Sie mithilfe der Datensicherung den letzten Stand wiederherstellen.

Was kostet Datensicherung?

Kosten entstehen in zwei Bereichen: einmal durch die Investition in die Hardware und zweitens durch den laufenden Betrieb der Datensicherung. Die dabei zu investierenden Summen hängen stark von der Datenmenge und der Häufigkeit der Sicherung ab. In kleinen Betrieben reicht oft das Brennen einer CD-ROM aus; größere Unternehmen benötigen einen eigenen Datensicherungs-Server. Diese Kosten können den Kosten im Falle eines Datencrashs gegenübergestellt werden:

  • Wie viel sind Ihnen Ihre Daten wert?
  • Wie lange müssen Mitarbeiter zusätzlich arbeiten, um die verlorenen Daten wieder einzugeben?
  • Sind alle verlorenen Daten wieder beschaffbar?
  • Wie viele Mitarbeiter können ohne diese Daten nicht arbeiten?
  • Was sagen Ihre Kunden zu einem Datenverlust?
  • Vertrauen Ihre Kunden Ihnen und der Qualität Ihrer Arbeit weiterhin?

Wie bereits angedeutet, lassen sich diese Verluste nicht oder nur teilweise beziffern: Stillstandszeiten und Mehraufwand an Arbeit lassen sich möglicherweise in Euro bewerten, Ihr Vertrauensverlust bei Kunden, Lieferanten oder Banken hingegen nicht. Vielleicht werden auch gesetzliche Anforderungen (Aufbewahrungsfristen, Grundsätze ordnungsgemäßer Buchführung) verletzt? Gerade in diesen Bereichen entstehen Schäden, die sich erst mittel- bis langfristig auswirken und letztendlich zu finanziellen Mehrbelastungen führen.

Rene Hifinger
Rene Hifinger
Rene Hifinger verfügt über umfassende Erfahrungen in den Bereichen IT-Sicherheit und Programmierung. Er beherrscht zahlreiche Programmiersprachen. Die Fragen der Datensicherheit gehören zu seiner täglichen Arbeit.

Rene Hifinger hat an verschiedenen IT-Sicherheitsprojekten mitgewirkt, beispielsweise im Bereich des Malware-Schutzes. Unter anderem hat er einige Internet-FAQs und ein Sammelsurium an Berichten über Viren und Trojaner geschrieben.

Seit 15 Jahren berät er Firmen weltweit als IT-Sicherheitsexperte.