Investitionen in die Cybersicherheit

Wie man (notwendige) Investitionen in die Cybersicherheit intern überzeugend verargumentiert.

Illustration: Geralt Absmeier

 

Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: »Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?« Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

 

Lernen Sie Ihre Zielgruppe kennen

Es gibt unterschiedliche Herangehensweisen. Bevor man aber überhaupt in ein Gespräch einsteigt, sollte man sich immer bewusst machen, mit wem genau man es zu tun hat. Die Botschaft: lernen Sie Ihre Unternehmensführung und das Management (besser) kennen. IT-Sicherheitsexperten sollten sich in jedem Fall klar machen, wie die Menschen »ticken« mit denen sie es zu tun haben, bevor sie in ein Gespräch einsteigen. Denn Sie haben ja ein bestimmtes Ziel vor Augen und hoffen die betreffende Person dahingehend positiv beeinflussen zu können. Einfacher gesagt, man sollte wissen, welchen Typ von Führungspersönlichkeit man vor sich hat. Es gibt drei charakteristische Typen von Managern und Managerinnen, die unterschiedliche Prioritäten setzen, wenn sie eine Entscheidung treffen.

  • Der resultat-/ergebnisorientierte Typ: So etwas wie der »Buchhalter« in unserem beruflichen Leben. Ihr Gegenüber ist einzig und allein an den Fakten interessiert und daran, ob das, was Sie vortragen, finanziell Sinn macht. Hier sollten Sie sich im Gespräch auf den ROI konzentrieren.
  • Der emotionale Typ: Auch dann, wenn Sie mit dieser Person irgendwann über Zahlen sprechen, wird Ihr Gesprächspartner vermutlich eher daran interessiert sein, welche Folgen eine Datenschutzverletzung haben und wie sehr sie einer Marke, einem Unternehmen insgesamt schaden kann.
  • Der visionäre Typ: Der Visionär ist eine interessante Kombination aus resultatorientiert und emotional. Zahlen und Kontext sind für diesen Managertypus gleichermaßen wichtig. Hier ist es sinnvoll emotionale Argumente mit Zahlen und Fakten zu unterfüttern und sich auf die positiven Effekte zu konzentrieren.

 

Hat man eine Idee von der Persönlichkeitsstruktur desjenigen, der die Hand über das Budget hält, gibt diese Struktur den Ausschlag wie man besten argumentiert. Es existieren eine ganze Reihe unterschiedlicher Strategien. Wir konzentrieren uns auf die beiden wichtigsten:

sich auf das Unerwartete vorzubereiten und darauf wie man den ROI erreicht.

 

Wie man sich auf etwas vorbereitet, das man nicht kennt und trotzdem befürchten muss

In vielen Fällen sind Ängste und Befürchtungen etwas, auf das Menschen sehr unmittelbar reagieren. Furcht ist tatsächlich einer der wichtigsten Gründe, warum Menschen Geld ausgeben. Ein Beispiel ist die Bewegung der »Prepper«, die auch hierzulande immer häufiger von sich Reden macht. Es handelt sich um eine Gruppe von Menschen, die viel Zeit und Geld investieren, um für einen angenommen »Ernstfall« vorbereitet zu sein.

Befürchtungen haben nicht immer eine reale Grundlage. Sie sind aber ein sinnvoller Antrieb um sich gegen Eventualitäten zu wappnen. Wenn man beispielsweise in einem Teil der Welt lebt, der regelmäßig von Naturkatastrophen heimgesucht wird, ist es sinnvoll sich entsprechend vorzubereiten.

Die meisten, die intern Investitionen in IT-Sicherheit legitimieren müssen, sind auf eine solche Diskussion nicht ausreichend vorbereitet. Entscheidend sind einerseits die Detailtiefe und andererseits das Vermitteln konkreter Erfahrungen die andere schon gemacht haben.

»Was wäre wenn, wir tatsächlich Opfer eines Hackerangriffs werden würden? Wahrscheinlich hätten wir es mit einer Reihe von Schwierigkeiten zu tun.« Das ist zwar sachlich richtig, aber bei weitem nicht ausreichend um jemanden zu überzeugen. Man sollte sich die Zeit nehmen und die Auswirkungen von Datenschutzverletzungen studieren mit denen es andere Firmen in der Vergangenheit schon zu tun hatten. Beispiele aus dem »richtigen Leben« überzeugen mehr als theoretische Gedankenspiele.

 

Beispiel 1: Die Einzelhandelskette Target

Der Angriff auf die Einzelhandelskette Target ist so etwas wie der Archetyp dessen, was passieren kann. Und zwar nicht nur theoretisch. Im Fall von Target lassen sich die Folgen inzwischen recht gut beziffern. Der Diebstahl von 40 Millionen Kreditkartendaten und 70 Millionen Nutzerdatensätzen führte zu:

  • 46 % Umsatzverlust, geschätzte 1,2 Milliarden US-Dollar
  • 200 Millionen US-Dollar Zahlungen an Kreditkarteninstitutionen für das Neuausstellen
  • 100 Millionen US-Dollar kostete das Upgraden der POS-Terminals
  • Und 55 Millionen US-Dollar teuer war die Abfindung an den CEO des Unternehmens

 

Beispiel 2: Die schweizerische Wegelin Bank

Die älteste Bank der Schweiz, die St. Gallener Wegelin Bank, wurde 1741 gegründet und galt als Branchentitan. Bis mangelhafte interne Kontrollen die Bank letztendlich in die Knie gezwungen haben. Ein Kunde in den USA hatte gestanden, bei der Bank unversteuertes Geld versteckt zu haben. Die Informationen zu diesem Konto stammten aus Unterlagen der UBS. Neben den steuerrechtlichen und politischen Erschütterungen in diesem Fall, waren es fehlende Governance und die fehlende Separation of Duties (SOD), die es bestimmten Bankern erlaubt hatte auf vertrauliche interne Konten zuzugreifen und mithilfe von Scheinfirmen Steuergelder zu hinterziehen. Der Fall schlug international und national hohe Wellen, die Führungspersonen wurden angezeigt und waren lediglich dadurch geschützt, dass Auslieferungsabkommen nicht für den Bereich der Finanzkriminalität gelten.

Das sind nur zwei Beispiele unter Tausenden. Es geht dabei immer um die ganz realen Auswirkungen von Datenschutzverletzungen auf ganz reale Kunden. Je besser ein Vorfall zur Situation im eigenen Unternehmen und zur eigenen Branche passt desto eher eignet er sich, argumentative Schützenhilfe zu leisten. Angesichts der Vielzahl bekannt gewordener Vorfälle sollte es nicht allzu schwierig sein den passenden zu finden. Sei es eine Ransomware-Attacke, gestohlene IPs oder Benutzerdatensätze. Die Auswirkungen sind real und sie sind messbar.

 

Der Königsweg zum ROI

Es mag überraschend klingen, aber wenn es darum geht für Investitionen in die IT-Sicherheit zu argumentieren kann man auf McDonalds und Henry Ford zurückgreifen.

Richard und Maurice McDonald waren die ersten Entrepreneure überhaupt, die erkannten, dass es eine Nachfrage für Fast Food gibt. Aber wie genau sollte man das Vorhaben am besten umsetzen? Zunächst konzentrierten sich die ambitionierten Gründer auf wenige Gerichte (Cheeseburger und Shakes). Dann entwickelten sie einen wiederholbaren Prozess um die Mahlzeiten besonders schnell fertigzustellen. Damit gelang es ihnen die durchschnittliche Wartezeit in einem Schnellrestaurant auf nur rund 30 Sekunden nach der eingegangenen Bestellung zu reduzieren. Das war revolutionär.

Henry Ford wiederum hat die moderne Produktionsreihe erfunden und die Fließbandfertigung perfektioniert. Damit senkte er die Zeit, die man bisher für die Produktion eines Model-T gebraucht hatte auf nur noch 93 Minuten. Die Modelle rollten also quasi schneller vom Band als die Lackierung brauchte um zu trocknen. Und wirklich, das war nur mit einer einzigen Farbe, dem sogenannten »Japan Black« möglich. Kein Wunder also, dass der Ford Model-T nur in einer einzigen Farbe erhältlich war, in schwarz. Es handelt sich also um einen durchgängigen, vorhersehbaren und wiederholbaren Prozess mit gängigen Einzelteilen, die so konstruiert waren, dass man sie schnell und einfach montieren konnte. Damit war es Ford gelungen den noch jungen Automobilmarkt zu dominieren.

 

In Sicherheit investieren, ROI messbar machen

Moderne Sicherheitslösungen bieten einen wiederholbaren, vorhersehbaren und sicheren Level an Automatisierung. Der ist nötig um Reibungsverluste zu vermeiden und gleichzeitig Firmen flexibler zu machen. Man kann leicht selbst nachvollziehen wie viel Zeit und Aufwand es kostet, beispielsweise einen neuen Mitarbeitenden mit allen Zugriffsberechtigungen auszustatten, die er braucht, und nur mit denen.

Ohne einen definierten sicheren Prozess passiert das Ganze manuell, und solange der Vorgang nicht abgeschlossen ist, kann der Betreffende nicht produktiv arbeiten. Im Gegensatz dazu stelle man sich ein Szenario vor in dem den Fachbereichsverantwortlichen nicht nur Tools zu Verfügung stehen, die sie selbst nutzen können, sondern auch solche, die Anfragen automatisch bearbeiten und ausführen. Ein anderes Beispiel sind typische Help-Desk-Anfragen für das Zurücksetzen von Benutzerkonten. Sie kosten geschultes Personal Unmengen von Zeit. Über unternehmensweite Self-Service-Portale können sich die Benutzer stattdessen selbst helfen. Solche Ansätze haben einiges für sich. Mitarbeitende werden produktiver. Und das in einer Umgebung, die kontrolliert und die sicher ist. Automatisierung sorgt dafür, dass alle Konten durchgängig überwacht werden, dass veraltete oder riskante Zugriffsberechtigungen geändert beziehungsweise gelöscht werden, dass Konten in der Cloud angelegt werden und so weiter.

 

Fazit

Bei den meisten aktuellen Sicherheitslösungen ist es inzwischen möglich den ROI auf die eine oder andere Art messbar zu machen. Sie haben die Daten zur Verfügung, die sie für Ihr Zielpublikum brauchen. Konzentrieren Sie sich dann auf die potenziellen Kosten im Schadensfall oder auf das Versprechen Zeit und Geld zu sparen? Das kommt auf Ihre Gesprächspartner an. Unabhängig von der Position, die Sie vertreten wollen: es gibt ausreichend Fakten, die IT-Sicherheit auch im Hinblick auf die Budgetvergabe ganz nach oben auf die Agenda bringen.

Joe Campbell/Susanne Haase, beide One Identity

 


 

Cybersicherheit ist endgültig auf den Vorstandsetagen angekommen

Cybersicherheit: Der Mensch als Schlüsselfaktor

Von der Sensibilisierung zur echten Alarmbereitschaft: Ein entscheidender Faktor für die Cybersicherheit

Cybersicherheit: BSI und ANSSI veröffentlichen gemeinsames Cyber-Lagebild

Vorstände tun zu wenig für Cybersicherheit

Cybersicherheit kann die digitale Transformation vermiesen

Industrial Security – Cybersicherheit auch im Mittelstand