Jens Libmann - INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle

1 Direkte Tätigkeit: Diese betrifft in erster Linie jene Personen, zu deren Funktionsbereich Security-Aufgaben gehören. In unserem Fall wären dies sämtliche Mitarbeiter, die in der dargestellten personellen Beispielstruktur aufscheinen. Je nachdem, wie die Organisation dann tatsächlich im Betrieb gestaltet ist, erwachsen permanente oder zumindest periodisch wiederkehrende Kosten.

1 Produktivitätsverlust: Dieser entsteht auf zwei Arten:

Indirekte Tätigkeit: Als solche sind Arbeiten zu sehen, die nicht den ursprünglichen Aufgabenbereich des Mitarbeiters beinhalten.

Beispiel hierfür wäre ein Tool, dessen Ergebnisse in erster Linie InfSec dient, aber von der EDV-Abteilung installiert, betrieben und gewartet wird. Die Belastungen für Installation und Inbetriebnahme von Sicherheitsprodukten hängen von deren Komplexität, Einsatzbereich und Handling ab. Mitunter ist die Integration in eine bestehende Umgebung relativ aufwendig. Oftmals erfordern Sicherheitsprogramme Arbeiten vor Ort auf Arbeitsplatzcomputern. Damit verbunden ist eine entsprechende Unterstützung der Benutzer, um diese mit der neuen Anwendung vertraut zu machen. Auch hier werden derartige Tätigkeiten üblicherweise von der EDV-Betreuung durchgeführt. Vordergründig fallen hierdurch in dieser Service-Abteilung Kosten an. Die Ergebnisse dienen aber letztendlich der Sicherheit. Somit können solche Belastungen dem Sicherheitsbudget angelastet werden. Eine Möglichkeit wäre, diesen Vorgang auf verschiedene Kostenstellen aufzuteilen.

Beeinträchtigungen in der Arbeitstätigkeit: Security sollte gewohnte Abläufe so gering als möglich beeinflussen. Die Erfahrung zeigt aber, mitunter führen Sicherheitsmaßnahmen letztendlich doch zu Behinderungen. Sie können den gewohnten Arbeitsfluss irritieren.

Als Beispiel dient hier die soeben angesprochene lokale Installation eines Sicherheitstools auf den Rechnern der Mitarbeiter. Während der Arbeiten des Servicemannes ist der Benutzer oft zur Untätigkeit verurteilt. Besonders, wenn dessen Arbeitsaufgabe auf den betroffenen Computer angewiesen ist, kann durchaus mit erheblichen Kosten gerechnet werden.

Aber auch Verzögerungen durch Sicherheitseinrichtungen können letzten Endes Produktivitätsverlust bewirken. Zutrittsanlagen halten Personen auf oder zwingen sie, Umwege zu nehmen. Tools, wie etwa ein Filterprogramm, das E-Mails nach Viren durchsucht, setzt die Verarbeitungsgeschwindigkeit des Computers herab.

Sachaufwand kann im InfSec-Bereich auf verschiedenen Arten auftreten:

1 Direktkosten: Hierunter fallen beispielsweise alle Anschaffungskosten für Sicherheitsprodukte. Oftmals sind Anpassungen vorhandener Strukturen nötig, was zusätzlich erhöhten Ressourcenaufwand in Anspruch nimmt. Dazu zählen Kosten, die dadurch entstehen, dass etwa für neue Produkte Räumlichkeiten errichtet oder umgebaut werden müssen.

1 Betriebskosten: Die laufende Verwendung von Sicherheitseinrichtungen verursacht Belastungen in Form von Verbrauchsmaterial, wie Öl, Strom oder Wasser. Auch Reparaturen, Ersatzteile und Wartung sind notwendig. Schließlich bedürfen alle Geräte regelmäßiger Überprüfung.

1 Versicherung: Sehr oft wird mittels Assekuranzen Verlustbegrenzung gesucht 56. Das verhindert ein mögliches Unglück zwar nicht, aber zumindest deckt es bestimmte Schäden ab. Kosten erwachsen in Form periodisch wiederkehrender Beträge, den Prämien. Auch ein möglicherweise vereinbarter Selbstbehalt darf nicht übersehen werden.

1 Abschreibung: Der Wertverlust von Hard- und Software ist eklatant. Das gilt natürlich auch für alle Produkte, die der Security dienen. Je nach Art der eingesetzten Kostenrechnung kann steuerliche -, oder kalkulatorische Abschreibung herangezogen werden. Während Erstere mit fix vorgegebenen Jahressätzen rechnet, berücksichtigt die Zweite die tatsächliche Wertminderung. Als Ergebnis zwischen Buchwert und errechnetem Tageswert ergibt sich möglicherweise eine stille Reserve.

Der Faktor „Zeit“ spielt bei der Berücksichtigung aller Ressourcen eine große Rolle. Dies nicht nur im Sinne von „Zeit ist Geld“ - dieser Aspekt ist ja bereits im vorangehenden Abschnitt Finanzielle Ressourcenbehandelt, sondern in Bedeutung von Dauer. Dieser Hinweis soll verdeutlichen, dass sich InfSec nicht von heute auf morgen einrichten lässt, sondern eine nicht zu unterschätzende Frist in Anspruch nimmt. Alle Planungs- und Umsetzungsphasen erfordern eine gewisse Weile, die sich je nach Umfang, durchaus im Bereich von Monaten, oder sogar Jahren bewegt. Das bedeutet, es muss genügend Zeitraum zur Verfügung stehen, um gesetzte Ziele auch tatsächlich erreichen zu können. Der in Anspruch genommene Abschnitt wirkt sich direkt proportional auf Ressourcen aus. Erfahrungsgemäß versanden immer wieder Sicherheitsbemühungen, weil die Zeitdauer nicht entsprechend berücksichtigt wird. Alle betroffenen Mitarbeiter benötigen genügend Spielraum zur Erledigung sicherheitsrelevanter Tätigkeiten. Daher muss die Zeitgröße logischerweise in der Personalplanung ausreichend berücksichtigt werden. Nur wenige (vornehmlich große) Firmen haben die Möglichkeit, hauptberufliche Stellen für InfSec bereitstellen zu können. Im Allgemeinen werden Sicherheitsaufgaben von Mitarbeitern neben ihren originären Aufgaben wahrgenommen. Sehr oft rufen Engpässe bei der Bewältigung der Aufgaben Arbeitsüberlastung und Stress bei den Betroffenen hervor. Die Mitarbeiter wissen dann nicht, wo sie zuerst beginnen sollen. Ein derartiger Zustand wird ein großes Risiko für das Unternehmen. Der Aufwand für zusätzliche Security-Obliegenheiten muss in allen Fällen entsprechend berücksichtigt und geplant werden. Neben der täglichen Aufgabenplanung bedarf es eines Zeitpuffers für InfSec. Im Vorhinein kann niemand wissen, ob unvorhergesehene Zwischenfälle eintreten.

Dazu ein oftmals beobachtetes Beispiel aus der Praxis: Ein Mitarbeiter der Netzwerkabteilung betreut zusätzlich die Firewall des Unternehmens. Nachdem er diese konfiguriert hat, bleibt ihm gerade genug Spielraum für deren Betrieb. Die für die InfSec wichtige Kontrolle der Logfiles kann er nicht durchführen, weil er mit anderen Aufgaben im Netzwerkbereich belastet ist. Dadurch bleiben mögliche Angriffe und Eindringlinge in die Systeme unentdeckt.

Der sichere Zustand eines Unternehmens muss permanent beobachtet werden. Wird keine Kontrollfunktion wahrgenommen, dann sind alle Aufwände erfahrungsgemäß vergeblich. Was nützen die besten Maßnahmen, wenn nicht überprüft wird, ob sie umgesetzt werden und auch zielführend sind?

Ein anderes Beispiel für einen gefährlichen Risikobereich bietet die Arbeit der IKT-Systemadministratoren. Viele Angriffe aus dem Internet werden erst möglich, weil bereits entdeckte Schwachstellen nicht ausgebessert werden. Das Ändern von Systemkonfigurationen und Einspielen vorhandener Patches ist besonders in komplexen Computersystemen ein zeitaufwendiger Vorgang. Das Problem hierbei ist, dass Hacker gegenüber den verantwortlichen Administratoren sehr wohl die notwendige Zeit zur Verfügung haben, um Schwachstellen zu finden. 57Was dabei rauskommt, kann man nahezu täglich in der Zeitung lesen 58.

Derartige Situationen, die in mangelnder oder falscher Zeitplanung wurzeln, verursachen unnötig ein großes Risiko. Derlei könnte sich durchaus leicht vermeiden lassen, wenn wichtige InfSec-Aufwendungen rechtzeitig in der Personaldisposition berücksichtigt würden.

Zeit spielt auch bei Schulungen eine wichtige Rolle. Notwendiger Schulungsbedarf muss rechtzeitig eingeplant werden. Fehlbedienung aufgrund mangelnden Wissens ist eine der häufigsten Schadensursachen. Vor allem sicherheitsgerechte Handhabung der Arbeitsumgebung und Reaktion in Notfällen (z.B. Fluchtwege, Verhaltensweisen bei Feuer, Notfall-Meldesystem und dergleichen) müssen bei jedem Beschäftigten in Fleisch und Blut sitzen. Ansonsten kann es im Anlassfall sehr gefährlich werden.