Sicherheit unter Kostendruck

Für grössere Unternehmen gehören ausführliche Sicherheitskonzepte zu den Geschäftsgrundlagen. Für viele kleinere Unternehmen begrenzen demgegenüber die zur Verfügung stehenden Finanzen die organisatorischen wie technischen Möglichkeiten. Umso wichtiger ist es für sie, keine unnötigen Massnahmen zu treffen. Denn wie immer in Sicherheitsfragen gilt: Absolute Sicherheit gibt es nicht. Gesucht ist ein Optimum zwischen Aufwand und Schutz.

Ob für die Abklärungen ein externer Berater eingesetzt werden soll, hängt vom Budget und dem internen Know-how ab, so Thomas Schlienger, der sich am internationalen Institut für Management in der Telekommunikation (iimt) der Universität Freiburg mit Sicherheits-Management beschäftigt. Grundsätzlich sei jemand von aussen aber weniger "betriebsblind" und könne auch grössere Veränderungen leichter durchsetzen als internes IT-Personal, gibt Schlienger zu bedenken.

Am Anfang jedes Sicherheitskonzepts stehen unabhängig von der Unternehmensgrösse eine Analyse der Netzwerkinfrastruktur sowie eine Risiko- und Bedrohungsanalyse. So können die neuralgischen Punkte identifiziert und die nötige Dicke der Schutzmauern festgelegt werden.

Elmar Hayoz vom auf Sicherheit und Netzwerktechnik spezialisierten Schulungs- und Beratungsunternehmen Brainstorm teilt dabei die einzelnen Bereiche in zwei Kategorien ein. Auf der einen Seite sind Daten mit einem niedrigen bis mittleren Schutzbedarf. Für sie ist die Umsetzung der im IT-Grundschutzbuch des Deutschen Bundesamts für Sicherheit in der Informationstechnik aufgezeigten generellen Massnahmen ausreichend. Für Daten, die geschäftskritisch sind, ist auf der anderen Seite eine detaillierte Risikoanalyse nötig. Dabei müssen zum einen die Bedrohung analysiert und zum anderen die möglichen Kosten bei einem Schadensfall beziffert werden. Aus der Summe dieser Faktoren werden dann die individuellen Massnahmen abgeleitet.