"Wir haben jetzt den richtigen Ansatz, über diese betriebswirtschaftliche Näherung. Die Finanzkrise, die Wirtschaftskrise kam gerade zu einem idealen Zeitpunkt, weil die Diskussion schon im Raum stand."
Betriebswirtschaftler und Informationstechnologen bewegen sich in Unternehmen verstärkt aufeinander zu, sagt der Informatiker Doktor Wolfgang Böhmer vom Institut für IT-Sicherheit der Technischen Universität Darmstadt. Angetrieben werden sie durch die Wirtschafts- und Finanzkrise. Die finanzielle Seite der Informationssicherheit nehme täglich an Bedeutung zu.
"Wir haben eigentlich eine Wegkorrektur. Man beschäftigt sich mit IT, irgendwann fängt man an, die Technologie zu managen, und der dritte Schritt ist dann Kosten-Nutzen-Betrachtung. Wir stehen genau an diesem Punkt der Kosten-Nutzen-Betrachtung. Wir haben eine Wegkorrektur. Was wollen wir? Was machen wir? Was ist vernünftig? Was ist nötig? Was ist nicht zu vernünftig mit der IT-Sicherheit und Informationssicherheit? Und wir stehen genau diesem Punkt, ein Korrekturfaktor, den wir jetzt einbringen, um genau diese Kosten-Nutzen-Aspekte aus der betriebswirtschaftlichen Sicht auf die IT und Informationssicherheit überzustülpen."
ROSI heißt das Finanzkrisen-IT-Schlagwort: Return on Security Investment. Meint: IT-Sicherheit verschlingt nicht nur Geld, sie lohnt sich auch. Wer befürchtet hatte, die Krise werde dazu führen, dass an der falschen Stelle gespart werde, sieht sich getäuscht. Der Mathematiker und IT-Sicherheitsexperte Professor Rainer Rumpel von der Fachrichtung Wirtschaftsinformatik der Fachhochschule für Wirtschaft Berlin:
"Die Intensität, an solchen Informationssicherheitsprojekten zu arbeiten, hat bislang aus meiner Erfahrung nicht abgenommen. Als Trend sehe ich auf jeden Fall, dass mehr und mehr Unternehmen und Behörden sich von sich aus entscheiden, sich auch zertifizieren zu lassen hinsichtlich ihrer Informationssicherheit, um nach außen hin auch mehr Glaubwürdigkeit und Zuverlässigkeit gegenüber ihren Kunden, Mandanten und den Bürgern neutral bezeugen zu lassen. Und dieser Trend, der wird sich verstärken. Ich sehe das auch als sehr sinnvoll an, dass eine neutrale, externe Instanz überprüft, wie sicher sind denn die Systeme und organisatorischen Maßnahmen eines Unternehmens und einer Behörde wirklich?"
Begründeten Schätzungen zur Folge hat das, was Wolfgang Böhmer als Wegkorrektur bezeichnet, bereits erhebliche Eigendynamik gewonnen. Bis zu 40 Prozent der Firmen denken um und betrachten die Sicherheit in der IT nicht länger getrennt von betriebswirtschaftlichen Aspekten – also bald die Hälfte aller Unternehmen? Ganz exakte Zahlen liegen zwar noch nicht vor. Rumpel weiß warum:
"Weil Sicherheitsvorfälle ja kaum einer gerne zugibt. Also haben Sie ganz große Schwierigkeiten, in größerem Maße Daten zu erzeugen. Wenn Daten durch Umfragen abgefragt werden. Wer sagt schon gerne, das im letzten Jahr hundert Einbrüche in seine Webserver hat. Das ist ja wieder ein Imageschaden. Also ist es ganz schwierig, dort an zuverlässige Daten heranzukommen. Und das ist vielleicht besser in vielen Fällen, an Experten heranzutreten, interne und externe Experten, die gemeinsam sich auf einen kleinsten, größten, mittleren Wert von Risiko einigen. Das ist dann die Expertenerhebung. Auch das ist natürlich unscharf in gewissem Maße, aber es ist auf jeden Fall zuverlässiger als gar nichts zu machen."
Früher wurden Absicherungskosten einfach mit möglichen Schäden durch Attacken verglichen. Krisenzeiten schärfen nun das Bewusstsein für den möglichen Ertragsverlust, den ein nicht verfügbarer Fileserver und ruhende Humanressourcen zur Folge haben. Wo wirtschaftlich überhaupt noch viel läuft, nimmt auch noch die Furcht vor Industriespionage, Sicherheitslücken sowie vor den IT-bedingten Unterbrechungen des industriellen Workflow ständig zu. Besonders interessant sei der Trend, dass sich das völlig unerwartet starke Sicherheitsbewusstsein durch alle Branchen und Firmengrößen zieht. Kleine und mittelständische Unternehmen seien neuerdings ebenso sicherheitsbewusst wie Behörden - und die namhaften deutschen Autohersteller.
"In der Kfz-Industrie, egal ob jetzt im Pkw- oder Lkw-Bereich, da gibt es ja ganz große Verwerfungen aufgrund der massiven Umsatzrückgänge. Und dort gibt es auch etliche Sicherheitsprojekte, weil ja die Anzahl der Sicherheitsvorfälle eher zunimmt als abnimmt."
In maximal vierzig Prozent mehr Firmen fusionieren Betriebswirtschaft und IT-Sicherheit. Dieser Trend werde sich fortsetzen, davon ist Wolfgang Böhmer überzeugt.
"Viele Firmen sind noch in der alten Welt verhaftet, gehen die ersten Gehversuche in die neue Welt. Und wir sind gerade in so einem Übergang. Ich denke, dass wird in einem halben Jahr, in einem Jahr ganz anders aussehen."
Betriebswirtschaftler und Informationstechnologen bewegen sich in Unternehmen verstärkt aufeinander zu, sagt der Informatiker Doktor Wolfgang Böhmer vom Institut für IT-Sicherheit der Technischen Universität Darmstadt. Angetrieben werden sie durch die Wirtschafts- und Finanzkrise. Die finanzielle Seite der Informationssicherheit nehme täglich an Bedeutung zu.
"Wir haben eigentlich eine Wegkorrektur. Man beschäftigt sich mit IT, irgendwann fängt man an, die Technologie zu managen, und der dritte Schritt ist dann Kosten-Nutzen-Betrachtung. Wir stehen genau an diesem Punkt der Kosten-Nutzen-Betrachtung. Wir haben eine Wegkorrektur. Was wollen wir? Was machen wir? Was ist vernünftig? Was ist nötig? Was ist nicht zu vernünftig mit der IT-Sicherheit und Informationssicherheit? Und wir stehen genau diesem Punkt, ein Korrekturfaktor, den wir jetzt einbringen, um genau diese Kosten-Nutzen-Aspekte aus der betriebswirtschaftlichen Sicht auf die IT und Informationssicherheit überzustülpen."
ROSI heißt das Finanzkrisen-IT-Schlagwort: Return on Security Investment. Meint: IT-Sicherheit verschlingt nicht nur Geld, sie lohnt sich auch. Wer befürchtet hatte, die Krise werde dazu führen, dass an der falschen Stelle gespart werde, sieht sich getäuscht. Der Mathematiker und IT-Sicherheitsexperte Professor Rainer Rumpel von der Fachrichtung Wirtschaftsinformatik der Fachhochschule für Wirtschaft Berlin:
"Die Intensität, an solchen Informationssicherheitsprojekten zu arbeiten, hat bislang aus meiner Erfahrung nicht abgenommen. Als Trend sehe ich auf jeden Fall, dass mehr und mehr Unternehmen und Behörden sich von sich aus entscheiden, sich auch zertifizieren zu lassen hinsichtlich ihrer Informationssicherheit, um nach außen hin auch mehr Glaubwürdigkeit und Zuverlässigkeit gegenüber ihren Kunden, Mandanten und den Bürgern neutral bezeugen zu lassen. Und dieser Trend, der wird sich verstärken. Ich sehe das auch als sehr sinnvoll an, dass eine neutrale, externe Instanz überprüft, wie sicher sind denn die Systeme und organisatorischen Maßnahmen eines Unternehmens und einer Behörde wirklich?"
Begründeten Schätzungen zur Folge hat das, was Wolfgang Böhmer als Wegkorrektur bezeichnet, bereits erhebliche Eigendynamik gewonnen. Bis zu 40 Prozent der Firmen denken um und betrachten die Sicherheit in der IT nicht länger getrennt von betriebswirtschaftlichen Aspekten – also bald die Hälfte aller Unternehmen? Ganz exakte Zahlen liegen zwar noch nicht vor. Rumpel weiß warum:
"Weil Sicherheitsvorfälle ja kaum einer gerne zugibt. Also haben Sie ganz große Schwierigkeiten, in größerem Maße Daten zu erzeugen. Wenn Daten durch Umfragen abgefragt werden. Wer sagt schon gerne, das im letzten Jahr hundert Einbrüche in seine Webserver hat. Das ist ja wieder ein Imageschaden. Also ist es ganz schwierig, dort an zuverlässige Daten heranzukommen. Und das ist vielleicht besser in vielen Fällen, an Experten heranzutreten, interne und externe Experten, die gemeinsam sich auf einen kleinsten, größten, mittleren Wert von Risiko einigen. Das ist dann die Expertenerhebung. Auch das ist natürlich unscharf in gewissem Maße, aber es ist auf jeden Fall zuverlässiger als gar nichts zu machen."
Früher wurden Absicherungskosten einfach mit möglichen Schäden durch Attacken verglichen. Krisenzeiten schärfen nun das Bewusstsein für den möglichen Ertragsverlust, den ein nicht verfügbarer Fileserver und ruhende Humanressourcen zur Folge haben. Wo wirtschaftlich überhaupt noch viel läuft, nimmt auch noch die Furcht vor Industriespionage, Sicherheitslücken sowie vor den IT-bedingten Unterbrechungen des industriellen Workflow ständig zu. Besonders interessant sei der Trend, dass sich das völlig unerwartet starke Sicherheitsbewusstsein durch alle Branchen und Firmengrößen zieht. Kleine und mittelständische Unternehmen seien neuerdings ebenso sicherheitsbewusst wie Behörden - und die namhaften deutschen Autohersteller.
"In der Kfz-Industrie, egal ob jetzt im Pkw- oder Lkw-Bereich, da gibt es ja ganz große Verwerfungen aufgrund der massiven Umsatzrückgänge. Und dort gibt es auch etliche Sicherheitsprojekte, weil ja die Anzahl der Sicherheitsvorfälle eher zunimmt als abnimmt."
In maximal vierzig Prozent mehr Firmen fusionieren Betriebswirtschaft und IT-Sicherheit. Dieser Trend werde sich fortsetzen, davon ist Wolfgang Böhmer überzeugt.
"Viele Firmen sind noch in der alten Welt verhaftet, gehen die ersten Gehversuche in die neue Welt. Und wir sind gerade in so einem Übergang. Ich denke, dass wird in einem halben Jahr, in einem Jahr ganz anders aussehen."