Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 28

Das Kapitel Säule 1 - Bewusstseinsbildung veranschaulicht, wie InfSec-Politik festgelegt wird. Um darin angestrebte Ziele zu erreichen, ist im Normalfall notwendig, Investitionen in materielle und personelle Ressourcen vorzunehmen. Eng damit verbunden ist der Faktor Zeit. Alle Vorhaben im InfSec-Bereich beanspruchen eine angemessene Dauer. Von heute auf morgen ist es nicht möglich, gesetzte Vorsätze zu erreichen. Ganz gleich, wie diese im Speziellen aussehen, bis ein zufriedenstellendes Maß an Sicherheit erreicht ist, dauert es seine Weile. Dieser Umstand wird leider oft übersehen.

Bedauerlicherweise ist in der Praxis oftmals eine paradoxe Situation anzutreffen: Nahezu jeder Verantwortungsträger gesteht ein, dass InfSec absolut unvermeidbar ist. Kein Unternehmen will beispielsweise seine Geschäftsgeheimnisse durch Hacker im Internet oder in anderen Medien publiziert sehen⁵⁰. Immer wieder wird die Absicht bekräftigt, die Sicherheit zu erhöhen und dafür Investitionen zu tätigen. Aber sobald es gilt, Mittel zu mobilisieren, wird doch lieber gespart und zwar vorrangig beim Sicherheitsbudget. Letztendlich bleibt es nur bei einer Absichtserklärung der Geschäftsleitung, mehr nicht.

Eines liegt auf der Hand: Wenn Bemühungen zur InfSec nicht vergeblich sein sollen, muss sich jeder Verantwortliche bewusst sein, Security ist nicht gratis! Sinnvollerweise plant man mögliche Aufwände an Ressourcen bereits von Anfang an. Auf diese Weise lassen sich zeitgerecht zur Verfügung stehende Mittel realistisch im weiteren Entscheidungsprozess berücksichtigen. Am Ende sollte eine in sich geschlossene Gesamtlösung vorliegen, die wirtschaftlich vertretbar ist. Böse Überraschungen, wie etwa versiegende Geldquellen bleiben dadurch erspart.

Die momentane Wirtschaftslage ist von einer Konsolidierung der Weltmärkte geprägt. Medien bombardieren uns mit Meldungen über Personalabbau und Kosteneinsparungen. Gleichzeitig soll jedoch die Geschäftstätigkeit gesteigert werden. Was aus unternehmerischer Sicht verständlich ist, birgt jedoch aus der Perspektive des Security-Experten enorme Gefahr in sich. Das Risiko steigt gefährlich, wenn Ressourcen im Sicherheitsbereich nicht mit der Geschäftstätigkeit mitziehen⁵¹. Die nachfolgende Abbildung verdeutlicht dies:



Ein Mindesteinsatz an Ressourcen ist demnach unerlässlich.

Im Endeffekt spiegelt sich im Produkt und in weiterer Folge am Unternehmenserfolg wider, wie gut Security-Management funktioniert. Optimal eingesetzt, hilft es jedem Betrieb seinen Umsatz höchstmöglich zu steigern. Das bedeutet, dass gut etablierte InfSec nicht nur Kosten verursacht, sondern auch für einen Teil des Profits sorgt. Die nachstehende Abbildung fasst das Zusammenspiel von Umsatz und Ressourcen zusammen:



Die Erfahrung zeigt, dass zur Gefahrenabwehr zwei Drittel Organisation und ein Drittel Investition notwendig sind. Genau diese beiden Faktoren werden anschließend beschrieben.