Budget: Sag’s mit Zahlen

Wie Sie als Sicherheitsverantwortlicher Ihren Vorstand überzeugen, mehr Geld in die Informationssicherheit zu investieren

Datum
29. Mai 2017
Autor

Wie überzeugen Sie als Verantwortlicher für IT- oder Informationssicherheit den Vorstand, dass es einen Return on Investment (ROI) gibt für ein Ereignis, das – mit hoher Wahrscheinlichkeit – nie passieren wird? Mit dieser Frage müssen sich wohl die meisten Sicherheitsverantwortlichen beschäftigen, wenn Sie ihre Mittel verteidigen müssen oder gar mehr Geld in die Sicherheit investieren wollen.

Für Gartner ist Prävention vergeblich. Das glauben trotz Angriffen wie WannaCry offenbar auch viele Vorstandsmitglieder. Am MIT Sloan CIO Symposium diskutierten fünf Sicherheitsverantwortliche, wie sie ihren Vorstand überzeugen, (mehr) Geld für die Informationssicherheit bereitzustellen.

Am besten funktioniert das mit Zahlen, bestätigte Christopher Porter von Fannie Mae: «Es ist eine einfache Rechnung. Wenn uns das Kreditmonitoring pro Kunde 20 Dollar kostet und die Kreditkartendaten von beispielsweise einer Million Kunden gestohlen werden, kostet uns ein Vorfall 20 Millionen Dollar.» Der Schaden von Ransomware-Angriffen könne auf der Basis der Systemausfallzeit berechnet werden.

Schwieriger sei es, den Wert des geistigen Eigentums zu quantifizieren, erklärte James Kaplan von McKinsey. Eine der entscheidenden Fragen sei, ob der Hacker mit den Daten überhaupt etwas anfangen könne. «Ich kann Ihnen nicht aus dem Stegreif sagen, wie viel ein Patent wert ist», bestätigte Andrew Stanley, «aber ich kann Ihnen sagen, wie viel das Portfolio wert ist. Wenn ich den Vorstandsmitgliedern erkläre, dass sie 200 Millionen Dollar riskieren, verstehen Sie die Bedeutung». Stanleys Arbeitgeber Philips meldet jedes Jahr rund 3000 Patente an.

Einig waren sich alle Panelteilnehmer abschliessend, dass es ihre Aufgabe sei, den Vorstand für das Thema zu sensibilisieren. «Cybersicherheit wird als Problem des Sicherheitsverantwortlichen betrachtet», brachte Porter das Dilemma auf den Punkt, «aber es ist das Problem des Unternehmens – und damit des Vorstands.»

Einschätzung

Cybersicherheit geht alle an, nicht nur den Sicherheitsverantwortlichen. Darum müssen CISO ihren Vorstand sensibilisieren – und auch ausbilden. Mit konkreten Zahlen, wie teuer ein Schaden werden könnte, ist es wohl am einfachsten, einen Manager zu überzeugen. Die regulatorischen Auflagen, die Unternehmen erfüllen müssen, sind ein Grund mehr für die Vorstandsmitglieder, sich für Informationssicherheit zu engagieren.

Lesen Sie mehr zum Thema: Zahlen für die Sicherheit – Return on Security Invest: Sicherheit als lohnende Investition.

Zielgruppen

  • IS- und IT-Sicherheitsverantwortliche
  • Management
  • Interessierte Kreise