IT-Sicherheit dient nicht dem Selbstzweck, sondern bildet die Grundlage für verlässliche Leistungen gegenüber Kunden und Dienstleistern. Sparen Unternehmer an der Sicherheit, sinkt die Verfügbarkeit ihrer IT-Systeme: Technische Defekte an Festplatten, schädliche Viren oder eine unzureichend administrierte IT führen zu Datenverlusten oder schneiden Unternehmen unter Umständen für Stunden oder Tage von der elektronischen Kommunikation ab. Bei den Kunden entsteht leicht der Eindruck, dass das Unternehmen unzuverlässig oder gar fahrlässig handelt. Ausfälle der IT-Systeme können zudem zusätzliche Kosten durch nicht eingehaltene Termine verursachen.
Eine angemessene IT-Sicherheit trägt somit unmittelbar zum positiven Image eines Unternehmens bei seinen Geschäftspartnern bei und hilft, das Kostenrisiko durch mögliche Ausfälle zu reduzieren. IT-Sicherheit muss daher ein integraler Bestandteil des Geschäftsalltags werden – so wie es IT-Systeme heute schon sind.
Wirtschaftlichkeit von IT-Sicherheit
Der wirtschaftliche Nutzen von Investitionen in die IT-Sicherheit ist schwer messbar. In Anlehnung an den Return-of-Investment (ROI) gibt es zwar die Messgröße Return-of-Security-Investment (ROSI). Dieser ist jedoch nur in wenigen Bereichen und nicht auf alle in einem Unternehmen notwendigen Sicherheitsmaßnahmen anwendbar. Die Wirtschaftlichkeit von IT-Sicherheit erschließt sich daher vor allem argumentativ und weniger durch belastbare Zahlen, da die möglichen Kosten sowie der Vertrauensverlust bei Kunden, Dienstleistern und Kreditgebern durch Störungen in der IT im Voraus nicht exakt beziffert werden können.
Umso wichtiger ist es, die positiven Effekte der IT-Sicherheit zu kennen und den Kosten möglicher Schäden gegenüberzustellen.
IT-Sicherheit oder Versicherung?
Eine Reihe von IT-Sicherheitsmaßnahmen dient der Vermeidung von Schäden, die zum Teil auch durch Versicherungen abgedeckt werden können. Kann man also auf IT-Sicherheit verzichten?
Dies wäre eine voreilige Schlussfolgerung, da sich die Prämien für Versicherungen – z. B. gegen Betriebsunterbrechung – auch am vorhandenen Sicherheitsniveau orientieren. Da vorhandene Sicherheitsmaßnahmen das Risiko mindern, können sie sich auch auf die Prämienhöhe auswirken. Aber auch eine Versicherung kann nicht alle Schäden abdecken, die eintreten können. Und auch versicherte Schäden werden nur monetär entschädigt – Vertrauensverlust und Imageschaden können damit nicht ausgeglichen werden. Ein möglicher Datenverlust ist im schlimmsten Fall gar nicht kompensierbar.
Auch der Schaden in der EDV – und somit die Ursache – sind keineswegs beseitigt. Bis die betroffenen Systeme wiederhergestellt sind, vergeht zusätzliche Zeit, denn die individuelle EDV-Konfiguration eines Unternehmens nicht von der Stange gekauft werden kann.
Beugen Sie vor: Beispiel Datensicherung
Unternehmensdaten liegen zunehmend in elektronischer Form vor. Der gute alte Aktenordner dient oft noch der Dokumentation, ist aber selten tagesaktuell. Computerfestplatten speichern heute alle geschäftsrelevanten Daten, die täglich benötigt werden und zur Verfügung stehen müssen: Kundendaten, Korrespondenz, Rechnungsunterlagen oder Vertragsdaten sind schnell verfügbar, aber ebenso schnell wieder gelöscht.
Jede Festplatte, ob in einem Arbeitsplatz-PC oder in einem Server, hat eine begrenzte Lebensdauer; sie unterliegt einem Verschleiß. Der Ausfall erfolgt in der Regel ohne Vorankündigung und oft genau dann, wenn die Daten vor einem neuen Geschäftsabschluss am dringendsten benötigt werden. Auch andere Speichermedien haben eine begrenzte Lebensdauer. Viren oder menschliches Versagen sind weitere Ursachen für einen möglichen Datenverlust. Eine regelmäßige Datensicherung ist daher unerlässlich.
Umfang und Häufigkeit der Datensicherung bestimmen Sie nach den möglichen Schäden, die Ihnen ein Datenverlust bringen kann: Können Sie es sich leisten, nur einmal pro Woche die Daten zu sichern und damit schlimmstenfalls die Arbeit einer Woche zu verlieren? Oder vielleicht die Arbeit eines ganzen oder halben Tages? Je häufiger Sie die Daten bearbeiten und je wichtiger diese sind, desto öfters sollten Sie diese sichern. Sind Ihre Daten auf dem Computer dann nicht mehr lesbar – weil die Festplatte defekt ist oder sie versehentlich gelöscht wurde – können Sie mithilfe der Datensicherung den letzten Stand wiederherstellen.
Was kostet Datensicherung?
Kosten entstehen in zwei Bereichen: zum einen durch die Investition in Hardware und zum anderen durch den laufenden Betrieb der Datensicherung. Die zu investierenden Summen hängen stark von der Datenmenge und der Häufigkeit der Sicherung ab. In kleinen Unternehmen reicht oft das Brennen einer CD-ROM, größere Unternehmen benötigen einen eigenen Backup-Server. Diesen Kosten können die Kosten im Falle eines Datencrashs gegenübergestellt werden:
- Wie viel sind Ihnen Ihre Daten wert?
- Wie lange müssen Mitarbeiter zusätzlich arbeiten, um die verlorenen Daten wieder einzugeben?
- Sind alle verlorenen Daten wieder beschaffbar?
- Wie viele Mitarbeiter können ohne diese Daten nicht arbeiten?
- Was sagen Ihre Kunden zu einem Datenverlust?
- Vertrauen Ihre Kunden Ihnen und der Qualität Ihrer Arbeit weiterhin?
Wie bereits angedeutet, lassen sich diese Verluste nicht oder nur teilweise beziffern: Ausfallzeiten und Mehraufwand lassen sich vielleicht in Euro beziffern, nicht aber Ihr Vertrauensverlust bei Kunden, Lieferanten oder Banken. Vielleicht werden auch gesetzliche Vorgaben (Aufbewahrungsfristen, Grundsätze ordnungsgemäßer Buchführung) verletzt? Gerade in diesen Bereichen entstehen Schäden, die sich erst mittel- bis langfristig auswirken und letztlich zu finanziellen Mehrbelastungen führen.