Wie ein kürzlich veröffentlichter Bericht von Piper Jaffray zeigt, planen 75 Prozent der Unternehmen für das Jahr 2015 eine Steigerung der Ausgaben für IT-Sicherheit. Vor dem Hintergrund, dass ein Jahr voller professioneller Hacker-Angriffe und Datenlücken hinter uns liegt, ist das nicht unbedingt verwunderlich. Die wichtige Frage lautet in vielen Firmen nun aber: Wofür sollten wir das Geld ausgeben?
Manche der besten Tipps der letzten Jahre, wie die Anregung, zu einem Cloud-Speicher zu wechseln, wurden von Unternehmen zum Teil kritisch betrachtet, nachdem einige Angriffe auf Cloud-Anbieter bekannt wurden. Und während die alte Redewendung „du bekommst, was du bezahlst“ nach wie vor zutrifft, gibt es einige Möglichkeiten, wie Firmen die Ausgaben für IT-Sicherheit reduzieren oder zumindest sicherstellen können, dass sie tatsächlich sinnvoll investiert sind.
Mitarbeiterschulungen
Der wichtigste Tipp, mit dem man auf lange Sicht eine Menge Geld sparen kann, lautet: Schule deine Mitarbeiter kontinuierlich. Vor allem die folgenden Themen sollten dabei nicht fehlen: Sicherheitsbedrohungen erkennen; regelmäßige Installation von Updates; Nutzung von starken Passwörtern (die häufiger geändert werden sollten); die Risiken des Zugriffs auf Unternehmensinformationen von mobilen Geräten aus.
Überzeugende Sicherheitsrichtlinien
Neben der Schärfung des Bewusstseins für IT-Sicherheit unter den Mitarbeitern ist es wichtig, überzeugende Top-Down-Sicherheitsrichtlinien festzulegen. Dafür müssen Sie sich fragen, wer wirklich Zugang zu welchen Informationen benötigt. Zudem sollten Sie die Kontrolle nicht nur einer einzelnen Person überlassen – sei es ein CEO oder der IT-Sicherheitsmanager.
Gegebenenfalls sollten Sie die USB-Ports auf den Rechnern Ihrer Mitarbeiter deaktivieren und sicherstellen, dass sie die Sicherheitseinstellungen auf ihren Geräten nicht von sich aus ändern können.
Alle Sicherheitsrichtlinien müssen stets aktuell gehalten werden. Wenn Sie zu einem Cloud-Speicher wechseln oder Ihren Mitarbeitern ermöglichen, auch außerhalb des Unternehmens auf das Firmennetz zuzugreifen – und wenn Sie generell immer mehr Mobilgeräte integrieren – müssen die Sicherheitsrichtlinien entsprechend angepasst werden.
Die realen Risiken kennen
Um sicherzustellen, dass Sie keine unnötigen Kosten aufwenden, können Sie einen Sicherheitsberater beauftragen, der evaluiert, welche Bereiche Ihres Unternehmens das höchste Schutzniveau benötigen. Natürlich darf keine Abteilung außenvorgelassen werden, doch vermutlich gibt es einige Bereiche, die mit mehr Sicherheiten ausgestattet werden müssen als andere.
Eine gute Risikoanalyse kann auch dabei helfen, im Falle eines Angriffs Geld zu sparen: Wenn Ihnen die potenziellen Schwachstellen bewusst sind, können Sie eine Richtlinie entwickeln, um den eventuellen Schaden so gering wie möglich zu halten. Hierdurch sparen Sie unter Umständen auch langfristig Geld.
Open Source als Alternative zu bekannten Marken
Viele Anwendungen wie z.B. CMS-, Buchhaltungs- oder eCommerce-Tools von bekannten Marken gibt es auch als Open-Source-Variante – und diese Alternativen werden in der Regel nicht so häufig von Hackern angegriffen. So können Sie zum einen Kosten für die Software sparen und minimieren zum anderen das Risiko, von Hackern angegriffen werden. Zu den Nachteilen gehört allerdings, dass Open Source Software manchmal etwas unhandlich sein kann und weniger intensiv gepatcht wird. In jedem Fall sollten Sie sicherstellen, dass Ihr CIO sich mit den genutzten Plattformen gut auskennt.
Geld ausgeben, um Geld zu sparen
Ganz ohne Ausgaben kommt man bei der IT-Sicherheit natürlich nicht aus. Auch wenn groß angelegte IT-Investionen manchmal wie eine kostspielige Vorleistung erscheinen – sei es bei den Kosten für Hardware, Dienstleistungen oder Arbeitskräfte – ist der Preis, den man im Fall eines Hacker-Angriffs bezahlt, weitaus höher.
Wie Steven Norton vom Wall Street Journal vergangene Woche angemerkt hat, folgen große Unternehmen in Bezug auf Cyberangriffe immer mehr einer Logik nach dem Motto: „Die Frage ist nicht ob, sondern wann“. Mit dieser Haltung im Hinterkopf macht es umso mehr Sinn, lieber früher als später in IT-Sicherheit zu investieren.
Auch kleinere Unternehmen würden gut daran tun, diesem Beispiel zu folgen. Während Sony oder Microsoft natürlich immer ein pressewirksames Ziel für Hacker sein werden, wissen Cyberkriminelle, dass Kleinunternehmen oftmals die leichteren Ziele sind. Laut Price Waterhouse Coopers sind 80 Prozent der Kleinunternehmen, die Opfer eines Hacker-Angriffs wurden, entweder bankrottgegangen oder hatten in den darauffolgenden zwei Jahren ernsthafte finanzielle Verluste zu verzeichnen.