Sicherheitsmassnahmen: Die meisten sind unnötig und trotzdem sinnvoll
In der IT werden riesige Beträge in die Sicherheit investiert. Gründe dafür scheint es zu geben, denn die Relevanz der IT nimmt zu und mit Ihr das Risiko von finanziellen und Reputationsschäden. Doch die meisten dieser Investitionen sind unnötig.
DDoS-Erpressungen, Hackerattacken und Datenklau: Selten hat man so viel über Cyberrisiken gelesen, wie in letzter Zeit. Der Grund ist klar: Immer mehr Umsatz wird online gemacht, immer mehr und immer sensitivere Daten werden in Clouds gespeichert, immer mehr geschäftskritische Prozesse werden über das Internet abgewickelt. Das weckt die Gier Krimineller und erhöht das Risiko für finanziellen und Reputationsschaden. Also werden Unsummen ausgegeben für USVs, redundante Infrastrukturen, Desaster Sites, DDoS-Schutz, Firewalls, Reverse Proxies, Intrusion Detection Systeme, verschlüsselte Übermittlung, verschlüsselte Speicherung, Penetrationstests, Lasttests, Secure Authentication, Audits, Geheimhaltungsvereinbarungen und Zertifizierungen - ganz zu schweigen von all den Experten, Juristen und Beratern, die sich damit befassen.
Unnötige Massnahmen
Und jetzt kommt der Clou: Die meisten dieser Massnahmen sind unnötig. Ein Beispiel: Um die Verfügbarkeit zu erhöhen werden statt einem System zwei betrieben, die von einem Loadbalancer angesteuert werden. So bleibt die Applikation verfügbar, auch wenn ein System ausfällt. Wenn aber der Hoster und der Integrator ihren Job gut machen, was die Regel sein sollte, dann fällt kein System aus. Somit hat man umsonst ein zweites System und einen Loadbalancer bezahlt. Ein anderes Beispiel: Bei Anwendungen mit sensitiven Daten wird oft als zusätzlicher Schutz ein Reverse Proxy vor die Firewall geschaltet. Dadurch können Hackerattacken auf die Anwendung verhindert werden. Wenn aber der Hoster und der Integrator ihren Job gut machen, dann sind die Systeme gehärtet, die Netze sicher, die Applikationen auf dem aktuellen Stand und die Anwendung hat keine Lücken. Man hat also umsonst einen Reverse Proxy bezahlt.
Sinnvoll unter gewissen Bedingungen
Leider ist kein Hoster und kein Integrator perfekt. Bestenfalls können sie die Wahrscheinlichkeit, dass ein Ereignis eintritt, auf ein Minimum reduzieren. Darum sind Sicherheitsmassnahmen durchaus sinnvoll, aber unter einer Voraussetzung: Wenn der Schaden eines Ereignisses grösser ist, als die Kosten für die Gegenmassnahmen. Wohlgemerkt, der Schaden und nicht das Risiko als Produkt aus Eintrittswahrscheinlichkeit und Schaden. Wahrscheinlichkeiten sind nämlich notorisch schlecht zu bestimmen und zu verstehen. Wer hätte z.B. mit 9/11 gerechnet oder mit der Finanzkrise von 2007? Und sogar wenn bekannt wäre, dass ein bestimmtes Ereignis nur einmal in 100 Jahren eintritt, wer kann sicher sein, dass das nicht schon morgen ist?
Die Empfehlung lautet daher:
Wenn Schadenshöhe > Gegenmassnahme dann umsetzen.