Ein Bericht der Harvard Business Review hat festgestellt, dass einige Führungskräfte, die über die IT-Sicherheit in Ihrem Unternehmen entscheiden müssen, die falschen Denkansätze haben, wenn es darum geht, wie viel sie in ihr IT-Sicherheitsbudget investieren sollen.

Und wer kann es ihnen eigentlich verdenken? Wenn ein Unternehmen in etwas investiert, soll in den meisten Fällen damit langfristig eine Umsatzsteigerung erreicht werden. Die IT-Sicherheit funktioniert aber nicht wie ein Vertriebsprojekt. Es geht nicht um Hardware – es geht um Bedrohungsszenarien – und die ändern sich bekanntermaßen beinahe täglich.

Dennoch ist es genauso schwierig potenzielle Bedrohungen einzuschätzen, wie sie vorherzusehen. Wie hoch wären die möglichen Verluste im schlimmsten Fall? Was kann eigentlich alles passieren? Unternehmen müssen sich bei der Kalkulation ihrer IT-Investitionen auf vage Vermutungen verlassen und auf innere Eingebungen. Argumentativ ist das vor einem Finanzvorstand allerdings schwer darzustellen.

Manche IT-Kosten lassen sich natürlich einfacher kalkulieren: Dazu gehören wiederkehrende Schulungskosten für IT-Mitarbeiter, Beauftragung von Spezialisten, neue Software, neue Hardware, etc. Und es ist wohl so, dass die Verantwortlichen zwar generell in die IT-Sicherheitsthematik investieren, aber bei Weitem nicht genügend in Anbetracht der steigenden Cyberkriminalität weltweit. Das liegt laut dem Bericht der Harvard Business Review rein an dem menschlichen Urteilsvermögen selbst. Aus Erkenntnissen im Bereich der Verhaltensökonomie und der Psychologie ist bekannt, dass der Mensch in bestimmten Denkmustern funktioniert. Und die muten tatsächlich erstaunlich historisch und treu glaubend an!

Laut dem Bericht sehen wir, die IT-Sicherheitsmaßnahmen in diesem Fall, wie eine alte Befestigungsanlage: starke Mauern, genügend Abwehrmöglichkeiten, aufmerksame Wachen und weitsichtige Ausguckposten. Außerdem wähnen wir uns gerne in Sicherheit, wenn wir etablierte und vorgeschriebene Sicherheitsstandards einhalten. Bestätigt werden wir oftmals auch dadurch, dass – eben nichts passiert! Kein nennenswerter IT-Sicherheitsvorfall, keine Angriffsversuche. Alles gut. Wie kann ein Verantwortlicher hier nach einem höheren Sicherheitsbudget verlangen?

In solchen Denkmustern bewegen wir uns tatsächlich. Insbesondere die IT-Sicherheit wird oft nicht als ein laufender Prozess betrachtet und es wird meistens nicht in Betracht gezogen, dass man manchmal tatsächlich einfach nur mit etwas Glück verschont geblieben ist. Zudem suchen wir Menschen generell den positiven Aspekt in allem – der kommt einfach besser an als ein pessimistischer Ansatz. Risikomanagement ist schwerer zu bewerkstelligen als Risikominderung. Und „Risiko“ ist auch in anderen Branchen ein ungreifbarer Begriff mit unendlichen Möglichkeiten und vielen vagen Szenarien – Beispiel Haftpflichtversicherung. Also wie kann dem beigekommen werden? Wie können IT-Sicherheitsbeauftragte diese Hürden überkommen und für ein höheres Budget argumentieren?

2016 hat dazu das Verhaltensforschungsforschungs- und Designunternehmen, Ideen42, Menschen im IT-Bereich befragt und umfangreiche Untersuchungen durchgeführt. Menschliche Verhaltensweisen von Ingenieuren, Anwendern, IT-Administratoren und Führungskräften sollten dabei identifiziert werden. Die Ergebnisse gaben beispielsweise Einblicke darüber, warum Menschen Fehler machen, Updates nicht installieren und sorglos mit Zugriffsberechtigungen umgehen, usw. Am Ende konnte das Unternehmen die Erkenntnisse daraus verwenden, um IT-Sicherheitsbeauftragten dabei zu unterstützen, die bekannten menschlichen Denkmuster zu umgehen und die Entscheidungsträger von Investitionen in Sachen IT-Sicherheit zu überzeugen.

Zum einen muss auf die emotionale Ebene finanziellen Entscheidungsträger gezielt werden. Psychologisch wirkt es sich beim Empfänger immer aus, wie Information weitergegeben werden. Für Sicherheitsexperten ist es klar, was die Folgen wären – für andere aber nicht. Daher sollte berücksichtigt werden, dass Menschen üblicherweise Informationen überbewerten, wenn die Konsequenzen anschaulich dargestellt werden und sie Emotionen auslösen. Demnach müssen Cyberrisiken so erklärt werden, dass die möglichst mit bereits allgemein bekannten Risikoszenarien verbunden werden. In simplen Worten: Handgreifliches. Kundendatenverlust, Kundenwegfall, Vertrauensbruchs, Reputationsverlust am Markt, wie Datenkorruption sich auf den Betriebsablauf und damit den Umsatz auswirkt – alles jeweils mit Bezug auf die jeweiligen Risikobereiche, in denen die Gefahr drohen kann.

Zum anderen müssen die Denkansätze der Entscheidungsträger geändert werden. Es muss ihnen klargemacht werden, dass es nicht um den Aufbau einer starken Befestigungsanlage geht, dass das lediglich Risikominimierung ist. Es muss auch klar aufgezeigt werden, was an Gefahren bereits gefunden und welche Sicherheitslöcher bereits gestopft wurden und dass es dennoch aber nie eine 100prozentige Sicherheit geben wird oder geben kann. Das wissend, müssen dafür die richtigen Prozesse eingeführt werden und damit werden die IT-Mitarbeiter gestärkt und automatisch motiviert, weiterhin Schwachstellen in allen denkbaren Bereichen zu finden und zu beheben.

Letztendlich geht es dann auch noch darum, nicht in allgemeine Selbstzufriedenheit oder Vermessenheit zu verfallen, wenn es um IT-Sicherheit geht. Sich in Sicherheit zu wiegen, verleitet zu falschen Annahmen und steht Investitionen in weitere Sicherheitsmaßnahmen natürlich völlig im Wege. Die Untersuchungen von Ideen42 ergaben hier sogar ganz erstaunliches: Viele IT-Führungskräfte sehen ihre eigenen Investitionsmaßnahmen tatsächlich als ausreichend an, die ihrer gleichrangigen Kollegen jedoch als eher unzureichend. Diese Selbstsicherheit auszuhebeln gelingt nur, indem man einen direkten Vergleich anstellt mit IT-Sicherheitsstrukturen anderer Unternehmen in der eigenen Branche. Das ist beispielsweise mittels regelmäßiger direkter Umfragen möglich. Wie viel Aufwand betreiben die Konkurrenten, was exakt wird unternommen, wie sind sie in Sachen IT-Sicherheit aufgestellt, usw. Nur mit solchen Fakten können die womöglich nötigen Argumente gewonnen werden für die Genehmigung von ausreichenden IT-Budgets.

Wenn das aber alles nicht hilft, den Entscheidungsträger auf seine Seite zu ziehen, helfen nur harte Methoden. Das lässt sich heute beispielsweise mit Penetrationstests auf die eigenen IT-Systeme sehr gut bewerkstelligen. Am besten gleich den jeweiligen Entscheidungsträger verstärkt ins Visier nehmen. Nichts ist so peinlich wie die Erkenntnis, bloßgestellt zu werden. Und negative Nachrichten können manchmal auf wundersame Weise Augen öffnend und heilend sein.

Sie wollen wissen, was Unternehmen in IT-Sicherheit investieren? Ist Ihr Unternehmen diesbezüglich unterversorgt? Lesen Sie in diesem Blog bald die Fortsetzung mit Zahlen, Daten und Fakten zu Investitionen und KPIs.

Studie von Harvard Business: The Behavioral Economics of Why Executives Underinvest in Cybersecurity

Urheberrecht des Beitragsbildes: © by 123RF.com