Wie sag ich`s dem Chef?

Jeder oder wohl die meisten (IT)-Verantwortlichen kennen das Problem:
Etwas ist im argen, entweder erst seit kurzem oder bereits seit längerem. Eigentlich würde man die Situation gerne ändern, denn man hat ein gewisses Verantwortungsbewusstsein für den eigenen Fachbereich entwickelt. Selbst ändern hat man wahrscheinlich schon versucht, aber das Problem ist einfach nicht durch eigene Kraft und Fähigkeit oder ohne Investition zu lösen. Andererseits muss man immer damit rechnen, sich vom Chef, dem Controlling oder anderen, freigebenden Stellen, eine Abfuhr einzuholen. Das dem so ist hat in vielen Fällen auch gar nichts damit zu tun, dass der interne Geldgeber nicht wollen würde, aber unplanmäßige Ausgaben sind immer ein Ärgernis, in manchen Firmen sogar aufgrund von Liquiditäts-Engpässen ein No-Go. Und so stellt sich dann eine Patt-Situation ein, welche für niemanden befriedigend ist: Der Verantwortliche MUSS etwas tun, ist aber gehemmt  / Der Freigeber WILL oder KANN nichts tun

Hauptursache dafür dürfte wohl sein, dass die involvierten Parteien im Unternehmen nicht „dieselbe Sprache“ sprechen. Diese Ausgangslage ist weder sinnvoll noch produktiv, denn letzten Endes baut sich dadurch Druck auf, dieser führt zu Stress, Unzufriedenheit, ja sogar zu Versagens- oder Verlust-Ängsten. Die Auflösung des Problems erfolgt häufig erst dann, wenn die Investition dann, basierend auf langem „Gejammer“ des Verantwortlichen letztlich dann doch erfolgt (das wäre noch der positive Fall) oder, im Worst-Case, das Problem zur Katastrophe mutiert, was wiederum zu weiteren Ausfällen und Störungen bis hin zu finanziellen Verlusten, Verlust der Reputation oder sogar, je nach Tragweite, sogar zur Insolvenz führen kann.

Dabei könnte es so einfach sein: Machen Sie Betroffene zu Beteiligten! Involvieren Sie andere Fachbereiche und / oder die Geschäftsleitung in die Problematik, versuchen Sie,  die gleiche Sprache zu sprechen oder verwenden Sie nichttechnische Beispiele, um die Situation auch Laien besser verständlich zu machen.

Vergleiche helfen
Ein Beispiel, welches ich gerne anbringe, entstammt Christian Kirsch, seines Zeichens Principal Product Marketing Manager bei Rapid7 [1]:
„Wir sollten uns alle in regelmäßigen Abständen einer Gesundheitsuntersuchung unterziehen, auch wenn wir uns eigentlich gesund fühlen. Nur so können schwere Erkrankungen früh erkannt und behandelt werden. Eine solche Untersuchung gehört zu den Aufgaben eines verantwortungsvollen Erwachsenen, der seine Familie und sich langfristig schützen möchte.

Dieses Beispiel lässt sich eins zu eins auf Penetrationstests anwenden, denn auch diese sollten in regelmäßigen Abständen an wichtigen Systemen durchgeführt werden. Nur so können wir erkennen, wo unsere Systeme verletzbar sind. Wir müssen diese Schwachstellen finden, bevor Kriminelle, Spione und Cyber-Vandalen unserem Unternehmen Schaden zufügen können. Penetrationstests gehören zu den Instrumenten einer verantwortungsvollen Unternehmensführung, die Risiken identifizieren und mindern möchte. Wie bei einer Gesundheitsuntersuchung vertrauen wir hierfür auf die Meinung ausgebildeter Experten: Ärzten und Penetration-Testern.“

Sie sehen: Vergleiche können unter Umständen dazu beitragen, die Situation für alle Beteiligten besser verständlich zu machen.

Perspektivenwechsel
Ein weiteres Beispiel, um das eigene Thema besser zu „verkaufen“, könnte die Verwendung alternativer Maßstäbe sein. Ist das höchste Gut für den IT-Verantwortlichen mit technischem Hintergrund die Sicherheit, so sind das höchste Gut eines Controller die Finanzen. Versuchen Sie doch einfach einmal ihr Thema als Kostensenker einzusetzen. Um beim Beispiel des oben genannten Penetrationstests zu bleiben [2]:
Viele Unternehmen setzen bereits ein etabliertes Programm für Vulnerability-Management ein, können aber aufgrund der schieren Menge nicht alle Schwachstellen beheben. Eine Penetration-Testing-Software wie Metasploit kann in diesem Fall prüfen, welche Schwachstellen ausnutzbar sind und daher als Erstes behoben werden müssen. Durch eine solche Verfeinerung des Sicherheitsprogramms werden nicht nur die wichtigsten Schwachstellen zuerst behoben, sondern auch die Gesamtkosten für das Beseitigen von Schwachstellen gesenkt, da nicht direkt ausnutzbare Schwachstellen im ersten Schritt ignoriert werden können.

Die weiteren Beispiele im folgenden Abschnitt stellen ebenfalls gute und vielfach erprobte Möglichkeiten dar, um ein Thema, eine Investition etc. entsprechend zu positionieren:

Was wäre wenn [3]:
Viele Argumente für Penetrationstests beziehen sich darauf, was es kostet, wenn Daten gestohlen werden. Kaum eine Argumentation beleuchtet, was es bedeutet, wenn Systeme stillstehen, obwohl dies ebenfalls erhebliche Kosten verursachen kann. Stellen Sie einfach die Frage: »Was passiert, wenn eines unserer Systeme eine Woche lang stillsteht?« Dieses Szenario ist für Manager wahrscheinlich deutlich greifbarer, als sich vorzustellen, was passiert, wenn die Kundendaten auf Hackerseiten verkauft werden. Auch die Kosten dürften etwas einfacher zu berechnen sein.

Erstellen Sie einen Business Case [4]:
Wenn Sie bisher keine Penetrationstests durchgeführt haben, haben Sie aktuell keine merklichen Kosten. Um einen Business Case aufzubauen, müssen Sie die Kosten einer Datenpanne oder eines Systemausfalls berechnen und diesen mit der Wahrscheinlichkeit des Eintretens multiplizieren.

Beispiel: Ihr ERP-System beinhaltet 10.000 Kundendaten. Laut The Ponemon Institute belaufen sich die Kosten pro verlorenem Datensatz auf 130 Euro (145 US-Dollar) und bei einem Gesamtschaden auf 1.300.000 Euro. Forrester schätzt, dass 60% der Unternehmen im Jahr 2015 mindestens eine Datenpanne erleiden werden, also ist die Wahrscheinlichkeit des Eintretens 60%. Der Wert des Risikos einer Datenpanne ist also 1.300.000 Euro x 60% = 780.000 Euro.

Alternativ rechnen wir aus, was der Ausfall des ERP-Systems kosten würde. Nehmen wir an, die Kosten eines Ausfalls belaufen sich auf 1 Million Euro pro Tag, und das System wäre für 3 Tage außer Gefecht gesetzt. Bei einer Eintrittswahrscheinlichkeit von 10% wären dies 3 × 1.000.000 Euro × 10% = 300.000 Euro.

Wollen Sie Penetrationstests einführen, um die Remediation-Kosten für Ihr Vulnerability-Management-Programm zu senken, sieht die Berechnung etwas anders aus: Nehmen wir an, Sie haben drei Netzwerkadministratoren, die im Schnitt 65.000 Euro kosten. Wenn jeder dieser Mitarbeiter 20% seiner Zeit damit verbringt, Updates zu installieren und Schwachstellen zu beheben, kostet dies das Unternehmen jährlich 39.000 Euro. Wenn Penetrationstests diese Arbeit auf je 10% minimieren können, weil die Mitarbeiter nur Schwachstellen beheben, die ausnutzbar sind, spart das Unternehmen dadurch 19.500 Euro. Sie sollten außerdem in die Überlegung einbeziehen, dass die Mitarbeiter nun an Schwachstellen arbeiten, die wirklich ausnutzbar sind, und dadurch das Unternehmensnetz besser geschützt ist.

Natürlich gibt es noch viele weitere Möglichkeiten, ein Thema „an den Mann“ zu bringen. Der Verlust des Unternehmensimages, die rechtliche Seite, Haftungsfragen oder die evtl. fehlende Deckung durch die Versicherung könnten ebenfalls Anhaltspunkte oder interne Verkaufsargumente darstellen.

Letztlich aber gilt: Stecken Sie nicht den Kopf in den Sand, egal wie Sie das Thema präsentieren! Wenn Sie ihren Vorgesetzten oder die Verantwortlichen nicht auf die missliche Lage hinweisen, so können diese auch nichts davon wissen. Bleiben Sie hartnäckig, denn es geht hier unter Umständen nicht nur um Ihren eigenen Ruf, sondern um den des gesamten Unternehmens.

Eine Tatsache, welchen vielen auch nicht bewusst ist: Verschleppung und fehlende oder mangelhafte Kommunikation können im manchen Fällen sogar zur privaten Haftbarkeit des Verantwortlichen führen. Sollten Sie also Ihr Thema auch mit dem besten Konzept nicht durchbringen, so sollten Sie sich im Anschluss wenigstens selbst absichern, indem Sie sich eine schriftliche Bestätigung von Ihrem Vorgesetzten unterzeichnen lassen, in welcher Sie nochmals ganz explizit auf die Umstände und Risiken hinweisen – das Schriftstück sollte danach gut und sicher aufbewahrt werden, um im Fall des Falles in einer etwaigen Beweiskette zur Anwendung zu kommen.

Quellen [1][2][3][4]:
Hacking mit Metasploit, aus dem Geleitwort