Wie kann die 80:20 Regel Sie in Sachen Informationssicherheit unterstützen?

Zugegeben, so ganz neu ist das "Pareto-Prinzip" nicht und es erfreut sich gerade im Zeitalter von "immer schneller, weiter und höher" höchster Beliebtheit! Wenn ich 80% Ergebnis mit 20% des Gesamtaufwandes erzielen kann, bin ich in Sachen Input-Output-Relation ganz weit vorne, denn verfügbare finanzielle und personelle Ressourcen sitzen aktuell nicht so locker.

Anwendungsmöglichkeiten und Beispiele des Pareto-Prinzips sind vielfältig. Gern genutzt in Sachen Zeitmanagement, in der Wirtschaft, in der Forschung und auch im ganz normalen Alltag, hält es auch immer mehr Einzug in Bereiche wie Datenanalysen und Informationssicherheit.

Und was konkret hat jetzt die 80:20 Regel mit Informationssicherheit zu tun?

Mal rein hypothetisch angenommen, Sie sind ein mittelständisches Unternehmen. Sie haben verschiedenste Stakeholder, die glücklich gemacht werden wollen. Hier sprechen wir über Ihre Kunden, Ihre Partner, Ihre Banken und über Ihre Wirtschaftsprüfer. Ihr Unternehmen will langfristig und erfolgreich in die Zukunft geführt werden. Mitarbeitende sind Mangelware und die zweite anhaltende Corona- Welle macht Ihnen das Leben auch nicht leichter. Ihre IT- Abteilung arbeitet mit Hochdruck, quasi 24/7 daran, allen Mitarbeitenden das Arbeiten im Home-Office weiterhin zu garantieren. Ihre Geschäftsprozesse ermöglichen Ihnen den erfolgreichen Betrieb des Kerngeschäfts und dann kommt der Worst Case: Ihr Unternehmen steht still! Nix geht mehr! Stunde null!

Ein Mitarbeiter*in Ihres Unternehmens hat eine E-Mail geöffnet, eine Datei angeklickt und Bingo: Sie sind Opfer eines Hacker-Angriffs geworden. Hochsensible Daten fließen ab, Ihre ganze IT-Infrastruktur ist befallen, Ihre Produktion steht, Ihre Wertschöpfungskette hat einen knallharten Bruch. Und im schlechtesten Fall folgt noch eine, i.d.R. hohe Lösegeldforderung seitens der kriminellen Hacker-Bande!

Sie sind sich sicher, dass Ihnen das als Unternehmen nicht passieren kann? Sie gehören zu den 35% der mittelständischen Unternehmen, die ein umgesetztes und dokumentiertes IT- Sicherheitskonzept haben? Dann herzlichen Glückwunsch!

Oder gehören Sie zu den 57% der mittelständischen Unternehmen, die kein umgesetztes und dokumentiertes IT- Sicherheitskonzept haben? Dann kann Ihnen die 80:20 Regel helfen, mit den für Ihr Unternehmen richtigen Maßnahmen und Prozessen ein angemessenes Schutzniveau, insbesondere im IT- Bereich zu erreichen.
Was konkret ein angemessenes Schutzniveau für Ihr Unternehmen ist? In jedem Fall eine organisatorische, technische und präventive Vorbereitung auf die wichtigsten Angriffsszenarien und die Verfügbarkeiten verschiedenster Schutzmaßnahmen. Das können Sie hochaufwendig und komplex, mit hohem finanziellem und personellem Einsatz in Richtung ISO27001 erreichen. ODER, und Achtung, jetzt wird’s interessant, Sie können mit circa 20% des Aufwands (im Vergleich zu einer ISO27001) zu einer 80%igen Basis-Absicherung des IT-Grundschutzes nach BSI kommen. Und gleichzeitig auch noch eine sehr gute Ausgangssituation für eine spätere Einführung einer möglichen ISO- Zertifizierung schaffen. Präzise gesprochen können Sie somit mit 20% des Aufwandes an 80% mehr an Informationssicherheit gelangen und Sie gewinnen dadurch u.a. ein hohes Maß an vorbereitenden Maßnahmen zum Schutz vor Angriffsszenarien und eine vertrauensvolle Basis mit Fokus auf Ihre Anspruchsgruppen. Und das insbesondere im Zuge Ihrer Wertschöpfungskette in Richtung Kunde. Hinzu kommt eine Risikotransparenz zur Entlastung von Verantwortungsträgern und eine positive Bewertung, wenn es darum geht, Ihr Unternehmen mit einer zweiten Verteidigungsebene entsprechend zu versichern……WILLKOMMEN in der Welt der VDS 10000!

Autorin: Sandra Dietrich, (S)Marketing, Sales Information Communication Services, SIEVERS-GROUP