Die Begriffe Angemessenheit und Verhältnismäßigkeit sind in der IT-, Cyber- und Informationssicherheit von zentraler Bedeutung. Sie beschreiben, ob eine Maßnahme geeignet und verhältnismäßig ist, um ein bestimmtes Sicherheitsziel zu erreichen. Doch in der heutigen Zeit müssen diese Begriffe neu gedacht und definiert werden, da sie maßgeblich von den Angreifern beeinflusst werden.

Das Internet ist für viele Unternehmen zu einem unverzichtbaren Bestandteil der Arbeitswelt geworden. Doch die damit einhergehenden Risiken werden oft unterschätzt. Jedes Unternehmen muss sich fragen, ob und wie lange es mit einem vollkommenen Vertrauens-, Daten- und/oder Produktionsverlust (über-)leben kann und dann Maßnahmen dagegen ergreifen, die primär im Sinne der Wirksamkeit angemessen. Denn eine Maßnahme kann noch so angemessen erscheinen, aber wenn sie nicht ausreichend wirksam ist, um das Sicherheitsziel zu erreichen, ist sie nutzlos. In der heutigen Zeit müssen Unternehmen schnell und effektiv auf neue Bedrohungen reagieren können, wenn sie das Internet nutzen. Cyberkriminelle sind ständig auf der Suche nach neuen Angriffsmethoden, um Sicherheitslücken auszunutzen. Deshalb müssen Angemessenheit und Verhältnismäßigkeit neu definiert werden, um diesen Bedrohungen entgegenzuwirken.

Wer sich die Implementierung von angemessenen Sicherheitsmaßnahmen nicht "leisten" kann, sollte sich fragen, ob das Unternehmen sich das Internet "leisten" kann. Denn die Kosten für einen vollständigen Vertrauens-, Daten- oder Produktionsverlust können existenzbedrohend sein. Daher ist es unerlässlich, in angemessene und wirksame Sicherheitsmaßnahmen zu investieren und somit eine "Platzreife" für die Teilnahme am internationalen Datenverkehr zu erlangen. Auch wenn man ein Auto kaufen und damit auf der Straße fahren kann, muss man vorher einen Führschein machen und sich um die Zulassung, Straßenverkehrstauglichkeit, Versicherung, etc. kümmern, bevor man am Straßenverkehr teilnehmen darf.

Bevor Sie nun die Verbindungen kappen, sollten Sie sich lieber der Frage stellen, wie die Anbindung an das Internet im Moment geregelt ist und ob der bestehende Ansatz angemessen sowie verhältnismäßig ist. Denn in vielen Unternehmen ist es nicht erforderlich, dass jeder Rechner direkt und ohne Umwege auf das Internet zugreifen kann. Gerade für kleine und mittelständische Unternehmen ist es oft vollkommen ausreichend, über einen kleinen Umweg das Internet zu nutzen. So kann z.B. der Einsatz von Remote Controlled Browser Systemen das Risiko von Malware-Angriffen nachhaltig minimieren und auch für die E-Mail-Kommunikation stehen wirksame Maßnahmen zur Verfügung.

Unternehmen müssen die Vielzahl der zur Verfügung stehenden Maßnahmen kennen und deren Wirksamkeit einschätzen können, um ein belastbares Urteil bezüglich der Angemessenheit und Verhältnismäßigkeit fällen zu können. Doch gerade in dieser Hinsicht wird häufig gespart, indem den eigenen Mitarbeitern die regelmäßige Teilnahme an entsprechenden Kongressen und Informationsveranstaltungen zu diesen Themen aus Kostengründen verwehrt wird.