IT-Security: Nutzlos und überteuert?

Abstrakt: Auch wenn die Berechnung von Kosten und Nutzen Ihrer IT-Sicherheitsmaßnahmen nicht exakt möglich ist, so gibt es doch sinnvolle Herangehensweisen, um strategische Investitionsentscheidungen basierend auf Fakten treffen zu können. Auf welche Probleme Sie hierbei stoßen werden und wie Sie damit umgehen können, beschreibe ich in diesem Artikel.

Wenn auch Sie nicht wissen, ob Ihre Investitionen in IT- und Informationssicherheit sinnvoll sind, ergeht es Ihnen wie den meisten Organisationen. Aus wirtschaftlicher Sicht macht eine Investition nur dann Sinn, wenn die Kosten kleiner als deren Nutzen sind. Aber welche Organisation misst schon den wirtschaftlichen Nutzen ihrer IT-Security Maßnahmen? Ist das überhaupt möglich? Die Antwort auf diese Frage lautet: Ja, es ist möglich. Jedoch nicht auf den Euro genau. Bevor ich Ihnen Verfahren vorstelle, mit welchen auch Sie die Wirtschaftlichkeit von IT-Security Ausgaben messbar machen können, analysieren wir die Probleme, auf welche Sie zweifelsfrei bei diesem Versuch stoßen werden. Die IT- und Informationssicherheit einer Organisation lässt sich gut mit der Sicherheit eines Wohnhauses vergleichen. Im geschützten Inneren finden wird die Wertobjekte des Besitzers, sei es Schmuck, teure Kunstobjekte, IT-Geräte oder Informationen wie Vertragsunterlagen, Geschäftsgeheimnisse oder Kundendaten. Sowohl in der IT als auch im Hausbau haben wir möglichst undurchdringbare Wände aber auch Öffnungen für Türen, Durchgänge und Fenster, wir haben Rohre die Strom oder Gas transportieren sowie Stromleitungen. Wir haben Detektionstechnologie für unerwünschtes Verhalten böswilliger Dritter wie Überwachungskameras - In der IT nennen wir diese Intrusion Detection Systeme -, es kommen auch Systeme zum Einsatz, welche Gegenmaßnahmen einleiten. Hier haben wir in der physischen Welt Alarmanlagen, welche die Ordnungshüter auf den Plan rufen oder in der Informationstechnologie Anti-Viren Systeme, welche versuchenden den Eindringling einzufangen und zu isolieren, sodass dieser keinen Schaden anrichten kann. Setzen wir nun einen böswilligen Hacker mit einem Einbrecher gleich, so zeigen sich auch hier deutliche Parallelen. Beide sind im inneren unseres Hauses oder unserer IT-Systeme ungebetene Gäste. Beide benötigen gewisses Knowhow um in das geschützte Innere zu gelangen und beide wählen in der Regel den Weg des geringsten Widerstandes.

1. Attributionsschwierigkeiten

Ein Einbrecher wird nicht die Stahlverstärkte Türe als Ort des Eindringens wählen, wenn die Balkontüre unverschlossen ist oder ein Fenster offensteht. Ebenso wird ein Hacker nicht versuchen eine bisher unbekannte Schwachstelle in ihrer Firewall zu finden, wenn ein einfaches Kommando an ihren SQL-Server ausreicht, um Administratorrechte zu erlangen. Sie sehen also, dass der Wert einer Sicherheitsmaßnahme auch dadurch definiert ist, ob es für Angreifer andere, leichtere Wege gibt, um an das Objekt der Begierde zu gelangen. Ist dies der Fall - hat zum Beispiel der Hausmeister vergessen die Fenster zu schließen -, so war die teure Anschaffung Ihrer Stahltüre nutzlos. Denn Ihre Werte im Inneren des Gebäudes konnte die Türe nicht schützen. Die Anschaffung war also aus wirtschaftlicher Perspektive wenig sinnvoll. Sie haben auf der einen Seite die Kosten für die Anschaffung zu tragen, zudem müssen Sie noch für den Schaden aufkommen. Wie beim Hausbau so ist es auch in der IT-Sicherheit notwendig, an allen potenziellen Einfallstoren in etwa dasselbe Niveau an Sicherheit herzustellen. Sie fragen sich nun vielleicht, ob ein einfaches Zahlenschloss ausreicht oder ob Sie einen Tresor mit 24/7 Bewachung durch Sicherheitspersonal benötigen. Nun die Antwort auf diese Frage lautet: Es kommt darauf an. Und zwar darauf was Sie schützen möchten und welchen Wert dieses Objekt für Sie oder Ihre Organisation hat. Sind sie verantwortlich für die Absicherung der Goldreserven einer Bank, so wäre wohl der Tresor angemessen. Handelt es sich bei dem zu schützenden Objekt um ein älteres Fahrrad, so wird sicherlich auch das Zahlenschloss den gewünschten Erfolg bringen. Denn auch Kriminelle, egal ob Hacker oder Dieb, folgen einer wirtschaftlichen Logik. Dies bedeutet sie wählen den Weg des geringsten Widerstandes mit dem gleichzeitig größten Erfolg. Das lässt sich sehr gut an der aktuellen Einbruchsserie in Bankautomaten ablesen. Diese sind unbewacht, mit dem entsprechenden Knowhow und Material leicht zu öffnen und beinhalten genug Bargeld, um den Aufwand lohnenswert zu machen. Obwohl Banken über deutlich höhere Bargeldbestände verfügen, so werden diese kaum ins Visier genommen, denn die Wahrscheinlichkeit zu scheitern ist dort deutlich höher als bei den Automaten. Dieses wirtschaftliche Denken von Kriminellen können Sie sich zu Nutze machen, aber dazu später mehr. Kommen wir zurück zu unserem Beispiel mit dem Haus - und einem weiteren Problem bei der Wirtschaftlichkeitsanalyse von IT-Sicherheitsmaßnahmen.

2. Wertzumessung und Reputation

Das Unglück ist passiert, der Einbrecher war erfolgreich, hat ihre Uhrensammlung entdeckt und diese entwendet. Zudem hat er keine Spuren hinterlassen, die Polizei ist also machtlos. Aber zum Glück haben Sie eine Versicherung für genau solche Fälle abgeschlossen. Sie reichen die Rechnungen der Uhren ein und die Versicherung erstattet Ihnen den entstandenen Schaden. Doch ausgerechnet ihr Lieblingsstück, die Uhr ihres Urgroßvaters, wurde lediglich mit 50 Euro bewertet. Für Sie persönlich hat Sie jedoch den höchsten Wert, denn Sie ist schon seit mehreren Generationen in Familienbesitz und sie haben diese besonders liebgewonnen. Aber was nun? Die Versicherung wird den persönlichen Verlust nicht ersetzen können, sondern lediglich den Marktwert. Sie können also nichts weiter tun als das zu akzeptieren, denn der Schaden ist bereits entstanden. Sie sehen also, dass der gefühlte und der reale Wert nicht immer übereinstimmen. Ich möchte Ihnen ein weiteres Beispiel nennen, welches so ähnlich jederzeit auch ihre Organisation treffen könnte und auf das Sie besser vorbereitet sein sollten. Sie hatten ein besonders erfolgreiches Jahr und um Ihren Kollegen ihre Wertschätzung auszudrücken haben Sie zum Jahresende eine Feier veranstaltet. Der Abend war ein voller Erfolg, die Stimmung ausgelassen und der Alkohol floss reichlich. Für manche ihrer Mitarbeiter zu reichlich, am nächsten Morgen kursierten peinliche Fotos und Videos und machten in Instant-Messengern die Runde durch die Abteilung. Welchen Wert haben diese Aufnahmen für Ihre Organisation? Keinen? Das würde bedeuten, jede Investition um Sie vor den Augen unliebsamer Dritter zu verbergen wäre unwirtschaftlich. Stellen Sie sich vor ein Hacker stellt die Aufnahmen ins Netz und ihre wichtigsten Kunden distanzieren sich plötzlich und ohne Kommentar von ihrer Organisation. Sie sehen also: den Wert der Bilder und Videos zu beziffern ist nicht gerade leicht, denn obwohl die Dateien für Sie keinerlei wirtschaftlichen Wert haben, können sie dennoch große wirtschaftliche Auswirkungen nach sich ziehen. Ihre persönliche Reputation und die Ihrer Organisation hat also, obgleich immateriell einen materiellen Wert. Und diesen können wir beziffern, allerdings wie bereits erwähnt, nicht exakt.

3. Wahrscheinlichkeit & andere Unwegsamkeiten

Wir haben nun bereits zwei Problematiken behandelt, welche bei der Analyse der Wirtschaftlichkeit von IT-Sicherheitsmaßnahmen auf Sie zukommen werden. Doch auch die Mathematik kann hier in Konflikt mit der Realität geraten und für Ihre Organisation schwerwiegende Konsequenzen haben. Zur Analyse der Wirtschaftlichkeit benötigen wir neben der Schadenshöhe auch die Eintrittswahrscheinlichkeit bestimmter Ereignisse wie zum Beispiel: Wie wahrscheinlich ist es, dass ich von einer Flut betroffen sein werde, wie hoch ist die Wahrscheinlichkeit eines Festplattendefekts nach 5 Jahren Betriebszeit oder wie häufig führen Brände zu Datenverlust. Sie nehmen das Thema Informationssicherheit sehr ernst und möchten Ihre wertvollsten Daten ungern in die Hände Dritter legen. Daher beschließen Sie, ein eigenes Rechenzentrum aufzubauen. Weder Überflutungen noch Erdbeben sind bei Ihrer Standortwahl von Relevanz, der Bau kann also beginnen. Alles läuft wie geplant und bereits 9 Monate später ist das Rechenzentrum betriebsbereit. Doch bevor Sie den Strom einschalten, möchten Sie in Erfahrung bringen, ob es wirtschaftlich sinnvoll ist eine Brandversicherung für Ihre IT-Geräteabzuschließen. Sie recherchieren intensiv und kommen zu dem Ergebnis, dass Brände im statistischen Mittel bei vergleichbaren Rechenzentren alle 22 Jahre auftreten. Die Versicherungsprämie für 12 Jahre würde jedoch bereits die Baukosten verschlingen, also beschließt die Geschäftsleitung auf die Versicherung zu verzichten und stattdessen Rücklagen für diesen Fall zu bilden. Sie schalten den Strom also voller Tatendrang an und alle Server starten wie geplant. Doch dann geschieht das Unglück und ein Netzteil fängt Feuer, welches sich rasch auf andere Komponenten ausbreitetn und in wenigen Minuten brennt Ihr gerade in Betrieb genommenes Rechenzentrum lichterloh. Die Ermittler der Polizei können mit Hilfe der Feuerwehr feststellen, dass ein Produktionsfehler zur Brandursache geführt hat. Sie sehen an diesem Beispiel deutlich, dass die Vorhersage der Zukunft durch Wahrscheinlichkeiten eine heikle Angelegenheit ist. Während die durchschnittliche Lebensdauer in der Tat 22 Jahre betragen mag, so können sich Unternehmen nicht darauf verlassen, dass das auch in Ihrem Fall eintritt. Für die meisten Szenarien wird es ohnehin schwer bis unmöglich, belastbare Daten zu finden. Versicherungen teilen diese mit Verweis auf Geschäftsgeheimnisse nur sehr ungern und auch Hersteller verfahren mit der Herausgabe von Informationen in der Regel eher restriktiv. Die Hoffnung bleibt, dass über die verpflichtende Meldung bestimmter Vorfälle wie Hackerangriffe in Unternehmen, welche der kritischen Infrastruktur zuzuordnen sind, ein objektiveres Bild der Lage entsteht und diese Daten zur realistischen Einschätzung der Gefahrenlage herangezogen werden können. Nun sind Sie vielleicht an dem Punkt angelangt, an dem Sie resigniert aufgeben möchten und das Thema Wirtschaftlichkeitsanalyse zu den Akten legen wollen. Bleiben Sie noch etwas am Ball, es kann sich für Ihr Unternehmen finanziell auszahlen. Zudem können Sie mit einer fundierten Analyse vor Geschäftspartnern, Vorgesetzten und Kollegen glänzen. Wenn wir die Problematiken der Wirtschaftlichkeitsanalyse zusammenfassen, so haben wir Probleme einen Zugewinn in der Gesamtsicherheit einzelnen Maßnahmen zuzuordnen. Wir können immateriellen Unternehmenswerten nur sehr schwierig einen realen Betrag zumessen. Und die Wahrscheinlichkeit bestimmter Szenarien zu bestimmen gestaltet sich schwierig, zumal die Ereignisse der Vergangenheit für die Zukunft nur eine relativ geringe Aussagekraft besitzen. Kommen wir also zu einer Lösung beziehungsweise zu einem möglichen Umgang mit diesen unweigerlich auftretenden Problemen.

4. Das schwächste Glied der Kette

Wir wissen, dass Kriminelle den Weg des geringsten Widerstandes wählen. Das bedeutet, wenn es uns gelingt die Widerstandsfähigkeit aller Komponenten eines Systems zu bestimmen, so können wir davon ausgehen, dass der geringste Widerstandswert - also die Systemkomponente mit der höchsten Eintrittswahrscheinlichkeit für einen erfolgreichen Angriff - den Widerstandswert unseres gesamten Systems definiert. Bei der Priorisierung von Verbesserungsmaßnahmen sollten wir uns also - ebenso wie die Angreifer - immer auf das schwächste Glied der Kette fokussieren. Dafür können wir verschiedene Verfahren anwenden, wie Threat Analysen, Risikoanalysen oder Vulnerability Management.

5. Ein breiter Blick reduziert Verzerrungen

Je fokussierter wir auf einzelne Aspekte der IT-Sicherheit blicken, desto größere Probleme haben wir, aussagekräftige Daten zu extrahieren um daraus strategisch sinnvolle Investitionsentscheidungen abzuleiten. Wenn wir uns zum Beispiel nur auf die physische Absicherung unseres Rechenzentrums fokussieren, geraten dabei schnell Problemfelder wie Innentäter, Softwareschwachstellen oder Social Engineering außer Acht. Dem können wir entgegenwirken, wenn wir unsere gesamte Organisation, deren materielle und immaterielle Werte, Prozesse, Mitarbeiter, deren Wissen und Fähigkeiten identifizieren, katalogisieren und auf IT-sicherheitsrelevante oder wirtschaftliche Aspekte hin analysieren. Konkret würde das zum Beispiel bedeuten, dass wir die Zeit messen, die ein Mitarbeiter benötigt um sich konform (definiert in den Security Richtlinien) an IT-Systemen anzumelden. Die benötigte Zeit können wir dann in Kosten umrechnen. Denn während dieser Zeit kann der Mitarbeiter nicht produktiv arbeiten, das Unternehmen verliert also an Produktivität. Sie denken jetzt vermutlich, wieso sollten wir die Login-Zeit messen, dabei handelt es sich schließlich nur um etwa 20 Sekunden. Nun, für einen Mitarbeiter an einem Tag mag die Zeit tatsächlich wirtschaftlich zu vernachlässigen sein. Nur haben Sie vermutlich mehr als einen Mitarbeiter und diese arbeiten hunderte Tage im Jahr mit verschiedensten IT-Systemen an welchen Sie sich mehrmals täglich einloggen. Summieren wir diese Zeit für alle Mitarbeiter auf ein Jahr so kommen wir schnell auf mehrere 10.000 €, bei großen Konzernen kann es auch zu "Kosten" im sechsstelligen Bereich kommen. Mit diesem Wissen fallen Ihnen zukünftige Entscheidungen, zum Beispiel zur Einführung von Single-Sign-On Lösungen oder Hardware-Token deutlich leichter, denn Sie können nach erfolgreicher Unternehmensanalyse direkt den Nutzen einer Investition gegen die Kosten aufrechnen. Ist das Ergebnis positiv sollten Sie die Investition tätigen, andernfalls macht die Einführung der betreffenden IT-Sicherheitsmaßnahme wirtschaftlich keinen Sinn. Für manche Organisationen wie Behörden oder im militärischen Bereich mag eine rein wirtschaftliche Betrachtung nicht sinnvoll sein, für die meisten Unternehmen hat die wirtschaftliche Betrachtung jedoch einen hohen Stellenwert. Wie in unserem letzten Beispiel, lässt sich die benötigte Zeit zur Anmeldung an IT-Systemen leicht messen, auf das gesamte Unternehmen hochrechnen und den Mittelwert bestimmen. Das gilt jedoch nicht für andere relevante Faktoren welche den wirtschaftlichen Erfolg beeinflussen, wie zum Beispiel die Reputation ihres Unternehmens, den Schaden, welcher ein Serverausfall nach sich zieht oder wie hoch rechtliche Strafen für Versäumnisse bei der Umsetzung von gesetzlichen Datenschutzvorgaben ausfallen. Hier ist die realistische Abschätzung deutlich schwieriger. Aber auch für dieses Problem haben wir eine Lösung für Sie.

6. Schwarmintelligenz und das Drei-Werte-Verfahren

Mehrere Menschen verfügen über einen größeren Wissensschatz als einzelne und können daher sinnvollere Entscheidungen treffen. Das Problem ist nur dieses Wissen - egal ob bewusstes oder unterbewusstes wie ein Bauchgefühl - in einem effizienten Verfahren zu nutzen. Hier können wir uns jedoch wieder der Mathematik bedienen, dieses Mal zu unseren Gunsten. Wenn wir den Wert bestimmter immaterieller Güter wie das Wissen um Produktionsgeheimnisse, Rezepturen, unserer Organisationsreputation oder auch die Eintrittswahrscheinlichkeit bestimmter Szenarien möglichst genau bestimmen wollen, so können wir das sogenannte Drei-Werte-Verfahren nutzen. Lassen Sie mich dieses wieder anhand eines konkreten Beispiels erläutern.

Sie möchten in Ihrer Organisation ermitteln, wie kritisch sich der Ausfall ihrer verschiedenen Wertschöpfungsprozesse auf die finanzielle Situation der Organisation auswirkt. Da Sie eine gewinnorientiert arbeitende Organisation sind ist der Maßstab also, wie viel Gewinn entgeht Ihnen je Prozessausfall pro Stunde oder wie viel Verlust verursacht ein solcher Ausfall je Stunde. Befragen Sie hierzu einen einzelnen Mitarbeiter, so sind die Ergebnisse nicht sonderlich belastbar. Denn dieser Mitarbeiter schaut aus einer ganz persönlichen Perspektive auf diese Aufgabe, er bringt Erfahrungen oder Charaktereigenschaften wie Ängstlichkeit oder Risikobereitschaft mit ein, die das Ergebnis in die eine oder andere Richtung verzerren könnten. Oder er lässt manche Aspekte gänzlich außer Betracht, da er in seiner beruflichen Laufbahn bisher keinen Kontakt diesen hatte. Ziehen wir für diese Aufgabe jedoch das Wissen, die Erfahrung und die unterbewusst ablaufenden Einschätzungen von drei Personen heran, so können wir dadurch ein deutlich realistischeres Bild gewinnen. Diese drei Personen legen jedoch nicht nur je einen Wert fest, sondern jeder bestimmt je einen Minimalwert, einen Wert, der seiner Einschätzung nach am wahrscheinlichsten zutrifft und einen Wert den er im Worst-Case Szenario für maximal möglich hält. Diese Werte werden im Anschluss gemittelt - nun haben wir deutlich belastbarere Ergebnisse unserer Analyse. Wenn Sie die mathematischen Details dieses Verfahrens interessieren, klicken Sie auf den Pfeil.

Bei der Auswahl der drei Personen, welche mit dieser Aufgabe betraut werden, sind verschiedene Konstellationen denkbar. So können Prozessverantwortlicher, Produktionsexperten, Juristen, Mitarbeiter der Finanzabteilung oder Risikomanager wertvolle Informationsstücke beisteuern und das Gesamtergebnis ihrer Analyse verbessern. Je nach konkreter Aufgabenstellung kann die Zusammensetzung beliebig variieren. Auch kann das Verfahren für verschiedene Zwecke genutzt werden - von der Business Impact Analyse, Risikoanalyse, Schutzbedarfsfeststellung bis hin zur Priorisierung von Maßnahmen. Welche Aspekte wir in ihrem Unternehmen analysieren sollten um zukünftige Entscheidungen möglichst objektiv und wirtschaftlich fundiert treffen zu können ist eine Einzelfallentscheidung und hängt von Umfang und Art der geplanten Investition oder Änderung ab.

Auf der Kostenseite von Security-Maßnahmen finden wir in der Regel Aspekte wie:

- zeitliche Aufwände

- Anschaffungskosten

- Instandhaltungskosten

- Schulungsaufwände

- Transferkosten wie bspw. Versicherungsprämien

- Reputationsschäden bei IT-Sicherheitsvorfällen

Auf der Nutzenseite finden wir Punkte wie:

- vermiedene Kosten durch Produktionsausfälle

- Verhinderung von Reputationsverlust

- Reputationssteigerung durch gute Behandlung von IT-Vorfällen bei Kunden / Partnern

- vermiedene juristische Strafen

- Entwicklungs- und Forschungskosten zur Sicherstellung der Konkurrenzfähigkeit

Hierbei kann es sich um keine Abschließende Aufzählung handeln, aber die Punkte geben einen guten ersten Einblick, wie weit die Entscheidungen bei der Einführung von IT-Sicherheitsmaßnahmen in der gesamten Organisation tatsächlich reichen. Diese zu beziffern wird Ihnen unnötige Kosten ersparen und einen Vorteil gegenüber Wettbewerbern verschaffen. Nutzen Sie die aktuell angespannte geopolitische und wirtschaftliche Lage, um sich weiter von Ihren Wettbewerbern abzusetzen. Wenn es sich auch nicht um eine exakte Wissenschaft handelt, so ist es doch besser seine Entscheidungen auf eine fundierte Schätzung zu stützen, als völlig im Dunkeln zu tappen und über den Daumen gepeilt Investitionsentscheidungen zu treffen. Die Einführung eines Prozesses zur Messung der Wirtschaftlichkeit von IT-Security Maßnahmen wird sich innerhalb kurzer Zeit amortisieren.

Bei Bedarf beraten und unterstützen Sie die Experten von Digital Shepherd gerne bei der Einführung, Umsetzung und Pflege des beschriebenen Verfahrens.

Kontaktieren Sie uns hierzu gerne unter: Info@DigitalShepherd.de