Die Messung von Kapitalrendite in Bezug auf Cyber-Sicherheit ist in ein wirkliches Dauerproblem, das sich IT-Abteilungen und IT-Sicherheitsmitarbeitern regelmäßig stellt. Wie lassen sich Ausgaben, die keine sind, angesichts einer von einigen Personen als hypothetisch beurteilten Bedrohung nachweisen? Und ist es möglich, dabei Denkweisen dahingehend zu ändern, dass man von einem auf Kostenvermeidung konzentrierten Paradigma zu einem Modell wechselt, das Investitionen in Sicherheit monetarisiert?
Ein IT-Sicherheitsmitarbeiter eines großen Unternehmens im Luftfahrtbereich gesteht: „Seit bereits 15 Jahren versucht man, Risiken, mögliche Schäden und die Möglichkeit von Cyber-Angriffen so zu identifizieren, dass man Investitionen in Sicherheit nicht vermeidet.“ Letztere lassen sich manchmal aber nur schwierig rechtfertigen, was dazu führt, dass manche Unternehmen nach dem ersten Cyber-Angriff nicht radikal ihre Sicherheitsbestimmungen ändern.
Das Problem der Wirksamkeit und Rentabilität von Ausgaben für die Cyber-Sicherheit ist tatsächlich ein Dauerthema. Ob man sich nun auf die Kapitalrendite oder auf die Rendite von Sicherheitsinvestitionen bezieht, es stellt sich dabei folgende Frage: Wie setzt man eine bestimmte Ausgabe mit einer unbestimmten Bedrohung in Beziehung? Oder wie kann man Führungskräfte davon überzeugen, nicht produktive Investitionen zu tätigen, sprich Investitionen, die dem Unternehmen nicht direkt Geld einbringen, weil sie wachsende Einnahmen generieren?
Immer häufiger erscheinende Medienberichte über Sicherheitsvorfälle bringen diese Frage jedes Mal (erneut) zur Sprache.
Kostenvermeidung: ein zu eng definiertes Paradigma
Es lässt sich nicht leugnen, dass das Niveau der Ausgereiftheit der an der Börse notierten Termingeschäfte in Bezug auf Verständnis des Cyber-Risikos in den letzten Jahren gestiegen ist. Dieses Bewusstsein hat sich immer häufiger in Form bedeutender Zunahmen der Budgets, die den IT-Abteilungen eingeräumt werden, gezeigt.
Viele IT-Sicherheitsmitarbeiter in einem Unternehmen gestehen jedoch, dass ihre Vorgesetzten unter Androhung budgetärer Strafen regelmäßig Rechenschaft verlangen. „Wir machen außerdem seit mehreren Monaten eine Phase der Stagnation, wenn nicht sogar eine Abnahme der Budgets in bestimmten Unternehmen mit“, erklärt Benjamin Leroux, Marketing- und Innovationsleiter bei Advens, einem Fachunternehmen für Cyber-Sicherheit.
Häufig ist es für einen IT-Sicherheitsmitarbeiter eine sehr komplexe Aufgabe, die Erlöse aus den Ausgaben für Sicherheit nachzuweisen, weil dabei das Paradigma vorherrscht, Kosten möglichst zu vermeiden. So wird häufig die Erklärung bevorzugt, dass durch die Ausgaben für den Cyber-Schutz X Mio. Euro an Verlusten vermieden werden konnten, als zu sagen, dass man Y Mio. Euro Gewinn bei ihrer Ausgabe gemacht hat. Oder wenn man es in den Worten von Ian Schenkel, dem Geschäftsführer EMEA bei Flashpoint, ausdrücken möchte: „Es ist in etwa so wie der Verkauf von Versicherungen, die IT-Sicherheitsmitarbeiter müssen versuchen, das, was nicht passiert ist, in einen Wert zu fassen.“
Die Bezifferung der Kosten eines Cyber-Angriffs erweist sich jedoch als eine sehr komplexe Aufgabe. Ob es sich um die erpresste Zahlung von Lösegeldern und/oder um Betriebsstörungen handelt, die Auswirkungen können einen Bezugspunkt darstellen, vorausgesetzt, das Unternehmen schätzt die Auswirkung richtig ein. Laut dem Bericht 2019 des Versicherungsunternehmens Hiscox werden die durchschnittlichen Kosten von Cyber-Zwischenfällen für ein Kleinunternehmen auf 14.000 Euro geschätzt. Ein Betrag, der den von Unternehmen wie Demant, einem der weltweit größten Hersteller von Hörgeräten, genannten Beträgen gegenüberzustellen ist und der schätzungsweise mit 95 Mio. Dollar Verlust infolge einer Ransomware, von der seine Produktions- und Distributionsstätten in Polen, Mexiko, Frankreich oder Dänemark betroffen waren, verbunden ist. Oder wie Eurofins Scientific, das 75 Mio. Euro wegen einer anderen Ransomware verloren hat. Dies sind sehr lehrreiche Beispiele, wenn man berücksichtigt, dass sich die – immer noch vom Bericht von Hiscox ausgehend – für alle Cyber-Zwischenfälle gesamt aufgewandten Kosten durchschnittlich auf 110.000 Euro belaufen.
Parallel zu diesen finanziellen Auswirkungen sind auch mögliche regulatorische Geldstrafen zu berücksichtigen. In Europa haben Unternehmen, die gegen den Schutz der von ihnen verarbeiteten Daten verstoßen, aufgrund der Datenschutz-Grundverordnung tatsächlich einen prozentualen Anteil ihres Geschäftsumsatzes (4 % des globalen Umsatzes) als Strafe zu zahlen. Das Unternehmen British Airways bekam im Juli 2019 nach einem Datenverlust eine (gesalzene) Rechnung dafür.
Doch auch bestimmte andere Kosten lassen sich nur schwierig mit einem Wert darstellen, wenn es sich um Störungen der Betriebstätigkeit handelt. „Es gibt Zwischenfälle, die einen großen Bewertungsbereich haben. Zum Beispiel: Wie viel kostet 1 Stunde Nichtverfügbarkeit einer E-Commerce-Website aufgrund eines DDoS-Angriffs während des Schlussverkaufs?“, erklärt Benjamin Leroux. „Man muss außerdem darauf dachten, die indirekten Kosten wie die Auswirkung eines Cyber-Angriffs auf das Markenimage dabei nicht zu vernachlässigen.“
Zusätzlich zu diesen bereits komplexen Berechnungen müssten auch zwei Aspekte berücksichtigt werden. Der erste geht auf die Tatsache zurück, dass Lösungen für Cyber-Sicherheit häufig mit Funktionen verbunden sind, die sich nicht unbedingt auf das digitale Cyber-Netz beziehen. Eine Firewall beispielsweise geht mit einer QoS-Verwaltung, einer URL-Filtrierung oder der Verwaltung von Mehrfachlinks einher und gewährt damit eine bessere Konnektivität für sehr wichtige Benutzungen. Auf dieselbe Weise bieten die Funktionen SSL-VPN oder IPsec-VPN die Gelegenheit, Telearbeit oder Fernwartung einzurichten, was wiederum die Produktivität erhöhen kann. Durch das Hinzufügen einer Cyber-Sicherheitsschicht kann man im Allgemeinen bestimmte Benutzungen, für die unbedingt eine vorherige physische Präsenz erforderlich ist, modernisieren. Der zweite Aspekt bezieht sich auf Ausschreibungen – insbesondere die großer Auftraggeber –, bei denen die von den Kandidaten gebotenen Maßnahmen für IT-Sicherheit in zunehmendem Maße bewertet werden, sprich ein Auswahlkriterium darstellen. Cyber-Sicherheit kann also ein Differenzierungselement gegenüber dem Wettbewerb werden.
Risikobewertung: eine Übung mit variabler Geometrie
Gerade jetzt, da immer mehr Personen auf die wichtige Rolle der Cyber-Abwehrfähigkeit bestehen, sollten wir uns in Erinnerung rufen, dass es meistens nicht mehr darum geht, ob Ihr Unternehmen attackiert wird, sondern eher wann. Auch wenn die Bezifferung der Kosten eines Cyber-Angriffs, der (noch) nicht stattgefunden hat, eine theoretische Übung ist, so wird diese doch immer mehr zur betrieblichen Realität. Die Aktualität der Cyber-Sicherheit bietet hierfür zahlreiche Beispiele. In unserem Cyber-Sicherheitsbarometer 2019 zeigen wir auf, dass 48 % der befragten Unternehmen in den letzten Monaten einen oder mehrere Cyber-Angriffe mitgemacht haben.
Bei der Erklärung der Frage, warum die Berechnung der Rendite von Investitionen in IT-Sicherheit so komplex ist, muss die Tatsache berücksichtigt werden, dass unser Sektor noch relativ jung ist und dass IT-Sicherheit vertraulich behandelt wird. Wir haben nur sehr wenige Rückschläge und verfügen nicht über ausreichende verlässliche Daten, um solide Modelle aufzustellen.
Außerdem führt der (häufig von den Medien genährte) Wettlauf um den Hype dazu, dass man von Großunternehmen sprechen wird, für die die Kosten mehrere hunderte Millionen Euro betragen werden, obwohl sie nur die Spitze des Eisbergs sind. Zahlreiche KMU wiederum, die der Gefahr von Cyber-Angriffen besonders ausgesetzt sind, wie es die jüngste Einleitung des Konkursverfahrens des Unternehmens Lise Charmel beweist, scheuen sich dafür, Auskünfte über die Höhe der Beträge der Cyber-Angriffe, denen sie zum Opfer gefallen sind, zu machen. Die Undurchsichtigkeit unseres Sektors macht bezifferte Prognosen kompliziert.
Das A und O des Ansatzes über die Risikoanalyse
Trotz der oben genannten Hindernisse gibt es Lösungen. Die französische Agentur für die Sicherheit der Informationssysteme (ANSSI) hat beispielsweise die EBIOS Risk Manager-Methode entwickelt, die es Unternehmen ermöglicht, ihre eigenen Risiken zu identifizieren und zu verstehen. „Es geht dabei darum, die irrationelle Seite der herkömmlichen Risikoanalyse, die hauptsächlich auf Prognosen beruht, zu vermeiden“, unterstreicht Benjamin Leroux. „Mit dieser Methode wird jeder Cyber-Angriffstyp aufgelistet und anhand seiner Auswirkung eingestuft, und es wird ihm ein Kostenaufwand zugewiesen. Dadurch wird es möglich, anschließend einen Plan zur Risikobehandlung (Antivirus, Firewall, Unternehmenssensibilisierung usw.) einzuführen, der wiederum klar bezifferbar ist.“ Somit kann sehr wohl eine Analyse in Bezug auf die Kapitalrendite durchgeführt werden, indem die zu investierende Summe von den antizipierten Verlusten abgezogen wird.
Nach der Berechnung wird es sehr wichtig, die Effizienz des Plans zur Risikobehandlung in einer Steuerlogik zu messen. Und darin liegt eine weitere Schwierigkeit: Wenn es eine Lösung gegen Zwischenfälle gibt, aber kein Zwischenfall detektiert wird, liegt das dann daran, dass es keinen Zwischenfall gegeben hat oder dass die verwendete Lösung effizient ist? Auch wenn regelmäßige Kontrollberichte oder -dashboards für versuchte Cyber-Angriffe eine Antwort darauf geben können, so ist erlaubt, weiterhin Zweifel an der Effizienz der Lösung zu haben. „In diesen Fällen führen Unternehmen Audits durch und können Penetration Tester einsetzen, die wiederum zur Überprüfung der Effizienz Penetrationstests durchführen“, erklärt Benjamin Leroux. Aber auch hier wird es erneut schwierig, die Rentabilität von Cyber-Investitionen zu eruieren, weil das Unternehmen durch diese Penetrationstests genau genommen kein Geld verdient.
Beim Ansatz über die herkömmliche Risikoanalyse müssen ebenfalls die Schutzmaßnahmen effizient gestaltet werden. Und darin liegt eine neue Schwierigkeit bei Cyber-Sicherheit, weil man nämlich versucht, den Cyber-Mix möglichst zu optimieren, ohne dabei jedoch auf den Grundsatz der Pluralität und die doppelte Technologiesperre zu verzichten. Es ist also alles andere als einfach.
Für einen qualitativen Sprung in Bezug auf Cyber-Sicherheit
Es gibt immerhin eine Nachwirkung, das heißt ein Modell, bei dem die Monetarisierung von Investitionen in Cyber-Sicherheit Geld einbringen kann. „Vor kurzem hat beispielsweise die französische Geschäftsbank Société Générale OPPENS eingeführt, einen auf Kleinstunternehmen und KMU ausgerichteten sicheren Coaching-Service“, erklärt Benjamin Leroux. Das Ziel? Intern entwickeltes Know-how an andere Unternehmen zu verkaufen und damit diese Investitionen zu monetarisieren. Ein weiteres Paradebeispiel aus Frankreich: Imprimerie Nationale, die öffentliche Einrichtung, die französische Reisepässe und Personalausweise druckt. 2018 führte die Imprimerie Nationale die Anwendung INWallet ein, eine Lösung zur Sicherung der digitalen Identität. „Bei diesen beiden Beispielen ermöglicht der Verkauf von Cyber-Services eine Erweiterung des Service-Angebots und stellt damit folglich die Möglichkeit, Geld zu verdienen, dar“, führt Benjamin Leroux weiter aus.
Die Messung der Kapitalrendite bei Cyber-Sicherheit liegt genau zwischen der Risikoanalyse und der Rationalisierung der Schutzmaßnahmen und ist damit eine komplexe Aufgabe, die heute jedoch notwendiger als je zuvor ist. Was sich langsam abzuzeichnen beginnt, ist die Notwendigkeit, das Paradigma zu ändern und von einer absolut quantitativen Analyse zu einer Analyse, die auch den qualitativen Faktor berücksichtigt, umzuschwenken. Beim Wechsel von einer ausschließlich monetär orientierten Kapitalrendite, die auf dem Kostenansatz basiert, hin zu einer Kapitalrendite, die sich schwerpunktmäßig auf den Wert der Investitionen in Sicherheit konzentriert, wird vollständig die Perspektive geändert. Es ist nämlich höchste Zeit, dass die Führungsebenen Cyber-Sicherheit auch als eine Gelegenheit und nicht mehr als eine Bedrohung wahrnehmen!
