![\"L\u00e4sst](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock_1654660345-e1618564703297.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Die Messung von Kapitalrendite in Bezug auf Cyber-Sicherheit ist in ein wirkliches Dauerproblem, das sich IT-Abteilungen und IT-Sicherheitsmitarbeitern regelm\u00e4\u00dfig stellt. Wie lassen sich Ausgaben, die keine sind, angesichts einer von einigen Personen als hypothetisch beurteilten Bedrohung nachweisen? Und ist es m\u00f6glich, dabei Denkweisen dahingehend zu \u00e4ndern, dass man von einem auf Kostenvermeidung konzentrierten Paradigma zu einem Modell wechselt, das Investitionen in Sicherheit monetarisiert?<\/strong><\/p>\n Ein IT-Sicherheitsmitarbeiter eines gro\u00dfen Unternehmens im Luftfahrtbereich gesteht: \u201eSeit bereits 15 Jahren versucht man, Risiken, m\u00f6gliche Sch\u00e4den und die M\u00f6glichkeit von Cyber-Angriffen so zu identifizieren, dass man Investitionen in Sicherheit nicht vermeidet.<\/em>\u201c Letztere lassen sich manchmal aber nur schwierig rechtfertigen, was dazu f\u00fchrt, dass manche Unternehmen nach dem ersten Cyber-Angriff nicht radikal ihre Sicherheitsbestimmungen \u00e4ndern.<\/p>\n Das Problem der Wirksamkeit und Rentabilit\u00e4t von Ausgaben f\u00fcr die Cyber-Sicherheit ist tats\u00e4chlich ein Dauerthema. Ob man sich nun auf die Kapitalrendite oder auf die Rendite von Sicherheitsinvestitionen bezieht, es stellt sich dabei folgende Frage: Wie setzt man eine bestimmte Ausgabe mit einer unbestimmten Bedrohung in Beziehung? Oder wie kann man F\u00fchrungskr\u00e4fte davon \u00fcberzeugen, nicht produktive Investitionen zu t\u00e4tigen, sprich Investitionen, die dem Unternehmen nicht direkt Geld einbringen, weil sie wachsende Einnahmen generieren?<\/p>\n Immer h\u00e4ufiger erscheinende Medienberichte<\/a> \u00fcber Sicherheitsvorf\u00e4lle bringen diese Frage jedes Mal (erneut) zur Sprache.<\/p>\n <\/p>\n Es l\u00e4sst sich nicht leugnen, dass das Niveau der Ausgereiftheit der an der B\u00f6rse notierten Termingesch\u00e4fte<\/a> in Bezug auf Verst\u00e4ndnis des Cyber-Risikos in den letzten Jahren gestiegen ist. Dieses Bewusstsein hat sich immer h\u00e4ufiger in Form bedeutender Zunahmen der Budgets, die den IT-Abteilungen einger\u00e4umt werden, gezeigt.<\/p>\n Viele IT-Sicherheitsmitarbeiter in einem Unternehmen gestehen jedoch, dass ihre Vorgesetzten unter Androhung budget\u00e4rer Strafen regelm\u00e4\u00dfig Rechenschaft verlangen. \u201eWir machen au\u00dferdem seit mehreren Monaten eine Phase der Stagnation, wenn nicht sogar eine Abnahme der Budgets in bestimmten Unternehmen mit<\/em>\u201c, erkl\u00e4rt Benjamin Leroux<\/strong>, Marketing- und Innovationsleiter bei Advens<\/strong>, einem Fachunternehmen f\u00fcr Cyber-Sicherheit.<\/p>\n H\u00e4ufig ist es f\u00fcr einen IT-Sicherheitsmitarbeiter eine sehr komplexe Aufgabe, die Erl\u00f6se aus den Ausgaben f\u00fcr Sicherheit nachzuweisen, weil dabei das Paradigma vorherrscht, Kosten m\u00f6glichst zu vermeiden. So wird h\u00e4ufig die Erkl\u00e4rung bevorzugt, dass durch die Ausgaben f\u00fcr den Cyber-Schutz X Mio. Euro an Verlusten vermieden werden konnten, als zu sagen, dass man Y Mio. Euro Gewinn bei ihrer Ausgabe gemacht hat. Oder wenn man es in den Worten von Ian Schenkel<\/strong>, dem Gesch\u00e4ftsf\u00fchrer EMEA bei Flashpoint<\/a>, ausdr\u00fccken m\u00f6chte: \u201eEs ist in etwa so wie der Verkauf von Versicherungen, die IT-Sicherheitsmitarbeiter m\u00fcssen versuchen, das, was nicht passiert ist, in einen Wert zu fassen.<\/em>\u201c<\/p>\n Die Bezifferung der Kosten eines Cyber-Angriffs erweist sich jedoch als eine sehr komplexe Aufgabe. Ob es sich um die erpresste Zahlung von L\u00f6segeldern und\/oder um Betriebsst\u00f6rungen handelt, die Auswirkungen k\u00f6nnen einen Bezugspunkt darstellen, vorausgesetzt, das Unternehmen sch\u00e4tzt die Auswirkung richtig ein. Laut dem Bericht 2019 des Versicherungsunternehmens Hiscox<\/a> werden die durchschnittlichen Kosten von Cyber-Zwischenf\u00e4llen f\u00fcr ein Kleinunternehmen auf 14.000 Euro gesch\u00e4tzt. Ein Betrag, der den von Unternehmen wie Demant, einem der weltweit gr\u00f6\u00dften Hersteller von H\u00f6rger\u00e4ten, genannten Betr\u00e4gen gegen\u00fcberzustellen ist und der sch\u00e4tzungsweise mit 95 Mio. Dollar Verlust<\/a> infolge einer Ransomware, von der seine Produktions- und Distributionsst\u00e4tten in Polen, Mexiko, Frankreich oder D\u00e4nemark betroffen waren, verbunden ist. Oder wie Eurofins Scientific, das 75 Mio. Euro<\/a> wegen einer anderen Ransomware verloren hat. Dies sind sehr lehrreiche Beispiele, wenn man ber\u00fccksichtigt, dass sich die \u2013 immer noch vom Bericht von Hiscox ausgehend \u2013 f\u00fcr alle Cyber-Zwischenf\u00e4lle gesamt aufgewandten Kosten durchschnittlich auf 110.000 Euro belaufen.<\/p>\n Parallel zu diesen finanziellen Auswirkungen sind auch m\u00f6gliche regulatorische Geldstrafen zu ber\u00fccksichtigen. In Europa haben Unternehmen, die gegen den Schutz der von ihnen verarbeiteten Daten versto\u00dfen, aufgrund der Datenschutz-Grundverordnung tats\u00e4chlich einen prozentualen Anteil ihres Gesch\u00e4ftsumsatzes (4 % des globalen Umsatzes) als Strafe zu zahlen. Das Unternehmen British Airways bekam im Juli 2019 nach einem Datenverlust<\/a> eine (gesalzene) Rechnung daf\u00fcr.<\/p>\n Doch auch bestimmte andere Kosten lassen sich nur schwierig mit einem Wert darstellen, wenn es sich um St\u00f6rungen der Betriebst\u00e4tigkeit handelt. \u201eEs gibt Zwischenf\u00e4lle, die einen gro\u00dfen Bewertungsbereich haben. Zum Beispiel: Wie viel kostet 1 Stunde Nichtverf\u00fcgbarkeit einer E-Commerce-Website aufgrund eines DDoS-Angriffs w\u00e4hrend des Schlussverkaufs?<\/em>\u201c, erkl\u00e4rt Benjamin Leroux. \u201eMan muss au\u00dferdem darauf dachten, die indirekten Kosten wie die Auswirkung eines Cyber-Angriffs auf das Markenimage dabei nicht zu vernachl\u00e4ssigen.<\/em>\u201c<\/p>\n Zus\u00e4tzlich zu diesen bereits komplexen Berechnungen m\u00fcssten auch zwei Aspekte ber\u00fccksichtigt werden. Der erste geht auf die Tatsache zur\u00fcck, dass L\u00f6sungen f\u00fcr Cyber-Sicherheit h\u00e4ufig mit Funktionen verbunden sind, die sich nicht unbedingt auf das digitale Cyber-Netz beziehen. Eine Firewall beispielsweise geht mit einer QoS-Verwaltung, einer URL-Filtrierung oder der Verwaltung von Mehrfachlinks einher und gew\u00e4hrt damit eine bessere Konnektivit\u00e4t f\u00fcr sehr wichtige Benutzungen. Auf dieselbe Weise bieten die Funktionen SSL-VPN oder IPsec-VPN die Gelegenheit, Telearbeit oder Fernwartung einzurichten, was wiederum die Produktivit\u00e4t erh\u00f6hen kann. Durch das Hinzuf\u00fcgen einer Cyber-Sicherheitsschicht kann man im Allgemeinen bestimmte Benutzungen, f\u00fcr die unbedingt eine vorherige physische Pr\u00e4senz erforderlich ist, modernisieren. Der zweite Aspekt bezieht sich auf Ausschreibungen \u2013 insbesondere die gro\u00dfer Auftraggeber \u2013, bei denen die von den Kandidaten gebotenen Ma\u00dfnahmen f\u00fcr IT-Sicherheit in zunehmendem Ma\u00dfe bewertet werden, sprich ein Auswahlkriterium darstellen. Cyber-Sicherheit kann also ein Differenzierungselement gegen\u00fcber dem Wettbewerb werden.<\/p>\n <\/p>\n Gerade jetzt, da immer mehr Personen auf die wichtige Rolle der Cyber-Abwehrf\u00e4higkeit<\/a> bestehen, sollten wir uns in Erinnerung rufen, dass es meistens nicht mehr darum geht, ob Ihr Unternehmen attackiert wird, sondern eher wann. Auch wenn die Bezifferung der Kosten eines Cyber-Angriffs, der (noch) nicht stattgefunden hat, eine theoretische \u00dcbung ist, so wird diese doch immer mehr zur betrieblichen Realit\u00e4t. Die Aktualit\u00e4t der Cyber-Sicherheit bietet hierf\u00fcr zahlreiche Beispiele. In unserem Cyber-Sicherheitsbarometer 2019<\/a> zeigen wir auf, dass 48 % der befragten Unternehmen in den letzten Monaten einen oder mehrere Cyber-Angriffe mitgemacht haben.<\/p>\n Bei der Erkl\u00e4rung der Frage, warum die Berechnung der Rendite von Investitionen in IT-Sicherheit so komplex ist, muss die Tatsache ber\u00fccksichtigt werden, dass unser Sektor noch relativ jung ist und dass IT-Sicherheit vertraulich behandelt wird. Wir haben nur sehr wenige R\u00fcckschl\u00e4ge und verf\u00fcgen nicht \u00fcber ausreichende verl\u00e4ssliche Daten, um solide Modelle aufzustellen.<\/p>\n Au\u00dferdem f\u00fchrt der (h\u00e4ufig von den Medien gen\u00e4hrte) Wettlauf um den Hype dazu, dass man von Gro\u00dfunternehmen sprechen wird, f\u00fcr die die Kosten mehrere hunderte Millionen Euro betragen werden, obwohl sie nur die Spitze des Eisbergs sind. Zahlreiche KMU wiederum, die der Gefahr von Cyber-Angriffen besonders ausgesetzt sind, wie es die j\u00fcngste Einleitung des Konkursverfahrens des Unternehmens Lise Charmel beweist, scheuen sich daf\u00fcr, Ausk\u00fcnfte \u00fcber die H\u00f6he der Betr\u00e4ge der Cyber-Angriffe, denen sie zum Opfer gefallen sind, zu machen. Die Undurchsichtigkeit unseres Sektors macht bezifferte Prognosen kompliziert.<\/p>\n <\/p>\n Trotz der oben genannten Hindernisse gibt es L\u00f6sungen. Die franz\u00f6sische Agentur f\u00fcr die Sicherheit der Informationssysteme (ANSSI<\/strong>) hat beispielsweise die EBIOS Risk Manager-Methode<\/a> entwickelt, die es Unternehmen erm\u00f6glicht, ihre eigenen Risiken zu identifizieren und zu verstehen. \u201eEs geht dabei darum, die irrationelle Seite der herk\u00f6mmlichen Risikoanalyse, die haupts\u00e4chlich auf Prognosen beruht, zu vermeiden<\/em>\u201c, unterstreicht Benjamin Leroux. \u201eMit dieser Methode wird jeder Cyber-Angriffstyp aufgelistet und anhand seiner Auswirkung eingestuft, und es wird ihm ein Kostenaufwand zugewiesen. Dadurch wird es m\u00f6glich, anschlie\u00dfend einen Plan zur Risikobehandlung (Antivirus, Firewall, Unternehmenssensibilisierung usw.) einzuf\u00fchren, der wiederum klar bezifferbar ist.<\/em>\u201c Somit kann sehr wohl eine Analyse in Bezug auf die Kapitalrendite durchgef\u00fchrt werden, indem die zu investierende Summe von den antizipierten Verlusten abgezogen wird.<\/p>\nKostenvermeidung: ein zu eng definiertes Paradigma<\/h2>\n
Risikobewertung: eine \u00dcbung mit variabler Geometrie<\/h2>\n
Das A und O des Ansatzes \u00fcber die Risikoanalyse<\/h2>\n