Kosten der IT-Sicherheit E-Book

Achim Schmidtmann (Hrsg.)

Maximilian Grigat, Stefanie Jurecz, Sascha Kirschner, Robin Seidel, Tobias Stepanek (Autoren)

Kosten der IT-Sicherheit

Ein Ausgangspunkt für weitergehende Untersuchungen

Mit scharfem Blick, nach Kennerweise, Seh ich zunächst mal nach dem Preise, Und bei genauerer Betrachtung Steigt mit dem Preise auch die Achtung.

Wilhelm Busch (1832-1908)

deutscher Zeichner, Maler und Schriftsteller

Achim Schmidtmann (Hrsg.)

Maximilian Grigat, Stefanie Jurecz, Sascha Kirschner, Robin Seidel, Tobias Stepanek (Autoren)

Kosten der IT-Sicherheit

Ein Ausgangspunkt für weitergehende Untersuchungen

1. Auflage

September 2020

Vorwort

Geleitwort

Einleitung

Motivation und Ziel

Aufbau des Buchs

Kosten der IT-Sicherheit

Einleitung

Kernbegriffe

Schutzbedarf

Bedrohungen und Gefährdungen

Einschätzung des Gefährdungsgrads

Benchmarking

Systematisches Vorgehen

Aufforderung

Verwendete Literatur

Datenschutz als Kostenfaktor?

Einleitung

Warum ist Datenschutz überhaupt wichtig?

Gesetzgebung im Bereich Datenschutz

Alte und neue gesetzliche Vorgaben

Gesetzliche Vorgaben des BDSG

Gesetzliche Vorgaben seit der DSGVO

Kosten für die Umsetzung der gesetzlichen Vorgaben

Checkliste für Unternehmen

DSGVO-Kosten im Gesamtbild

Aktueller Stand

Vergleich mit anderen Studien

Fazit

Verwendete Literatur

Return on Security Investment

Einleitung

Return on Security Investment

Bestandteile

Absoluter Return on Security Investment

Relativer Return on Security Investment

Anwendungsbeispiele

Fall: Firewall

Fall: Notebookverlust

Bewertung

Nachteile

Vorteile

Mögliche Verbesserungen

Allgemeine Faktoren

Erweiterungen

Risikoanalyse

Total Cost / Benefit of Ownership

IT-Security-Projekttypen

Schlussbetrachtung

Verwendete Literatur

Kosten der ERP-Sicherheit

Einleitung

Bedrohungen im ERP-Umfeld

Externe Bedrohungen

Interne Bedrohungen

Bewertung

Sicherheitsmaßnahmen im ERP-Umfeld

Berechtigungskonzept

Benutzerverwaltung

Schnittstellen

Patch-Management

Weitere Maßnahmen

Zusammenfassung und Bewertung

Kosten der ERP-Sicherheit

Ansatz zur Maßnahmenermittlung

Kostenpositionen

Kostenfaktoren für Sicherheitsmaßnahmen

Priorisierung der Maßnahmen

Fazit

Verwendete und weiterführende Literatur

Kosten der IT-Sicherheit im Smart Home

Einleitung

Problemstellung

Grundlegende Begrifflichkeiten

IT-Sicherheit

Smart Home

IT-Sicherheit in Smart Home Geräten

Welchen Nutzen haben Smart Home Geräte?

Probleme von Smart Home Geräten

Beispielfälle mangelnder IT-Sicherheit in Smart Home Geräten

Risikoanalyse

Gefährdungsübersicht

Risiken einstufen

Risikobehandlung

Zwischenfazit zur Risikoanalyse

Gründe für mangelnde IT-Sicherheit

Entwicklungsstand

Umgang des Gesetzgebers

Schlussbetrachtung

Verwendete Literatur

Ansatz zur Kostenkostenkalkulation für die Informationssicherheit von IoT-Geräten

Einleitung

Problemstellung und Zielsetzung

Aufbau des Beitrags

Grundlagen der Informationssicherheit

Terminologische Begriffsabgrenzung

Internationale Standards und Normen der Informationssicherheit

Aufbau des IT-Grundschutzes

Informationssicherheitsprozess nach dem IT-Grundschutz

Initiierung des Sicherheitsprozesses nach dem BSI

Erstellung der Leitlinie zur Informationssicherheit

Organisation des Sicherheitsprozesses

Erstellung einer Sicherheitskonzeption nach der Basis-Absicherung

Ansatz zur Kostenkalkulation im Unternehmen

Herausforderung der Kostenkalkulation

Kostenschätzung des IT-Sicherheitsbudgets

Bottom-Up Ansatz zur Bewertung der Kosten

Delphi Methode

Kostenrechnung als verursachungsgerechte Verrechnungsmethode

Kosten-kalkulatorische Umsetzung des Informationssicherheitsprozesses

Amazon Web Services IoT Produkte

Resümee

Verwendete Literatur

Stichwortverzeichnis

Die Autoren

Danksagung

Wirtschaftsinformatik an der Fachhochschule Bielefeld

Markenrechtlicher Hinweis

Die in diesem Band wiedergegebenen Gebrauchsnamen, Handelsnamen, Warenzeichen usw. können auch ohne besondere Kennzeichnung geschützte Marken sein und als solche den gesetzlichen Bestimmungen unterliegen.

Amazon ist eine eingetragene Marke von Amazon.com, Inc.

Microsoft® ist eine eingetragene Marke der Microsoft Corporation.

SAP® und SAP® R/3 sind Marken oder eingetragene Marken der SAP AG, Deutschland

Sämtliche in diesem Band abgedruckten Bildschirmabzüge unterliegen dem Urheberrecht © des jeweiligen Herstellers.

Hinweis zur Verwendung der männlichen und weiblichen Form

Aus Gründen der besseren Lesbarkeit wird im Folgenden auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten gleichwohl für beiderlei Geschlecht.

Ich beschäftige mich bereits seit ca. 13 Jahren in Lehre und Forschung mit der Informations- und IT-Sicherheit. Durch einige spektakuläre IT-Sicherheitsvorfälle in den letzten Jahren ist die mediale Aufmerksamkeit und damit auch die Frequenz der Berichterstattung stark angestiegen. Gleichzeitig haben aber auch die verursachten Schäden rapide zugenommen und erst dieser „Schmerz“ hat das Bewusstsein in Bezug auf IT-Sicherheitsrisiken in vielen Unternehmen geschärft und ist zu einem der Hauptmotivatoren für Investitionen geworden.

Laut einer Umfrage des Digitalverbands Bitkom e.V., deren Ergebnisse im November 2019 veröffentlicht wurden, verursachen Angriffe auf deutsche Unternehmen jährlich einen Gesamtschaden von knapp 103 Milliarden Euro1. Im Gegenzug haben deutsche Unternehmen in 2019 allerdings nur ca. 4,6 Milliarden Euro für Hardware, Software und Services im Bereich IT-Sicherheit ausgegeben. Das waren ca. 10 Prozent mehr als im bisherigen Rekordjahr 2018 und für 2020 ist ein weiteres Wachstum um 7,5 Prozent auf 4,9 Milliarden Euro prognostiziert2. Damit wachsen die Ausgaben für Sicherheitstechnologie in Deutschland zwar doppelt so schnell wie die Gesamtinvestitionen in der IT, trotzdem ist bei der aktuellen jährlichen und weiter steigenden Schadenssumme noch sehr viel Luft nach oben.

Die Situation wird durch das weitere Voranschreiten der Digitalisierung und Globalisierung in allen Bereichen immer komplexer. Insbesondere die Digitalisierung ist mit vielen Chancen verbunden aber auch untrennbar mit IT-Sicherheit verknüpft.3 Die dadurch zusätzlich entstehenden Risiken sind für Laien und dazu zählen auch die meisten Unternehmensleitungen kaum mehr überschaubar. Die TÜV Cybersecurity-Studie in 2019 ergab leider, dass das Risikobewusstsein bei Führungskräften und Entscheidern nach Expertenmeinungen immer noch auf einem zu geringen Niveau ist.4 Denn erst, wie oben bereits ausgeführt, wenn die Unternehmen von konkreten Vorfällen betroffen sind, wird IT-Sicherheit5 vom abstrakten zum konkreten Thema.

Ein sehr konkretes und alltägliches Thema für Führungskräfte sind Kostenoptimierungen, um den Erhalt der Wettbewerbsfähigkeit ihres Unternehmens zu analysieren und gezielt zu beeinflussen. Dabei geht es aber nicht nur um Kostensenkungen, sondern auch um mittel- oder langfristige Effizienzsteigerungen durch Investitionen. Um nun das Thema IT-Sicherheit in dieses, den Unternehmensleitungen bekannte Terrain zu überführen und damit in ihren Fokus zu rücken, gilt es die Wirtschaftlichkeit von IT-Sicherheitsmaßnahmen im Detail zu betrachten. Es geht darum, zu ergründen, welche Kosten tragbar und erforderlich sind und welcher Nutzen durch jene Maßnahmen ermöglicht wird.

Aufgrund der Komplexität der Informations- und IT-Sicherheit sind bei der Kosten- und Nutzenbetrachtung eine Vielzahl von Aspekten zu beleuchten. Die Beiträge dieses Buches haben nicht das Ziel, einen vollständigen Überblick zu geben. Vielmehr verdeutlichen sie die Situation in einigen relevanten Teilbereichen und sollen damit einen fundierten Ausgangspunkt für weitergehende Betrachtungen bieten.

Abschließend möchte ich als Dozent dieses Kurses noch anführen, dass ich mich über das Engagement und das große Interesse der beteiligten Studierenden an diesem Projekt sehr gefreut habe.

Zu guter Letzt bitte ich unsere Leser um ihre Kritik und Anregungen. Sie erreichen mich per E-Mail unter:

[email protected]

Bielefeld im September 2020

Prof. Dr. Achim Schmidtmann

1 Vgl. Bitkom, https://www.bitkom-research.de/de/pressemitteilung/angriffsziel-deutsche-wirt-schaft-mehr-als-100-milliarden-euro-schaden-pro-jahr abgerufen am 31.08.2020.

2 Vgl. Bitkom, https://www.bitkom.org/Presse/Presseinformation/Rekordjahr-im-Markt-fuer-IT-Sicherheit abgerufen am 31.08.2020.

3 Vgl. Security-Insider, https://www.security-insider.de/it-sicherheit-macht-digitalisierung-erst-moeglich-a-562455/ abgerufen am 31.08.2020.

4 Vgl. Verband der TÜV e.V., TÜV Cybersecurity Studie, 2019.

5 Zur begrifflichen Abgrenzung von Informations- und IT-Sicherheit verweise ich auf das Kapitel Kernbegriffe aus dem ersten Beitrag dieses Buches (S. 6).

Informationssicherheit – und als Teilaspekt auch die IT-Sicherheit – wird in der breiten Öffentlichkeit gerne mit dramatischem Duktus diskutiert, wenn es einen neuen „Vorfall des Monats“ gegeben hat. In solchen blitzlichtartigen Momenten der Empörung scheint kein Aufwand zu groß, um ein erneutes Auftreten desselben unmöglich zu machen. In den Mühen des Informationssicherheits-Alltags hingegen scheint jede konkrete Maßnahme, sei sie monetär oder nur in Form einer scheinbaren Komplikation, unter dem Vorbehalt zu stehen, „ob dies denn jetzt wirklich nötig sei – es sei doch noch nichts passiert“.

Mir scheint es, als würde hier eine fruchtlose Diskussion wiederholt, die sich in einem anderen Feld – nämlich demjenigen des Qualitätsmanagements – bereits vor Jahrzenten abgespielt hat: Die Diskussion um die „Kosten der Qualität“, beziehungsweise jetzt: die „Kosten der Informationssicherheit“. Es hat viele Jahre und intensiver Diskussionen bedurft, ein allgemeines Verständnis der Kosten von NICHT-Qualität zu erzeugen und Aufwände für Qualität als Investition in anhaltende Kundenzufriedenheit und Kundenbeziehungen zu erkennen.

Wobei es sich im Feld der Informationssicherheit nicht nur um Kunden und deren Haltungen und Entscheidungen dreht. Vielmehr können Angriffe, aber auch Verstöße gegen geltende Regelungen und Gesetze, die Existenz ganzer Unternehmen gefährden. Vor diesem Hintergrund lohnt sich die Auseinandersetzung mit den Aufwendungen für Informations-/IT-Sicherheit, wie sie in diesem Buch in verschiedenen Facetten vorangetrieben wird. Es ist Prof. Achim Schmidtmann und seinen Studierenden zu danken, dass diese Aspekte einer offenen Diskussion zugeführt werden – hoffentlich mit dem Ergebnis, dass zukünftig von Investitionen in die Sicherheit anstatt von Kosten der InformationsUNsicherheit gesprochen wird.

Nachtrag - Wenige Tage nach dem Verfassen dieses Geleitwortes habe ich folgende Pressemitteilung gefunden:

Bielefeld, im September 2020

Torsten Moch

Senior Consultant QM/ITSM/ISMS

Dieser erste Abschnitt des Buches stellt neben der Motivation und dem Ziel den Aufbau dieses Sammelwerks kurz vor.

Motivation und Ziel

Die Idee zu diesem Buch entstand im Rahmen eines Seminars mit dem Oberthema „Kosten der IT-Sicherheit“ im Masterstudiengang Wirtschaftsinformatik an der FH Bielefeld im Sommersemester 2019. Ziel der Veranstaltung war es, dass die Studierenden sich mit diesem Thema eingehend beschäftigen und zu einem von ihnen selbst ausgewählten Unterthema eine Seminararbeit erstellen sollten. Außerdem war es auch ihre Aufgabe, die Ergebnisse ihrer Arbeit in einer Präsentation vorzustellen. Neben einer Einführung in das Thema IT-Sicherheit wurden den Studierenden folgende Anhaltspunkte für die Auswahl Ihres Seminarthemas gegeben:

(Vorgehens-)Modelle, Ansätze, Methoden zur Bestimmung der Kosten der IT-Sicherheit

Kosten durch die DSGVO

Kosten durch das IT-Sicherheitsgesetz

Kosten einer Zertifizierung (ISO/IEC 27000, BSI Grundschutz)

In den darauffolgenden Seminarterminen zeigte sich, dass dieses Thema für die Studierenden recht schlecht zu greifen war und ihnen somit die Auswahl eines Seminarthemas recht schwerfiel. Der Hauptgrund dafür lag in der begrenzten Zahl relevanter Quellen begründet. Ein wissenschaftlicher Diskurs zum Thema Kosten der IT-Sicherheit hat bisher nur eingeschränkt stattgefunden. Und genau aus diesem Grund kam auch die Idee auf, die Ergebnisse des Seminars in Buchform zu veröffentlichen, um damit einen breiteren Adressatenkreis zu erreichen und die Diskussion über dieses Themengebiet anzuregen und zu unterstützen.

Aufbau des Buchs

Das Buch umfasst sechs Beiträge zu verschiedenen Aspekten des Themas „Kosten der IT-Sicherheit“. Der erste Beitrag ist vom Herausgeber dieses Buches verfasst. Die folgenden fünf Beiträge sind Seminararbeiten von Studierenden des Wirtschaftsinformatik Masters der Fachhochschule Bielefeld.

Als Einstieg und gleichzeitig auch eine Art Themenüberblick ist der erste Beitrag „Kosten der IT-Sicherheit“ gedacht. Er propagiert mit dem erweiterten Regelkreis der IT-Sicherheitskosten einen systematischen und integrierten Ansatz.

Es folgt der Beitrag „Datenschutz als Kostenfaktor?“, der sich mit den Kosten eines DSGVO-konformen Systems also einer rechtssicheren Umsetzung aller Vorgaben und Regelungen der Datenschutz-Grundverordnung beschäftigt.

Im dritten Beitrag wird das Verfahren „Return on Security Investment“ zur Berechnung der Kosten der IT-Sicherheit eines Unternehmens analysiert und bewertet. Dabei werden Vor- und Nachteile abgeleitet und mögliche Verbesserungen und Erweiterungen benannt.

„Kosten der ERP-Sicherheit“ ist der Titel des vierten Beitrags, der sich spezielle mit diesen unternehmenskritischen Anwendungen, der Bewertung verschiedener Maßnahmen zu ihrer Absicherung und ihren Kosten auseinandersetzt.

Einen etwas breiteren Adressatenkreis spricht der fünfte Beitrag „Kosten der IT-Sicherheit im Smart Home“ an. Er stellt einerseits die Sicherheit aktueller Smart Home Geräte auch anhand einiger Beispiele und Vorfälle dar und geht andererseits auf die Kosten für Sicherheitsmaßnahmen im Bereich Smart Home ein.

Der abschließende Beitrag mit dem Titel „Ein Ansatz zur Kostenkalkulation für die Informationssicherheit von IoT-Geräten“ identifiziert einen Informationssicherheitsprozess für IoT-Geräte, welcher sich durch einen kostenkalkulatorischen Ansatz ganzheitlich bewerten lässt sowie eine Methode, um die anfallenden Kosten verursachungsgerecht zu verrechnen.

Den Abschluss des Buches bildet eine kurze Vorstellung der Autoren, eine Danksagung an alle die, die sich um dieses Buch besonders bemüht haben und ein paar Worte über die Wirtschaftsinformatik an der Fachhochschule Bielefeld.

Qualitätsgesichertes IT-Sicherheitsbudget auf Basis des erweiterten Regelkreises der IT-Sicherheitskosten

Autor: Achim Schmidtmann

Einleitung

Die Gefährdungen der IT-Sicherheit sind in den letzten Jahren auch durch vielfältige Berichte in den Medien für Unternehmen immer realistischer und greifbarer geworden und die Angst vor Angriffen, Datendiebstahl oder Produktionsausfällen ist stark angewachsen. Es ist also klar, dass an dieser Front etwas getan werden muss. Doch welcher genaue Nutzen und auch welche spezifischen Kosten durch bestimmte IT-Sicherheitsmaßnahmen verursacht werden, das ist häufig noch völlig unklar. Ein umfassender Maßnahmenkatalog zusammen mit einem nachvollziehbaren Kosten-/Nutzen-Vergleich wären in jedem Fall hilfreiche Grundlagen für IT-Sicherheitsentscheidungen, letzterer scheitert aber an den Schwierigkeiten der klaren Quantifizierung.

Der folgende Beitrag kann leider auch keine Zauberformel präsentieren, mit der auf Grundlage einer kleinen Auswahl unternehmensspezifischer Kennzahlen die Kosten der IT-Sicherheit exakt ermittelt werden können. Ebenso verhält es sich mit der Bestimmung des genauen Nutzens von Sicherheitsmaßnahmen. Vielmehr sollen hier Ansatzpunkte geboten werden, wie IT-Sicherheitsverantwortliche in Unternehmen geeignete Maßnahmen auswählen, sich einer Quantifizierung annähern und zu möglichst realistischen Bewertungen bzw. Kosten- und Nutzeneinschätzungen kommen können.

Um im Folgenden mit einer gemeinsamen Sprache zu sprechen, werden zuerst wichtige Begriffe kurz definiert bzw. gegeneinander abgegrenzt. Danach wird dargestellt, was es in Unternehmen zu schützen gilt. Damit eng verknüpft, folgt eine Darstellung der Bedrohungen und der durch sie verursachten Gefährdungen. Beides zusammen ermöglicht eine Einschätzung des Gefährdungsgrads und damit auch der Relevanz von IT-Sicherheit bzw. IT-Sicherheitsmaßnahmen für ein Unternehmen. Parallel dazu kann ein Benchmarking mit vergleichbaren Unternehmen stattfinden und zu einer ersten Kostenschätzung führen. Anschließend wird auf Basis dieser Einordnungen konstatiert, wie nun genau der Schutz erfolgen kann und mit welchen Maßnahmen im Unternehmen er verbunden ist. Dieses erfolgt mit Hilfe des erweiterten Regelkreises der IT-Sicherheitskosten. Er bildet das Fundament für eine genauere Kostenschätzung ebenso wie eine detailliertere Nutzenabwägung und damit ein qualitätsgesichertes IT-Sicherheitsbudget.

Kernbegriffe

Die Informationssicherheit umfasst die Sicherheit jeglicher Informationen im Unternehmen und damit z.B. auch des gesprochenen Wortes. Die IT-Sicherheit dagegen ist nur ein Teilbereich der Informationssicherheit und dabei auf die Informationstechnologie und digitale Informationen begrenzt. Da letztere aber immer wichtiger im Unternehmen werden sowie in fast allen Bereichen und für mehr und mehr Aufgaben (Digitalisierung) eingesetzt werden, was gerade aktuell durch die Corona Pandemie noch einmal verstärkt wurde, schwinden die Unterschiede. Die Verantwortung für die IT-Sicherheit liegt fast immer in Händen der IT-Leitung im Unternehmen. Da die Informationssicherheit, wie oben erläutert, über die IT hinausgeht, sollte sie eigentlich von übergeordneter Stelle verantwortet werden. Dieses ist jedoch häufig nicht der Fall und auch für sie zeichnet in vielen Unternehmen die IT-Leitung verantwortlich, was insbesondere in Bezug auf die generelle Bedeutung und das Bewusstsein für die Thematik im Unternehmen große Auswirkungen hat.

Der Begriff Datensicherheit ist mit dem Begriff Informationssicherheit gleichzusetzen und wird in der Folge synonym verwendet, auch wenn natürlich zwischen Daten und Informationen entsprechend des DIKW-Modells6 bzw. der Wissenspyramide zu unterscheiden ist. Somit befasst sich die Datensicherheit ganz generell mit dem Schutz von Daten sowohl digital als auch analog. Beim Datenschutz dagegen geht es nur um die Sicherheit von personenbezogenen Daten, so dass das Recht jedes Einzelnen auf informationelle Selbstbestimmung gewahrt bleibt und seine Daten vor missbräuchlicher Verwendung geschützt werden.

Schutzbedarf

Nach dem Bundesministerium für Wirtschaft und Energie (BMWi) geht es bei IT-Sicherheit um den „Schutz aller Teile eines IT-Systems vor unbefugtem Zugriff, Manipulationen oder Diebstahl. Geschützt werden müssen alle Teilsysteme, mit denen Informationen verarbeitet, genutzt und gespeichert werden: Dazu zählen Endgeräte, Betriebssysteme und Anwendungen, aber auch Server und Cloud-Dienste.“ Auf diese Weise werden natürlich sowohl die Daten und Informationen selbst als auch die damit verbundenen Personen (Datenschutz) und Unternehmenswerte (Assets) geschützt.

Als klassische Schutzziele der IT-Sicherheit werden in der Literatur insbesondere die folgenden benannt: Verfügbarkeit, Integrität und Vertraulichkeit. Dabei geht es um den unbefugten Informationsgewinn, die unbefugte Modifikation von Informationen und die unbefugte Beeinträchtigung der Funktionalität7. Darüber hinaus werden die Eigenschaften Authentizität, Zuverlässigkeit, Nichtabstreitbarkeit und Verbindlichkeit von Informationen ebenfalls häufig als relevant erwähnt.

Heutzutage sind mehr denn je der Schutz der IT-Systeme vor Ausfall und die notwendige Belastbarkeit der IT-Systeme grundlegend für die Aufrechterhaltung des Geschäftsbetriebs, die Business Continuity. Allerdings hat die Coronakrise gezeigt, dass Unternehmen nicht zwischen dieser Aufrechterhaltung des Geschäftsbetriebs und der Bewahrung der IT-Sicherheit (Information Technology Security Continuity) unterscheiden. Es werden Maßnahmen ergriffen, um den Geschäftsbetrieb aufrechtzuerhalten und den Mitarbeitern die Arbeit mit unternehmenskritischen Informationen auch im Homeoffice zu ermöglichen, ein ausreichender Schutz der Systeme und Informationen wird dabei aber häufig außer Acht gelassen8. Hier muss jederzeit ein sinnvoller Kompromiss zwischen Geschäftsbetrieb und einer ausreichenden Sicherheit gefunden werden, sonst sind Schäden möglich, die zu weitaus höheren Kosten führen als ein zwischenzeitlicher Ausfall des Betriebs.

Bedrohungen und Gefährdungen

Unter einer Bedrohung versteht man in der IT-Sicherheit eine Konstellation oder ein Ereignis, die oder das eine Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen bedingt und damit einen Schaden für den Besitzer bzw. Benutzer der Informationen zur Folge haben könnte. Der Wert der gefährdeten Assets sowie die voraussichtlichen Auswirkungen auf das Geschäft bilden die Grundlage zur Bewertung des Schadens. Eine Gefährdung entsteht dann, wenn ein gewisses Bedrohungspotential auf ein Schwachstelle trifft.9

Nach wie vor fühlen sich manche Unternehmen nicht ernsthaft von dem Risiko, Opfer eines Cyberangriffs zu werden, bedroht. Allerdings zeigten Zahlen des Branchenverbandes Bitkom bereits 2017, dass jedes zweite Unternehmen betroffen war. Die Cyber-Sicherheitsumfrage der Allianz für Cyber-Sicherheit (ACS) Betrachtungszeitraum 2018 kam zu dem Ergebnis, dass für 76% der Befragten Cyber-Angriffe das Potenzial bergen, betriebliche Prozesse zu beeinträchtigen.10 Der Verfassungsschutz zählte ebenfalls bereits 2018 alle drei Minuten einen Angriff auf eine Firma in Deutschland. Die Polizeiliche Kriminalstatistik wies in 2018 insgesamt 87106 Fälle von Cybercrime im engeren Sinne aus11.

Gleichzeitig rangieren Cyber-Vorfälle (39% der Antworten) im neunten Allianz Risikobarometer 2020 zum ersten Mal überhaupt als wichtigstes Geschäftsrisiko weltweit und verdrängen die mehrjährige Top-Gefahr Geschäftsunterbrechung (Business Interruption - 37% der Antworten) auf den zweiten Platz. Dieses liegt nicht zuletzt daran, dass sich Unternehmen zunehmend auf Daten und IT-Systeme verlassen und es in der jüngsten Vergangenheit eine Reihe von hochkarätigen Vorfällen zu verzeichnen gab.12

Die folgenden Ausführungen sollen neben der Mannigfaltigkeit der Gefährdungen auch die Breite der Untersuchungen und Darstellungen zum Thema IT-Sicherheit verdeutlichen. Insbesondere die Hersteller von Sicherheitssoftware und -hardware aber auch verschiedene Beratungsunternehmen berichten regelmäßig über den aktuellen Status der IT-Sicherheit und führen in festem Turnus Befragungen von Unternehmen respektive IT-Sicherheitsverantwortlichen durch. Dies führt zu einem umfangreichen Datenbestand, der sich allerdings sowohl in den ermittelten Werten als auch und insbesondere in der Auswahl und Interpretation dieser Daten teilweise nicht unerheblich unterscheidet. Im Folgenden wird aber nur eine Auswahl relevanter Daten angeführt.

Dem Kaspersky Security Bulletin 201913 ist zu entnehmen, dass 19,8% Computer von Einzelbenutzern im Laufe des Jahres mindestens einem Web-Angriff der Malware-Klasse ausgesetzt waren. Ca. 760.000 dieser Computer wurden von Verschlüsselungsprogrammen und ca. 2,3 Millionen dieser Computer wurden von Minern14 ins Visier genommen.

Die Ergebnisse des Kaspersky Global Corporate IT Security Risks Survey (ITSRS) 201915 zeigen für Unternehmen jeglicher Größe folgende Sicherheitsvorfälle auf den ersten Plätzen:

Unangemessene IT-Ressourcennutzung durch Mitarbeiter

Malware-Infektionen von firmeneigenen Geräten

Unangemessene gemeinsame Nutzung von Daten über mobile Geräte

Malware-Infektion von BYOD-Geräten (2018-19)

Physischer Verlust von firmeneigenen Geräten oder Medien

Physischer Verlust von firmeneigenen mobilen Geräten

Am meisten Sorge machen sich Unternehmen laut der Studie über Datenverluste infolge eines gezielten Angriffs, wohingegen Viren und Malware nur einen geringeren Anteil der Befragten beunruhigen.

Der 2020 Q1 Report Data Breach QuickView von Risk Based Security16 konstatiert, dass die Zahl, der im Q1 2020 aufgedeckten Datensätze auf 8,4 Milliarden in die Höhe schnellte. Das ist ein Anstieg um 273% im Vergleich zum Q1 2019. Der Anstieg wurde hauptsächlich durch einen Vorfall verursacht, bei dem 5,1 Milliarden Datensätze öffentlich zugänglich waren. Doch auch bereinigt um diesen Vorfall stieg die Zahl der Aufzeichnungen im Vergleich zum ersten Quartal 2019 immer noch um 48%. Ungefähr 70% der gemeldeten Verstöße waren auf unbefugten Zugang zu Systemen oder Diensten zurückzuführen, während etwa 90% der Daten ungeschützt im Internet zugänglich waren.

Das BSI spricht in seinem Lagebericht zur IT-Sicherheit 201917 von einer Zunahme der Qualität vieler Cyber-Angriffe und verweist auf die großen Fälle von Identitätsdiebstahl, die 2018/2019 für Aufmerksamkeit sorgten. Das Vorgehen der Angreifer wird dabei immer individueller. Gleichzeitig besteht weiterhin eine hohe Dynamik der Angreifer bei der (Weiter-)Entwicklung von Schadprogrammen und Angriffswegen.

Die oben bereits zitierte Cyber-Sicherheitsumfrage der Allianz für Cyber-Sicherheit (ACS) kam weiterhin zu dem Ergebnis, dass unter den befragten Organisationen 43% der großen Unternehmen und 26% der kleinen und mittelständischen Unternehmen im Betrachtungszeitraum 2018 von Cyber-Sicherheitsvorfällen betroffen waren. 87% dieser Betroffenen gaben an, dass es durch diese Vorfälle zu Betriebsstörungen oder gar -ausfällen kam. Neben diesen Kostenpositionen gaben 65% an, dass zusätzlich noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme angefallen sind und bei 22% kam es zu Reputationsschäden.18

Es zeigt sich also, dass es bei all diesen Sicherheitsvorfällen eine große Band-breite potenzieller und teilweise auch existenzieller Folgen gibt, die vom Verlust von Daten und Geräten über einen Imageschaden bis hin zur Bedrohung durch Produktions- und Betriebsausfälle reicht. Somit sind Investitionen in IT-Sicherheit in vielerlei Hinsicht gut angelegtes Geld und dringend erforderlich, da es in den meisten Unternehmen noch eine Vielzahl von Schwachstellen gibt und auch immer wieder neue hinzukommen.

Diese Schwachstellen lassen sich in drei Kategorien unterteilen:

Technische Mängel,

Organisatorische Mängel und

Menschliches Fehlverhalten

Zu den technischen Mängeln zählen alle Schwachstellen, die auf fehlerhafte Systeme, also Software, Hardware und/oder Netz-/Kommunikationsinfra-struktur zurückgehen. Nicht umgesetzte oder dokumentierte Prozesse, unbesetzte Rollen und nicht vorhandene oder unklare Strukturen sind die Schwachstellen, die sich unter organisatorische Mängel subsummieren lassen. Menschliches Fehlverhalten ob mit oder ohne Vorsatz stellt die dritte Gruppe der Schwachstellen dar und wird häufig auch als „Schwachstelle Mensch“ bezeichnet. In ihrem „Human Factor Report 2019“19 kommt proofpoint zu dem Ergebnis, dass in mehr als 99% aller beobachteten Cyberangriffe, Menschen die Schwachstelle darstellen. Systemschwachstellen werden nur in weniger als 1% ausgenutzt. Allerdings werden in diesem Report Schwachstellen aufgrund organisatorischer Mängel auch unter den „Human Factor“ gefasst. Falsch konfigurierte Cloud-Server, öffentlich zugängliche Cloud-Speicher oder nicht ordnungsgemäß gesicherte Backup-Speicher sind ebenso menschliche Fehler und erleichtern Verletzungen der IT-Sicherheit.

Es gibt einige Schwachstellen, auf die Angreifer häufiger zielen. Nachstehend finden Sie eine Liste der Top 5 Cyber-Sicherheitslücken, die Organisationen in diesem Jahrzehnt am meisten Schaden zugefügt haben20:

Endbenutzer

Endpunktsicherheit

Datensicherung und -wiederherstellung

Authentifizierungs-Management

Netzwerküberwachung

Auch diese Liste beinhaltet mit der Sicherheitslücke Endbenutzer die Schwachstelle Mensch. Der erste Angriffspunkt erfolgt in vielen Organisationen durch gezieltes Social Engineering, meist Phishing. Fehler von Endbenutzern stellen also eine der größten Bedrohungen bei Verstößen dar. Sie liegen in einem immer noch nicht durchgängig etablierten und durch regelmäßige Schulungen stetig aktualisierten Sicherheitsbewusstsein sowie dem Fehlen einer Validierung der Endbenutzer begründet.

Zwar verfügt die große Mehrheit aller Unternehmen heutzutage über eine Art von Endpunktschutz, in der Regel Anti-Viren-Tools, allerdings haben sich viele dieser Abwehrmaßnahmen für die Endpunktsicherheit als unzureichend und zu statisch erwiesen, um fortschrittliche Malware und Hacker abzuhalten, die auf Endbenutzer und Serverplattformen abzielen. Den aktuellen Tools fehlt es sowohl an flexibleren Präventions- und Erkennungsoptionen mittels Verhaltensanalyse als auch an einer dynamischen Echtzeit-Reaktionsfähigkeit auf derartige Vorfälle.

Der starke Anstieg von Ransomware21-Angriffen in den letzten Jahren hat die Schwachstelle Datensicherung und -wiederherstellung in den Fokus gerückt. Immer noch sind viele Organisationen in diesem Bereich nicht gut aufgestellt und vernachlässigen eine oder mehrere Facetten von Backup und Wiederherstellung, einschließlich Datenbankreplikation, Speichersynchronisierung oder Endbenutzer-Speicherarchivierung und -sicherung.

Die Schwachstelle Authentifizierungs-Management drückt sich in fehlerbehafteten Authentifizierungsprozessen und einer mangelnden Verwaltung von Berechtigungsnachweisen aus. Es wird z.B. nicht verhindert, dass Menschen immer wieder dasselbe Passwort verwenden, welches möglicherweise auch noch auf schwachen Passwortregeln basiert, und viele Systeme und Dienste schwache Authentifizierungspraktiken ohne Kontrollen und Eskalationsmöglichkeiten unterstützen.

Die Überwachung von Netzwerken stellt gerade in großen Organisationen eine besondere Herausforderung dar, da Hunderte oder Tausende von Systemen gleichzeitig innerhalb des Netzwerks kommunizieren und ausgehenden Datenverkehr senden können. Schwachstellen sind hier der Netzwerkzugang zwischen Systemen innerhalb von Subnetzen aufgrund einer schwachen Netzwerksegmentierung. Er ermöglicht seitliche Bewegungen zwischen Systemen, die nicht miteinander kommunizieren.

Wenn man nun diese Top 5 mit den drei vorher benannten Kategorien in Beziehung setzt, dann wirkt es erst so, als ob organisatorische Mängel nicht vertreten sind. Allerdings erkennt man bei genauerem Hinsehen, dass sich hinter vielen vordergründig technischen Mängeln gleichzeitig auch organisatorische Schwächen verbergen, denn die Technik wird nur eingesetzt, um Strukturen, Rollen und Rechte oder auch Richtlinien umzusetzen. Aufgabe für jedes Unternehmen ist es, die eigenen Schwachstellen mit dieser Hilfestellung und damit auch die Gefährdungen zu ermitteln.

Einschätzung des Gefährdungsgrads

Nachdem sich die Verantwortlichen im Unternehmen umfassend mit den Bedrohungen und Gefahren auseinandergesetzt haben, gilt es nun die Eintrittswahrscheinlichkeiten und das Schadenspotenzial zu ermitteln, um die letztendlichen Risiken für das Unternehmen und damit auch den Gefährdungsgrad zu bestimmen. Es geht um die Frage:

Schadenshöhe und Eintrittswahrscheinlichkeit können aber nur selten eindeutig gemessen werden, stattdessen basieren sie häufig auf statistischen Verfahren und Wahrscheinlichkeitsrechnung. Auf dieser Basis und unter Beachtung des angestrebten Sicherheitsniveaus findet dann eine Bewertung der Risiken statt und der „Risikoappetit“ wird festgelegt22. Dieses wiederum ermöglicht eine Entscheidung über und auch eine Priorisierung der Gegenmaßnahmen, die rechtzeitig ergriffen werden müssen, um negative Folgen zu vermeiden. Denn wie oben bereits dargestellt, kann bereits aus einem einzelnen Risiko ein großer finanzieller Schaden für das Unternehmen entstehen.

Dieser Schritt wird im Risikomanagement Risikosteuerung genannt. Hierzu stehen Maßnahmen aus den Kategorien Risikoreduktion, -diversifikation, -transfer, -vermeidung, und -vorsorge zur Verfügung.23 Außerdem müssen auch Grenzen festgelegt werden, bis zu denen ein Risiko aufgrund geringer Schadenshöhe toleriert wird. Denn bestimmte Zwischenfälle, auch wenn sie zu kurzfristigen Beeinträchtigungen des produktiven Betriebs führen, werden als normal erachtet und können im laufenden Betrieb behoben werden. Werden die Grenzen überschritten, so erfolgt eine Risikobehandlung, die personelle, organisatorische, technische und infrastrukturelle Maßnahmen umfassen kann.

Eine Reduktion der Häufigkeit und/oder des Schadensausmaßes durch den Einsatz von technischen Sicherheitsmechanismen, wie z.B. Firewalls oder Anti-Viren Tools und organisatorische Maßnahmen, die sowohl organisatorischen Mängeln als auch menschlichem Fehlverhalten entgegenwirken, sind das Ziel der Risikoreduktion.

Die Risikodiversifikation strebt eine Verringerung der Verlusthöhe durch den Einsatz unterschiedlicher technischer Systeme an, die nicht denselben Bedrohungen ausgesetzt sind. Eine hohe Standardisierung bedeutet leider häufig auch eine größere Gefährdung.

Das Thema Risikotransfer ist in den letzten Jahren stärker in den Vordergrund gerückt, da es mittlerweile einige Versicherungsprodukte, sogenannte Cyber-Policen, am Markt gibt, mit denen IT-Risiken abgesichert werden können. Allerdings gilt es für die Versicherungsnehmer sehr genau zu prüfen, welche Versicherung die richtige ist, wann der Schutz genau wirkt und unter welchen Bedingungen er erlischt. Gleichzeitig fordern Versicherer von ihren Klienten sowohl das Erfüllen von gewissen Sicherheitsstandards als auch und eng verknüpft damit ein gewisses Maß an eigener Risikosteuerung. Eine Studie von Sopra Steria Consulting24 aus dem Herbst 2018 ergab, dass von 308 befragten Unternehmen nur 17 Prozent eine Versicherung gegen durch Cyber-Vorfälle verursachte Schäden besitzen. Bei 22 Prozent ist der Abschluss einer entsprechenden Versicherung in Planung. 30 Prozent sehen das Thema aktuell nicht als relevant für sie an. Auf der anderen Seite war nach Aussage der Studie ein Drittel der befragten Unternehmen in den vergangenen zwölf Monaten Opfer eines Cyber-Angriffs und 39 Prozent haben in diesem Zeitraum mindestens einen mit IT-Sicherheit zusammenhängenden Vorfall registriert.