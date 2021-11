Cybersicherheit ist keine gewinnbringende Investition, sondern sie hilft dabei, Verluste zu verhindern. Erschwerend kommt hinzu, dass es trotz aller Security-Maßnahmen zu erfolgreichen Cyberattacken kommt. Wie eine Umfrage des Cybersicherheitsunternehmens Kaspersky zeigt, erlitten im vergangenen Jahr 38 Prozent der großen Unternehmen mindestens einen zielgerichteten Cyberangriff.

Dabei verfügt über die Hälfte (52 Prozent) von ihnen über eine eigene Security-Abteilung, 20 Prozent haben sogar ein internes Security Operations Center (SOC), das für die kontinuierliche Überwachung und Reaktion auf Sicherheitsvorfälle zuständig ist.

Für manche Unternehmen stellt sich deshalb nicht nur die Frage, wie hoch das Budget sein sollte, das man in seine Cybersicherheit investiert, sondern man fragt sich, ob sich die Investitionen in die Security wirklich lohnen.

"Viele Kunden investieren Millionenbeträge in einen IT-Basisschutz, achten aber nicht darauf, diese Investments auch vollends auszunutzen", erklärt Uwe Kissmann, Managing Director Cyber Defence Services Accenture EMEA. "Im Grunde handelt es sich hierbei um eine rein ökonomische Diskussion: Wie stelle ich sicher, dass bereits getätigte Investitionen ihr Potenzial entfalten dies auch zukünftige Investionen in Cybersecurity optimal tun?"

Hierzu empfiehlt der Security-Experte und frühere CISO Kissmann:

"Es ist entscheidend, nicht nur in einen statischen Schutz zu investieren, sondern Ressourcen, Prozesse und Technologie bereitzustellen, die es ermöglichen, lückenlose Detektion von denkbaren Einfallstoren zu betreiben. Damit einher geht auch - im Falle eines Angriffs - eine saubere Response-Strategie zu entwickeln. Gleichermaßen statischen und dynamischen Schutz zu etablieren, dient dem maximalen Nutzen von Investitionen in Cybersecurity."

Detection and Response: Schutz muss proaktiver werden

Es ist jedoch eine falsche Annahme von Security, wenn erfolgreiche Cyberattacken als Zeichen dafür gesehen werden, dass sich Investitionen in Cybersicherheit nicht lohnen würden.

Vielmehr muss man davon ausgehen, dass jedes Unternehmen erfolgreich angegriffen werden kann und auch angegriffen wird. Das richtige Verständnis von Cybersecurity ist deshalb nicht auf den Schutz vor Angriffen (Protection) beschränkt, sondern es bezieht insbesondere die Erkennung (Detection) von erfolgreichen Attacken und deren Abwehr (Response) mit ein.

Das Ziel der Cybersicherheit ist es dabei, erfolgreiche Cyberangriffe so schnell wie möglich zu erkennen und die möglichen Folgen so gering zu halten wie möglich.

Bob Bragdon

Bob Bragdon is the SVP and Managing Director of CSO – the IDG brand which helps strategically-focused security executives balance risk with business opportunity. He works closely with risk management and security leaders, as well as security solutions providers to identify, interpret and address the challenges of today's complex security and risk management environments. He has been with IDG since 2002 when he joined as CSO’s Founding Publisher. Mareike Gehrmann

Mareike Christine Gehrmann ist Salary Partner bei der Wirtschaftskanzlei Taylor Wessing und Fachanwältin für Informationstechnologierecht. Mit ausgewiesener Expertise aus zahlreichen Digitalisierungsprojekten berät sie ihre Mandantschaft zu Datenschutz, Cybersecurity und zum IT-Vertragsrecht. Agile Programmierung, SaaS, IT-Sourcing, Lizenzmanagement und Open Source gehören zu ihrem täglichen Geschäft. Ferner arbeitet sie grenzüberschreitend mit dem niederländischen Team von Taylor Wessing zusammen und berät vor allem niederländische Unternehmen beim Eintritt in den deutschen Markt. Mareike Christine Gehrmann publiziert, hält Vorträge und ist Mitglied im Expertennetzwerk "IT-Compliance, IT-Recht und IT-Security" der Computerwoche. Seit dem Wintersemester 2021/2022 ist sie Lehrbeauftragte an der Hochschule Niederrhein für "Verwaltungs- und IT-Recht" im Studiengang "BCSM Cyber Security Management (B.Sc.)". Christian Milde

Christian Milde ist Geschäftsführe Central Europe bei Kaspersky. Er verfügt über zwanzig Jahre Erfahrung in den Bereichen IT und Cybersicherheit. Uwe Kissmann

Uwe Kissmann leitet seit 2016 die Accenture Cyber Security Services für Accenture in Europa, Afrika und Latein-Amerika. Er ist Experte für die Umsetzung hoch entwickelter Sicherheitsarchitekturen, die operative, finanzielle und geschäftsrelevante Aspekte erfolgreich mit den technologischen Anforderungen vereinen.

So betragen laut der internationalen Kaspersky-Studie "IT Security Economics 2021: Managing the trend of growing IT complexity" die durchschnittlichen Kosten einer Datenschutzverletzung derzeit bei kleinen und mittleren Unternehmen 106,577 US-Dollar.

Großunternehmen müssen mit noch höheren Schäden rechnen. So gaben die befragten Unternehmen innerhalb der Studie an, dass ein IT-Sicherheitsvorfall sie im Durchschnitt auf Enterprise-Ebene 1,06 Millionen US-Dollar betrug.

Die gute Nachricht: Im Jahr zuvor zeigten sich noch erhebliche Auswirkungen bei zeitnaher Entdeckung von Sicherheitsvorfällen. Wenn beispielsweise ein IT-Sicherheitsvorfall eine Woche lang unentdeckt blieb, stiegen die Kosten signifikant an.

"Unsere Studie zeigt eine erfreuliche Trendumkehr: Die Unternehmen sind bei der Entdeckung von Cybersicherheitsvorfällen besser geworden - auch in puncto Schnelligkeit. Auch wenn die Folgekosten im Schadensfall nach wie vor gewaltig sind, lassen sie sich durch eine bessere und frühzeitige Erkennung minimieren. Dies kann über die Einbindung externer IT-Sicherheitsexperten und den Einsatz passender Lösungen erreicht werden", so Christian Milde, Geschäftsführer Central Europe bei Kaspersky.

Um einen Vorfall frühzeitig zu erkennen und abzuwehren, und so die Kosten niedrig zu halten, benötigen Unternehmen mehr Fähigkeiten in den Bereichen Detection and Response, gerade im Bereich Endpoints, da diese im Fokus der meisten Cyberattacken stehen.

Unter Endpoint Detection & Response (EDR) versteht man Endpoint-Sicherheitslösungen, die die System- und Nutzungsdaten der überwachten Endpoints sammeln, verdichten, speichern und auswerten. Die Endpoint-Analysen liefern Hinweise auf verdächtige Ereignisse und ermöglichen Warnungen vor möglichen IT-Sicherheitsvorfällen, wie zum Beispiel einem Hackerangriff auf die Endgeräte.

EDR erkennt mögliche Attacken nicht auf Basis von Signaturen, wie es klassische Anti-Malware macht, sondern durch eine Bestimmung des normalen Verhaltens der einzelnen Endpoints und der Überwachung, ob sich Anomalien bei den Endgeräten zeigen. Dadurch lassen sich auch bisher unbekannte Angriffstechniken besser erkennen, da sie zu einem veränderten Verhalten bei der Nutzung von Prozessen, Funktionen und Applikationen der Endpoints führen. Managed Services für EDR werden Managed Detection and Response (MDR) genannt.

"Das Risikoumfeld für Unternehmen ist im Zuge der digitalen Transformation sowie der durch die Pandemie verursachten Veränderungen am Arbeitsplatz immer komplexer geworden", so Bob Bragdon, SVP/Managing Director of CSO, mit Blick auf den Bedarf für neue Security-Ansätze. "Unternehmen, die weiterhin nur auf Sicherheitsrisiken reagieren anstatt zu agieren, nehmen direkte Auswirkungen auf ihren Umsatz in Kauf. Diese negativen wirtschaftlichen Folgen werden die Investitionen in eine proaktive Cybersicherheit immer überwiegen".

Bob Bragdon empfiehlt Unternehmen deshalb: "Sie müssen sich auf die Grundlagen konzentrieren: Halten Sie ihre Technologie auf dem neuesten Stand, halten Sie sie richtig konfiguriert und verwenden Sie ein risikobasiertes Modell, um Technologieinvestitionen zu priorisieren. Da die meisten Angriffe auf den Endpunkt abzielen, ist die Verwendung von EDR, MDR und externer Expertise die Basis für proaktive IT-Sicherheit ".

Compliance: Vorfälle früher erkennen, auch um Meldepflichten einzuhalten

Die IDC Studie zu Cyber Security 2020+ berichtet von steigenden Budgets für Cybersicherheit in Zeiten der Corona-Pandemie.

Dabei sind es auch gerade Compliance-Themen, die Unternehmen zu einer Budgetsteigerung in der Security bewegen. "Das ist zumindest unsere Beobachtung bei unseren Mandanten, sei es im Hinblick auf IT-Sicherheit, aber auch im Hinblick auf andere Themen, wie Datenschutz, Lieferkettengesetz, KYC-Checks, etc", erklärt Rechtsanwältin Mareike Gehrmann, Fachanwältin für Informationstechnologierecht.

EDR und MDR ermöglichen es, Angriffe und damit insbesondere auch die Datenschutzverletzungen früher zu erkennen und abzuwehren. Damit lassen sich auch mögliche Sanktionen und Bußgelder durch die zuständige Aufsichtsbehörde für den Datenschutz reduzieren oder vermeiden, die fällig werden, wenn eine Datenschutzverletzung nach DSGVO (Datenschutz-Grundverordnung) zu spät oder gar nicht gemeldet wird.

Die DSGVO sieht bei einem Verstoß gegen den Datenschutz mögliche Sanktionen und Bußgelder in einer Höhe vor, die gerade für den Mittelstand existenzgefährdend sein könnten. So können durch die Aufsichtsbehörden Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Externe Unterstützung gegen Fachkräftemangel und Überlastung der Security-Analysten

Der Bedarf für neue Ansätze in der Security wird auch an anderer Stelle sichtbar: Die Cyberattacken werden immer komplexer und raffinierter, während bei den Unternehmen ein Mangel an Security-Fachkräften herrscht und das Wissen über die dynamische Bedrohungslage spürbar eingeschränkt ist. Das gilt für den Mittelstand genauso wie für größere Unternehmen.

Um dem Mangel an Security-Fachkräften und -Wissen zu begegnen, setzen Unternehmen zunehmend auf die Services eines Cybersecurity-Dienstleisters.

"Sowohl für Detection als auch Response sind Experten mit einem sehr hohen Spezialisierungsgrad und vor allem permanent aktuellen Informationen gefragt, die diese Themen sauber bespielen können", so der Rat des Security-Fachmanns Uwe Kissmann. "Ein professioneller Hacker erzeugt oft so viel Aufmerksamkeit wie der oft bemühte umgefallene Sack Reis in zehntausend Kilometern Entfernung. Bevor man als Hacker das Risiko eingeht, erwischt zu werden, macht man lieber einen defensiven Zug, um unter dem Erfassungsbereich zu bleiben. Und irgendwann entdecken Unternehmen dann ganz erstaunt, dass sich seit Jahren Unbekannte in ihren Systemen tummeln, ohne je bemerkt zu werden".

Doch Attacken lassen sich durchaus aufspüren, wie Kissmann zu berichten weiß: "Oftmals gibt es aber Indikatoren, die übersehen, nicht verstanden oder fehlinterpretiert wurden. Experten, die Systeme nicht nur zu Bürozeiten, sondern 24/7/365 überwachen und die über einen aktuellen und sehr spezialisierten Wissensstand verfügen, können hier Abhilfe schaffen.

Externe Unterstützung rechnet sich: Detection and Response optimieren

Externe Unterstützung in der Security macht insbesondere dort Sinn, wo sich die Erkennung und Abwehr von Cyberangriffen optimieren und beschleunigen lassen.

Für den Mittelstand bietet Managed Detection and Response (MDR) den Zugang zu "externen Cybersicherheitsexperten", die es ermöglichen, zusätzliche Sicherheitsmaßnahmen zu ergreifen, ohne neue Mitarbeiterinnen und Mitarbeiter einstellen zu müssen, für die entsprechende Budgets verfügbar sein müssten.

Die Auslagerung von Detection and Response kann sowohl mittleren als auch großen Unternehmen helfen, die Erkennung und Abwehr zu verbessern: MDR schützt durch eine proaktive Rund-um-die-Uhr-Überwachung und Expertenwissen sowie externe Bedrohungsintelligenz (Threat Intelligence) selbst gegen fortschrittliche und schwer zu erkennende Bedrohungen.

Kaspersky Managed Detection and Response richtet sich an Unternehmen, denen die entsprechenden Ressourcen fehlen, und bietet alle wesentlichen Vorteile eines ausgelagerten Security Operations Center (SOC). Hierbei sind keine speziellen Fähigkeiten der internen Teams für die Bedrohungserkennung und Vorfallanalyse erforderlich, was besonders für mittelständische Unternehmen relevant ist.

Der Service wird durch Erkennungstechnologien sowie umfangreiches Fachwissen im Bereich Threat Hunting und Incident Response professioneller Abteilungen von IT-Sicherheitsexperten ergänzt. Darüber hinaus ist der Service mit der Lösung AI Analyst ausgestattet, die automatisch Angriffe auswertet und den SOC-Analysten dadurch ermöglicht, sich auf die wichtigsten Warnsignale bezüglich aktueller Kompromittierungen zu konzentrieren.

"Unternehmen ohne dedizierte Sicherheitsteams sollten in Erwägung ziehen, in EDR-Lösungen und verwaltete Erkennungs- und Reaktionsdienste zu investieren, in Form von MDR", so Christian Milde, Geschäftsführer Central Europe bei Kaspersky. "Externe SOC-Experten mit fundierter Expertise in der Erkennung und Untersuchung zielgerichteter Angriffe erkennen verdächtige Aktivitäten im Unternehmensnetzwerk, analysieren diese und melden einen Vorfall. Dies bedeutet, dass ein Angriff in einem frühen Stadium entdeckt und der Kunde zum Beispiel vor einem Ransomware-Angriff bewahrt wird."

Aber auch Unternehmen mit einem internen SOC können von Managed Detection and Response profitieren: "Besonders ein MDR-Dienst mit tiefgreifender Threat Intelligence kann eine Zweitmeinung liefern, selbst wenn die Organisation bereits über ein eigenes SOC-Team verfügt", fügt Christian Milde, Geschäftsführer Central Europe bei Kaspersky hinzu.

Bei großen Unternehmen kann die Auslagerung von Detection and Response als "verlängerter Arm" des internen Security Operations Center (SOC) oder der internen Security-Abteilung verstanden werden. Das interne SOC hat naturgemäß eine begrenzte Sicht, denn die eigene Security Intelligence basiert auf der eigenen, überwachten Infrastruktur und den eigenen Security-Sensoren.

Herausforderung: Wie misst man überhaupt die Kosten von Cybersicherheit?

Eine mögliche Antwort liefert ROSI, so ENISA, die EU-Agentur für Cybersicherheit. ROSI steht für Return on Security Investment, also die Rendite von Sicherheitsinvestitionen. Die Wirkungen in Bezug auf die Risikominderung zeigen den Nutzen einer Sicherheitsinvestition: Es handelt sich im Grunde genommen um eine "Einsparung an gefährdeten Werten", die durch eine Minderung des mit Finanzwertverlusten verbundenen Risikos entsteht, so ENISA. Die ROSI-Formel wurde durch ein Team der University of Idaho unter Leitung des Wissenschaftlers HuaQiang Wie entwickelt. Verwendet wurden dabei die vorhandenen Messgrößen aus dem Bereich der Informationssicherheitsinvestitionen, die mit einigen eigenen Theorien kombiniert wurden, wobei allen Faktoren - von materiellen Vermögenswerten bis hin zu immateriellen Vermögenswerten - Werte zugewiesen wurden. ROSI = R – (R-E) + T oder ROSI = R - ALE R: Pro Jahr für die Aufarbeitung einer beliebigen Zahl von sicherheitsrelevanten Vorfällen anfallende Kosten. E: Jährliche finanzielle Einsparungen infolge der Senkung der Zahl der sicherheitsrelevanten Vorfälle durch Einführung der Sicherheitslösung. T: Jährliche Kosten der Sicherheitsinvestition. ARO: Maß für die Wahrscheinlichkeit, dass ein Risiko in einem Jahr eintritt (Annual Rate of Occurrence) SLE: der erwartete Geldbetrag, der bei Eintritt eines Risikos verloren geht (Single Loss Expectancy) ALE: Jährliche Verlusterwartung (Annual Loss Expectancy) ALE = SLE*ARO Eine Beispiel-Rechnung: Das Unternehmen Muster GmbH erwägt, in eine Security-Lösung zu investieren. Jedes Jahr erleidet die Muster GmbH fünf Cyberangriffe (ARO=5). Der Sicherheitsverantwortliche schätzt, dass jeder Angriff zu ungefähr 15.000 Euro Verlust führt (SLE=15.000). Die Security-Lösung wehrt zum Beispiel mindestens 80 Prozent der Angriffe ab (Mitigation Ratio=80%) und kostet 25.000 Euro pro Jahr (Lizenzgebühren 15.000 Euro + 10.000 Euro für Schulungen, Installation, Wartung usw.). Der Return on Security Investment für diese Lösung berechnet sich dann wie folgt: ROSI = ((5*15.000)*0,8 – 25.000) / 25.000 = 140 % Nach der ROSI-Berechnung ist diese Security-Lösung eine kosteneffektive Lösung und lohnt sich somit wirtschaftlich. Und wie hoch sind die Kosten durch IT-Sicherheitsvorfälle? Wie hoch die dagegen gestellten Ausgaben? Laut der internationalen Kaspersky-Studie "IT Security Economics 2021: Managing the trend of growing IT complexity" stellen sich die durchschnittlichen Kosten von IT-Sicherheitsvorfällen für mittelständische sowie große Unternehmen wie folgt dar. So haben sich seit 2017 die Kosten für SMBs pro IT-Sicherheitsvorfall Dollar eingependelt. Im Enterprise-Bereich stellen sich die Kosten wie folgt dar: "Unsere Studie zeigt, dass State-of-the-Art-Ansätze im Security-Bereich wie EDR und MDR wirken", so Christian Milde, Geschäftsführer Central Europe bei Kaspersky. "Bei den von uns befragten Unternehmen haben sich Folgekosten von IT-Sicherheitsvorfällen – im Vergleich zu den Vorjahren – gesenkt. Die zunehmende Investitionsbereitschaft der letzten Jahre hat einen positiven Effekt – finanzielle Schäden eines Cybersicherheitsvorfalls lassen sich erfolgreich reduzieren." Die Entwicklung der IT-Sicherheitsbudgets weltweit seit 2017 haben sich im SMB- und Enterprise-Bereich erhöht und machen mittlerweile über ein Viertel des gesamten IT-Budgets aus. "Sowohl kleine und mittelständische als auch große Unternehmen haben die Möglichkeit, durch strategische Investitionen in externe Expertise und Services, zeitgemäße Lösungen wie EDR oder MDR und für das eigenen Unternehmen jeweils passende Security-Layer wie Cloud-Schutz zu investieren, um in einer immer komplexer werdenden Bedrohungslandschaft bestehen zu können.," so Christian Milde, Geschäftsführer Central Europe bei Kaspersky.

Ob man als CISO die Methode ROSI nutzen sollte oder nicht, daran scheiden sich die Geister.

"Bei der strategischen Beratung auf C-Level ist ROSI -nebst anderen Ansätzen - Kern der Diskussion", berichtet Accenture-Manager Uwe Kissmann. "In vielen Fällen wollen die Gesprächspartner in der Lage sein, auf einem Excel-Sheet die Effektivität und Effizienz ihre Cybersecurity-Strategie in Zahlen ablesen zu können. Mithilfe davon kann man einfach nachvollziehen, inwiefern die Cybersecurity-Budgets nachhaltig wirksam alloziert sind".

Kissmann begründet die Bedeutung der ökonomischen Sicht: "Im Falle von Cybersecurity fährt man am besten, wenn man die mehrheitlich technologische Perspektive unbedingt auch um eine ökonomische Perspektive erweitert. Hier hilft ROSI sehr stark und schafft auch die ökonomische Grundlage für einen nachhaltigen effizienten Schutz. Es darf aber nicht vergessen werden, dass quantifizierende Methoden im Cyberbereich häufig nur teilweise greifen. Hier muss der Ansatz sinnvoll ergänzt werden".

Anders sieht dies Stefan Wittjen, CISO bei Vivantes Netzwerk für Gesundheit GmbH: "Mir ist die ROSI-Debatte zu akademisch, und ich bin froh, dass ich solche Zahlenspiele in der Regel nicht durchexerzieren muss. Wenn unsere Krankenhäuser aufgrund von Vorfällen durch mangelhafte Sicherheitsmaßnahmen die Türen schließen müssen, fragt keiner mehr danach, welche Maßnahmen sich mehr oder weniger gelohnt hätten."

"Investitionen in Cybersicherheit und insbesondere in Detection and Response zahlen sich aus und können auch kostengünstiger über externe Sicherheitsexperten wie Kaspersky ausgelagert werden", so Christian Milde, Geschäftsführer Central Europe bei Kaspersky. "Dadurch werden Security- und HR-Budgets weniger belastet und gleichzeitig Cyberbedrohungen zuverlässiger und schneller erkannt, wodurch sich Folgeschäden deutlich verringern lassen."

