Im Laufe des Jahres 2020 und bis heute im Jahr 2021 haben wir gesehen, wie die Informationssicherheit jeden Tag mehr und mehr zu einem Eckpfeiler der Geschäftskontinuität wird. Unabhängig von der Branche und davon, ob es sich um eine öffentliche oder private Organisation handelt, ist der Einsatz von Computersystemen so sehr mit dem Rest der Prozesse verflochten, dass deren Ausfall die Produktivität strukturell beeinträchtigt und zu erheblichen Versorgungsproblemen in kritischen Bereichen führen kann.

Es heißt oft, dass die Informationssicherheit teuer ist. Aber auch wenn sie uns kostspielig vorkommt, benötigen wir etwas zum Vergleichen, um einschätzen zu können, ob etwas teuer oder billig ist. Für viele Produkte und Dienstleistungen ist dieser Vergleich relativ einfach, weil wir den direkten Nutzen sehen können, den sie uns bringen: Eine Dienstleistung kann 15.000 Euro im Jahr kosten, aber wenn wir berechnen, dass der Nutzen, den wir daraus ziehen, 30.000 Euro im Jahr beträgt, kann es uns günstig erscheinen. Die Berechnung der Amortisation von Investitionen in Informationssicherheit ist jedoch keineswegs trivial, da ihr Nutzen nicht in Gewinnen, sondern in der Vermeidung von Verlusten zu sehen ist.

Wenn wir als Beispiel die Attacke gegen das US-Unternehmen Colonial nehmen, sehen wir, dass mithilfe der die dort eingesetzten Ransomware im Jahr 2021 eine Zahlung von mindestens 5 Millionen Dollar in Bitcoins erpresst worden ist (von denen das FBI jedoch Bitcoins im Wert von ca. 2,3 Millionen Dollar zurückerobern konnte). Hinzu kommt der Geschäftsausfall vom 6. bis 9. Mai 2021, außerdem die Auswirkungen auf nationaler Ebene, da es sich um eine kritische Infrastruktur handelt. Und nicht zu vergessen die Auswirkungen der Rufschädigung (die Untersuchung des Angriffs hat sogar den US-Kongress beschäftigt).

Ein ähnliches Beispiel ist der Angriff auf den multinationalen Fleischkonzern JBS, bei dem ein Lösegeld von schätzungsweise 11 Millionen Dollar in Bitcoins gezahlt wurde. Auch hier kommen die Kosten für den Verlust von Geschäften und Waren hinzu - bedenken Sie, dass Fleisch ein verderbliches Produkt ist - sowie die Auswirkungen auf den Ruf.

Dann ist da noch der Fall von Electronic Arts. Am 10. Juni meldete das Unternehmen einen Sicherheitsvorfall in seinen Computersystemen, bei dem Angreifer laut Presseberichten den Quellcode für das Spiel FIFA21 und die Frostbite-Spiele-Engine mit mehr als 780 GB Daten gestohlen hatten. Diese beiden Softwareprodukte sind Schlüsselwerte des Unternehmens: das eine als Verkaufserfolg und das andere als Entwicklungswerkzeug. Dies macht es schwer, den Umsatzverlust durch die Piraterie der Software, sowohl in der Gegenwart als auch in der Zukunft, genau zu quantifizieren.

Daher ist die Rolle aller Zweige der Informationssicherheit (Design und Architektur von Anwendungen und Systemen, Beratung, Compliance, Vorfallsreaktion, Überwachung, Computerforensik und Auditing) entscheidend, um zu versuchen, die Gefährdung der Organisationen so weit wie möglich zu reduzieren, d. h. einen Angriff für Angreifer unrentabel zu machen, da das Kosten-Nutzen-Verhältnis für sie sehr gering wird.

Außerdem ist zu bedenken, dass alle diese Aktivitäten in einem Zyklus ablaufen. Die Technologie entwickelt sich bekanntlich mit großer Geschwindigkeit weiter. Das bedeutet, dass die heute eingeführten Maßnahmen möglicherweise nicht die gleichen sind wie die, die wir vor sechs Monaten oder in sechs Monaten ergriffen hätten. Und um in diesen Zyklen immer obenauf zu schwimmen, sind Teams mit großem technischen Wissen gefragt, die zudem die konkreten Bedürfnisse des Unternehmens nicht aus den Augen verlieren.

Aus all diesen Gründen empfehlen wir bei GMV die Entwicklung spezifischer Programme für unsere Kunden, die sich auf ihre Bedürfnisse und ihren aktuellen Zustand konzentrieren, um ihnen zu helfen, eine Internetsicherheitsreife zu erlangen, mit der das Kosten/Nutzen-Verhältnis potenzieller Angreifer so weit wie möglich reduziert wird.

Diese Programme sollten immer mit einer Anfangsdiagnose beginnen, um herauszufinden, in welchem Zustand sich die Organisation befindet und zu definieren, was sie braucht. Da wird es Fälle geben, in denen der Fokus auf die ersten Phasen gelegt werden muss: Neugestaltung von Architekturen und Prozessen. In anderen Fällen sind eine stärkere Überwachung und leistungsfähige Cyber-Abwehrdienste erforderlich. Andere müssen regelmäßig den Grad ihrer Gefährdung überprüfen. Aber meist ist die Antwort eine Kombination aus allen oben genannten Maßnahmen, um zu verbessern, in was das Unternehmen bereits investiert hat, und zu implementieren, was noch fehlt.

Wie eingangs gesagt, heißt es oft, dass die Informationssicherheit teuer ist. Aber in Wirklichkeit werden bei dieser Aussage die Kosten der Implementierung mit den laufenden Kosten verglichen. Bis man nicht selbst einem Angriff um Opfer gefallen ist, sind die Kosten für die Implementierung von Maßnahmen im Vergleich zu den Kosten eines erfolgreichen Angriffs nur sehr schwer oder vielleicht sogar unmöglich zu quantifizieren. Dieser Vergleich jedoch setzt die hohen Kosten für Informationssicherheit in eine bessere Perspektive, wenn man betrachtet, wie viel Geld ein Angriff kosten würde, wenn der Schaden nicht verhindert werden kann.

 

Paula González

Leiterin der Audit-Abteilung von e-Solutions bei GMV