Das Risiko berechnen
Nach der initialen Bestandsaufnahme kommt die Analyse, in deren Zentrum vor allem eine Frage steht: Was kostet es, wenn tatsächlich ein Schaden entsteht? "Sich diese Zahl vor Augen zu führen, hilft ungemein bei der Bewertung, welche Summe man aufwenden will, um den Schaden zu vermeiden", so Krafft. "Die Risikoberechnung bei der Schutzbedarfsanalyse geht dabei immer davon aus, dass Unternehmen bereits in eine Grundsicherung investiert haben." Dieser Grundschutz der, je nach Größe und Komplexität der Daten, bis zu 50.000 Euro kosten kann, schirmt Unternehmen bereits vor einer Vielzahl von denkbaren Bedrohungen ab. Um einen realen Wert für das Risiko festzulegen, berechnet der Sicherheitsexperte nun die gewichtete Schadenssumme. Sie setzt sich zusammen aus dem Gesamtschaden (alle Kategorien und Schadensummen) multipliziert mit der Wahrscheinlichkeit des Eintretens.
Im Beispiel sieht das so aus: Die Analyse ergibt, dass eine CAD-Datei, die ein wichtiges Bauteil eines Produktes abbildet, zwei Bedrohungen ausgesetzt ist:
1. Sie wird bewusst manipuliert. Die Folge: das Bauteil geht kaputt. Für das Unternehmen bedeutet das: Ersatzleistung, erhöhten Serviceaufwand und gegebenenfalls auch einen Imageverlust. Addiert man die Kosten für den Ersatz des Bauteils, den Mehraufwand im Service und der Imagekampagnen, die das Unternehmen aufsetzen muss, kommt man zum Beispiel in etwa auf eine Summe von 3,2 Millionen Euro. Die Wahrscheinlichkeit, dass dieses Szenario eintritt, liegt bei etwa zehn Prozent, somit ergibt die gewichtete Schadensumme für Bedrohungsszenario 1: 32.000 Euro.
2. Die Datei wird entwendet, um das Bauteil zu fälschen. Die Folgen sind Umsatzverluste und Imageschäden. Die Summe aus Umsatz- und Imageverlusten kann hier, je nach Bauteil, etwa 5 Millionen Euro betragen, was eine gewichtete Schadensumme von 2,5 Millionen Euro bedeutet.
Die Wahrscheinlichkeit, dass dieses Szenario eintritt, ist recht hoch. So erleide die deutsche Wirtschaft knapp zwölf Milliarden Euro Schaden durch Spionage, so eine Studie des Unternehmens Corporate Trust "Industriespionage 2014 - Cybergeddon der deutschen Wirtschaft durch die NSA und Co?" Vor allem die zunehmende Vernetzung von Unternehmen auch aus dem Mittelstand macht es den Spionen und ihren Auftraggebern oftmals leicht. Fast 50 Prozent der betroffenen Firmen registrierten Hackerangriffe auf Server, Laptops, Tablets und Smartphones. Bei 41 Prozent wurden E-Mails oder Faxe mitgelesen, vermuten die Geschädigten.
Auswertung
Nun geht es an die Auswertung des Risikoportfolios. Eine Matrix visualisiert, an welchen Stellen Handlungsbedarf in Sachen Sicherheitsanforderungen besteht:
Die abzuleitenden Maßnahmen sind freilich sehr stark an den konkreten Kontext im Unternehmen gebunden. Eines ist aber klar: Wenn die Summe meiner Schutzmaßnahmen steigt, muss der Angreifer diese Summe erst einmal investieren, um mir einen Schaden zuzufügen. Gibt es also eine Maßnahme, für die ein Unternehmen zwar 150.000 Euro aufwenden muss, der Schaden sich aber von 2,5 Millionen auf ein akzeptables Risiko senkt, liegt die Umsetzung nahe.
"Wichtig ist, die 'Mauer' für den Angreifer so zu erhöhen, dass er gar nicht erst investiert, um hinter sie zu gelangen", erklärt Krafft. "Oft sind es auch schon kleine Maßnahmen, die eine Wirkung zeigen, wie die Einführung einer strengeren Password Policy, einem regelmäßigen Einspielen von Softwareupdates oder einem Firewall-Check." Aber klar ist: Ein geringer Invest in die IT-Sicherheit steigert die Wahrscheinlichkeit für Angriffe und erhöht damit auch die Schadensumme. Fakt ist auch: Sicherheit kostet. Die Frage lautet für den IT-Verantwortlichen also nicht: Schutz oder Nichtschutz? Für ihn lautet sie viel eher: Intelligenter Schutz auf Basis eines berechneten Risikos - oder Absicherung nach dem Gießkannen-Prinzip? (sh)
8 Schritte zur richtigen Entscheidung
- Summierung der Ergebnisse
= Summe, die ein Unternehmen investieren sollte, um Risiken zu vermeiden - Auswertung des Risikoportfolios
- Risikoberechnung für alle Schutzobjekte
- Schätzung der Wahrscheinlichkeit für die Bedrohung je Schutzobjekt
- Kostenkategorien festlegen
Was kostet es, wenn der Schaden entsteht? - Schätzung und Begründung des Schutzbedarfs für die jeweilige Bedrohung
- Einteilung der Schutzobjekte in Bedrohungskategorien nach dem VIVA-Prinzip
(Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität) - Identifikation der Schutzobjekte