Wie viel darf Informationssicherheit kosten?

“Darf es ein bisschen mehr sein?” Ich erinnere mich noch sehr gut an den Standard-Satz unseres Dorf-Metzgers im kleinen Dorf im St. Galler Rheintal, in dem ich aufgewachsen bin. Auf die Gutmütigkeit der Kunden spekulierend, optimierte der Metzger so zwar in kleinen, aber kontinuierlichen Schritten seinen Umsatz. Denn bekanntlich macht auch Kleinvieh im Laufe eines Jahres beträchtlichen Mist. Was hat das nun mit Informations-Sicherheit zu tun? Sehr viel. Werfen wir aber vorher einen Blick auf das Internet – in einer Art, deren sich wohl viele immer noch nicht bewusst sind.

Cyberwar

Während man in meiner Kindheit noch Angst vor einem nuklearen dritten Weltkrieg hatte, tobt heute längst ein globaler Krieg – digital, im Internet, und vor unserer Haustüre. Im Mai 2019, also vor rund zwei Jahren, veröffentlichte die deutsche Telekom eine Statistik, in der von täglich (!) 46 Millionen Angriffen auf sogenannte “Honeypots” gesprochen wird – ein neuer Spitzenwert. Ein Jahr zuvor waren es im Schnitt noch 12 Millionen Angriffe. Honeypots, das sind gezielt im Internet platzierte “schwache” Server und Services, die dazu genutzt werden, die Angriffe der Hacker zu analysieren, und sie zeitgleich von wertvolleren Zielen wegzulocken. Führt man diesen Trend in Gedanken weiter, dürften es aktuell rund 100 Millionen Angriffe sein, die täglich erfolgen. Und wir sprechen hier nur von Deutschland.

Auf diesen Seiten werden Angriffe in Echtzeit visualisiert:

Analysiert man die Angriffe der Hacker, so zielen über 75% der Attacken darauf ab, die Kontrolle über ein anderes Gerät zu erhalten, sei es über Lücken in der Netzwerksicherheit, oder über Fernwartungszugänge bei Servern, PCs, usw. Knapp unter 10% der Attacken zielten ganz direkt darauf ab, an Passwörter zu gelangen – diese können anschliessend zu stattlichen Preisen im Darknet weiter verkauft werden.

Falls Sie sich fragen, was denn Hacker mit “gekaperten” Computern anfangen wollen: diese werden dann zu einem sogenannten “Botnet” zusammengebunden, um wiederum Angriffe zu starten. Damit lassen sich in kürzester Zeit gewaltige Mengen von Datenpaketen auf ein einzelnes Ziel “abfeuern”, welches meist keine Chance gegen diese Datenflut hat, und seinen Dienst quittiert (DDoS genannt, Distributed Denial of Service). Im April 2019 registrierte die Telekom die sagenhafte Zahl von 5,3 Milliarden Datenpaketen, welche von Botnetzen gegen ihre Server abgefeuert wurden. “Gewöhnliche” Webserver würden schon bei einem Bruchteil dieser Menge ihren Dienst aus Überlastung quittieren.

Die Folgen

Wenn Sie obige Zahlen gelesen haben, was denken Sie, wie hoch ist die Wahrscheinlichkeit, dass auch Ihre Server attackiert werden? Ganz ehrlich – fragen Sie sich nicht, “ob” Ihre Server angegriffen werden, sondern “wann”! Ein geeigneter Zeitpunkt, um Jörg Asma, Partner Cyber Security bei PwC Deutschland zu zitieren: “Unternehmen haben erkannt, dass in vielen Cyberteams deutlicher Lernbedarf hinsichtlich Management- und Kommunikationsfähigkeiten besteht. Auf der anderen Seite lässt sich aber eine enorme technologische Entwicklung auf Seiten der Angreifer beobachten, auf die ein Sicherheitsteam auch heute schon kurzfristig adäquat reagieren muss. Ein technologisches ‚am Ball bleiben‘ ist damit nicht nur wichtig, sondern überlebensnotwendig.”

Im “Bericht über die Kosten einer Datenschutzverletzung 2020” veröffentlichte IBM erschreckende Zahlen. In Deutschland, so zeigt die Statistik, werden im Schnitt 160 Tage benötigt, bis eine Datenschutzverletzung (z.B. aufgrund eines Hacker-Angriffs) identifiziert und eingedämmt wird. Damit gehören die in Deutschland ansässigen Unternehmen zwar zu den am schnellsten reagierenden weltweit. Dennoch schätzt man die durchschnittlichen Kosten eines einzigen Vorfalls in Deutschland auf satte 4.4 Millionen Dollar! Denn in 80% aller Vorfälle sind “persönlich identifizierbare Informationen von Kunden” (PII – personally identifiable information) betroffen. Wird ein solcher Vorfall bekannt, prasseln schnell Klagen der Geschädigten auf ein solches Unternehmen ein, was natürlich entsprechende Anwalts- und Gerichtskosten zur Folge hat. Und falls bei diesem Angriff noch IT-Services geschädigt wurden, kann ein Produktionsausfall schnell nicht bezifferbare Kosten nach sich ziehen – bis hin zum Konkurs. Denken Sie sich aber nicht, so etwas passiere nur in anderen Ländern.

Ein ehemals bekanntes Schweizer KMU mit rund 170 Mitarbeitern wurde 2019 Opfer eines Ransomware Angriffs. Die Hacker verschlüsselten sämtliche Server inkl. der Backups, so dass die Firma keinen Zugriff mehr auf Kunden- und Auftragsdaten hatten – die Produktion stand still, und zwar einen vollen Monat lang. Die Führung entschied sich dann, die hohe Lösegeld-Summe in den Wiederaufbau der IT-Infrastruktur zu investieren, anstatt den Hackern zu übergeben. Doch leider vergebens – der Produktionsausfall schädigte das Unternehmen dauerhaft, und schon neun Monate später war das Unternehmen insolvent.

Fazit

So tragisch solche Geschichten sind – man hätte wesentlich mehr dafür tun können, den Ausgang anders zu beeinflussen. Selbst wenn man Opfer eines Ransomware-Angriffes wird, so kann ein funktionierendes Backup- und Notfallkonzept die Firma wahrscheinlich retten. Aber jetzt kommen wir zur alles entscheidenden Frage: was ist Ihnen die Informationssicherheit in Ihrem Unternehmen wert? Sind Sie bereit, aufgrund ungenügender Sicherheitsvorkehrungen ein millionenteures Risiko zu tragen? Wir erinnern uns an die durchschnittlichen Kosten von 4.4 Millionen Dollar für einen Datenschutzvorfall – da wirken 50 – 100’000 Franken für den Aufbau eines Informationssicherheits-Managementsystems (ISMS) und die jährliche Betreuung durch einen CISO (Chief Information Security Officer) geradezu wie Taschengeld.

Heute reicht es nicht mehr, wenn nur auf eine Firewall und ein starkes Passwort vertraut wird. Zu vielfältig sind die Cyber-Gefahren, und zu umfangreich die Möglichkeiten für Kriminelle, in Ihr Unternehmen einzudringen. Wenn Sie Ihr Unternehmen wirklich in Sachen Sicherheit eine Stufe weiter bringen wollen, dann machen Sie dieses Thema zu einer Chefsache! Nicht umsonst nimmt die Norm ISO 27001 in vielen Belangen das Top-Management in die Pflicht, und unterstreicht damit die Wichtigkeit, dass sich die Geschäftsleitung persönlich (!) um die Informations-Sicherheit kümmert.

Wenn Sie bei Ihrem nächsten Geschäftsleitungs-Meeting eine hohe Zahl beim Budget für ein ISMS und einen CISO sehen, dann fragen Sie sich nicht “was, so viel?”, sondern fragen Sie, wie einst unser Dorfmetzger, den ich in der Einleitung erwähnt habe: “darf es ein bisschen mehr sein?” Wohlwissend, dass Sie damit einen wertvollen – und vielleicht sogar überlebenswichtigen – Beitrag für die digitale Sicherheit Ihres Unternehmens leisten. Und da ist heute jedes “bisschen mehr” gefragt.

Informationen zum Autor: Marcel Grand

Nach über 20 Jahren Tätigkeit im operativen IT-Business – wovon viele Jahre als Leiter IT – wollte ich mich mit dem Erreichen des fünfzigsten Lebensjahres nochmals beruflich verändern. Ich habe mich für eine Spezialisierung im Bereich Informationssicherheit entschieden, und erhielt von goSecurity eine grossartige Chance, meine langjährige Erfahrung nutzbringend für unsere Kunden einsetzen zu können.