Wie viel darf Cyber-Security kosten – und was ist sie wirklich wert?

  • in der Kategorie Security
  • veröffentlicht.

Unzählige Studien über die Unkosten von Datenschutz-Pannen kursieren, nur wenige davon beschäftigen sich mit dem Vergleichswert für Cyber-Security. Heute schauen wir uns eine IBM-Studie über die Faktoren, die den Kostenpunkt von Datenlecks beeinflussen, einmal näher an. Wir sehen anhand einer Umfrage in der Schweiz, wie es um den Wissensstand über Internetsicherheit und die Selbsteinschätzung bestellt ist. Und aus all diesen Erkenntnissen heraus befassen wir uns mit der Frage: Wie viel darf gute Cyber-Security kosten?

Das Vertrauen ins Internet sinkt

In einer anderen Studie des Beratungsunternehmens “Accenture” gaben Befragte an, dass das Internet in Sicherheitsangelegenheiten immer instabiler werde. Aber ist das nur ein gefühlter Verdacht? Wohl kaum, denn gesammelte Werte für Kosten von Cyberangriffen belegen die deutlich steigende Tendenz. Der Grund dafür ist recht simpel: Je digitaler wir werden, desto mehr unterliegen wir den “Bedingungen des Internets”. Das Internet ist ein freier, weltweiter, ungebundener Raum, der sich gut mit unruhigen Gewässern vergleichen lässt. Wir bauen Dämme und Brücken, erfinden immer bessere Schiffe, aber die totale Kontrolle erreichen wir nie.

Ein kompletter Vertrauensverlust wäre allerdings ein herber Rückschlag für die gesamte Weltwirtschaft. Wohin führt unser Weg ohne Digitalisierung? Wir würden eine Vielzahl neuer Vertriebswege verlieren, könnten uns nicht mehr international vernetzen und nicht zuletzt würden uns Massen an Informationsquellen verloren gehen.

Es gilt also, den “Gegnern” einen Schritt voraus zu sein. Die Feinde der Internetsicherheit sind Cyber-Kriminelle. Im Umkehrschluss bedeutet das: Wenn wir digital bleiben und uns dabei trotzdem sicher fühlen wollen, brauchen wir eine verlässliche und stetig mitwachsende Cyber-Security.

Cyber-Security: Ein Versicherungsprinzip

Bestimmt haben Sie schon mindestens ein Mal in Ihrem Leben irgendeine Versicherung abgeschlossen. Ähnlich wie ein Versicherungsvertrag ist Cyber-Security ein “immaterielles”, also nicht mit Händen greifbares Produkt. Das ist wahrscheinlich gleichzeitig der Grund dafür, warum Viele einem Vertragsabschluss skeptisch gegenüberstehen – wozu brauche ich eine Ware, mit der ich nichts anfangen kann, solange “nichts passiert”?

Unser Titelbild beschreibt dieses Kaufverhalten sehr treffend. Am Anfang wird eifrig gespart und jede Münze umgedreht. Dann passiert etwas und plötzlich ist man regelrecht im Spendier-Wahn. Leider hat dieser psychologische Panik-Effekt nicht selten zur Folge, dass Kunden absolut unnötige Fehlinvestitionen in Internet-Sicherheitsmassnahmen starten. Entweder sind die Massnahmen gnadenlos überzogen – also nicht auf die Geschäftserfordernisse angepasst – oder sie werden mangels Fachkenntnissen einfach fehlgeleitet. Sprich: Der Kunde (seine Spendierhosen tragend) kauft das Produkt und ist später unzufrieden.

Der Gegenwert

Beginnen wir mit dem eigentlichen Wert von Cyber-Security. Wie bei einer Versicherung soll ein Sicherheitsdienst Dinge schützen. Wenn wir uns auf besagte Studien berufen, reden wir immer gleich von Beträgen in Millionenhöhe. Der Durchschnittswert für die Kosten eines Datenlecks liegt laut IBM bei 3,92 Millionen Dollar.

Wir haben noch viel weiter mit dem Kosten-Kalkulator von IBM / Ponemon-Institut herumgespielt. Anhand des Reglers und diverser variabler Faktoren sehen wir, was die Kostentreiber und Kostensenker sind. Wenn wir auf der Suche nach dem echten Wert von Cyber-Security sind, müssen wir im Gegenzug also auch alle einzelnen Faktoren betrachten.

Auf Top 10 (von 10) steht hier das “Konsultieren von Beratern” mit 110.000 Dollar. Mit “Rush to notify” sind Zusatzkosten für die Beschleunigung von Benachrichtigungen gemeint. Die übrigen Kostentreiber bestehen mehr aus zusätzlichen negativen Einflüssen eines tatsächlichen Datenlecks, wie etwa vorher bestehende Verfahrensfehler oder ebenfalls betroffene Drittparteien. Zu den Top Kostendämpfern gehören (auszugsweise):

  1. Aufstellung eines IR-Teams (-360 Tsd.)
  2. umfangreiche Nutzung von Verschlüsselung (-360 Tsd.)
  3. umfangreiche Sicherheitstests (-320 Tsd.)
  4. Business Continuity Management (BCM) (-280 Tsd.)
  5. DevSecOps” = Prozessverbesserungen im Bereich Softwareentwicklung und Administration (-280 Tsd.)
  6. Mitarbeiterschulungen (-270 Tsd.)
  7. Nutzung von Sicherheitsanalysen (-200 Tsd.)
  8. Data Loss Prevention (DLP), also Massnahmen gegen Datenverlust (-180 Tsd.)
  9. Versicherungsschutz (-160 Tsd.)
  10. Identify Theft Protection = Schutz gegen Identitätsdiebstahl (-10 Tsd.)

Kostenaufstellung für Cyber-Security

Anhand dem Auszug in Listenform können Sie also schon ungefähr sehen, inwiefern sich eine Investition in Internetsicherheit auszahlen kann. Damit stehen wir aber immer noch vor dem Dilemma, dass der Nutzen vielleicht trotzdem noch nicht klar erkennbar ist. Denken Sie jetzt, dass Massnahmen, die Beträge in Millionenhöhe einsparen, zwangsläufig ähnlich viel kosten müssen?

Leider nutzen viele Anbieter Unwissen und vor allem Angst der Verbraucher in diesem Punkt aus. Auf diese Weise werden Dienste und Produkte verkauft, die der Kunde letzten Endes überhaupt nicht benötigt. Eine Statista-Umfrage in der Schweiz ergab, dass der empfundene Wissenstand über Cyber-Security eher bescheiden ist. Beinahe die Hälfte der Befragten gibt an, wenig über das Thema zu wissen.

Auch die Geschäfte helfen uns in Software-Fragen nicht immer zuverlässig weiter. Privatpersonen greifen bevorzugt auf kostenlose Versionen von beispielsweise Virenscannern oder Firewall-Programmen zurück. Kleine und mittelständische Unternehmen begehen aus denselben Gründen dieselben Fehler.

Aufstellung eines Teams

Den allerersten Punkt mit dem grössten Sparpotenzial können Sie sich quasi “sparen”! Wenn Sie auf einen externen Berater zurückgreifen, müssen Sie keine zusätzlichen Mitarbeiter einstellen (Durchschnittseinkommen von 78.000 CHF) oder vor Antritt erst intensiv einarbeiten (zufällige Auswahl eines Schulungsanbieters, ab 1.000 CHF pro geschultem Mitarbeiter).

Sicherheitstests und -Analysen

“Das grösste Risiko hinter einer Maschine ist der Benutzer”, heisst es in einem Sprichwort. Ein Dienstleister für Cyber-Security führt Sicherheitstests bestenfalls auf mehreren verschiedenen Wegen durch: Zum einen generiert er Testfälle für Ihr System. Erkennt der vorhandene Virenscanner eingehende Schadsoftware? Greifen alle Sicherheitseinstellungen der Firewall, sind diese korrekt gesetzt? Zum anderen prüft er auch die Reaktionen Ihrer Mitarbeiter. Öffnen sie Links in Phishing-Mails oder laden infizierte Anhänge herunter?

Solche Tests müssen deshalb nicht gleich über 300 Tausend Dollar kosten! Ein seriöser Anbieter bringt ein umfangreiches Repertoire sowohl vorgefertigter als auch individuell abgestimmter Testfälle mit, das abhängig von der Anzahl nur wenige CHF pro “Stück” kostet. Die entsprechenden Analysen sind bestenfalls auch schon enthalten.

BCM und DevSecOps

Wenn wir der obigen Tabelle blind vertrauen, müssten Sie demzufolge umgerechnet etwa 546 Tsd. CHF in Cyber-Security investieren? Nicht bei uns! In unserer Beratung beispielsweise sind eine Umstellungshilfe und entsprechende Empfehlungen bereits enthalten. Statt eine eigene Software-Neuentwicklung weit zeit- und kostenintensiver auf die Beine zu stellen, greifen Sie auf bereits getestete und verifizierte Produkte zurück.

Verschlüsselung, DLP und Identify Theft Protection

In Summe mit einem Gegenwert von etwa 536 Tsd. CHF sind diese drei “Kostenpunkte” in Wahrheit eigentlich die günstigen! Das hat den einfachen Grund, weil ein relevanter Cyber-Security-Dienst mit einer sicheren Verschlüsselung automatisch dafür sorgt, dass Ihre Daten sowohl gegen Verlust als auch gegen Diebstahl geschützt sind. Unseren Datenraum zum Beispiel können Sie sogar kostenlos testen. Bei Zufriedenheit geht die Preisspanne bei gerade mal 24,90 CHF los.

Schulungen

Die regelmässige Weiterbildung von Mitarbeitern ist leider immer noch ein viel zu unterschätztes Gut. “Der Mensch ist die wichtigste Ressource”, das besagen vertraute Sprichwörter aus den Bereichen Religion, Wissenschaft und Politik – und Ja, sogar Technik. Wer seine Angestellten fördert, erfährt nicht nur einen starken Vertrauensbonus, er sorgt erwiesenermassen auch für eine wachsende Bindung und lang anhaltende Motivation. Und nicht zuletzt investiert er mit Schulungen im Bereich Cyber-Security natürlich auch in nachhaltige Unternehmenssicherheit.

Will sich ein Mitarbeiter privat weiterbilden, kosten Online-Seminare oder Fernstudien gut und gerne mehrere Tausend CHF pro Kopf. Entscheidet sich die Geschäftsführung hingegen für eine zentrale Weiterbildung, verteilen sich die Kosten viel effizienter. Nebenbei hat die Variante ausserdem den Vorteil, dass alle Schulungsteilnehmer garantiert denselben Wissensstand erreichen. Über intensivere Einzelcoachings können zudem ganz neue Expertenteams im eigenen Betrieb gebildet werden.

Kosten-Nutzen-Rechnung Cyber-Security: Ein Résumé

Wie eingangs beschrieben, sind die Massnahmen in der Realität oft unverhältnismässig. Es ist also kein Wunder, dass das Vertrauen in die Internetsicherheit – und damit das Internet an sich – mehr und mehr verloren zu gehen scheint. Die gerechtfertigte Investitionshöhe lässt sich dabei mit der Beantwortung von nur einer simplen Frage festlegen:

Wie hoch ist der Bedarf?

  • Ein Einzelunternehmen braucht kein riesiges Expertenteam.
  • Personenbezogene Daten müssen sensibler verwaltet und betreut werden als sachliche Daten.
  • Je grösser das angeschlossene Netzwerk, desto grösser die potenzielle Angriffsfläche – dementsprechend besser müssen die Sicherheitsvorkehrungen sein.
  • Kostenlose Services oder Softwares sind nicht zwangsläufig schlecht. In der Regel sind sie aber nicht auf den individuellen Bedarf anpassbar.
  • “Wo gehobelt wird, da fallen Späne” – Fehler und Irren sind menschlich. Die Sicherheit kann mit der Sensibilisierung der Mitarbeiter stehen und fallen. Je grösser die Belegschaft, desto höher das Potenzial – auf beiden Seiten.
  • Versicherungen, die den “Ernstfall” absichern, stellen keinen Schutz dagegen dar – sie zahlen nur für die Folgen.
  • Gerade für “immaterielle” Produkte brauchen Sie einen zuverlässigen – und möglichst einheitlichen – Ansprechpartner, und zwar auf Augenhöhe.
  • Ihre Zufriedenheit sollte immer im Vordergrund stehen. Wenn Sie kein gutes Gefühl haben, ist das ein Indiz für ein “Nein”. Dasselbe gilt für offen-bleibende Fragen oder versteckte Kosten.

Webagentur & Online Marketing cyber security budget angriff header

18. November 2024SEO

Helpful Content laut Google: Mehrwert statt Keywords

Das „Helpful Content Update“ von Google hat die SEO-Welt nachhaltig verändert. Während Keywords und klassische SEO-Taktiken früher das A und

14. November 2024Webshop

Webshop-Inkasso: Praktische Tipps und rechtliche Grundlagen

Erfahren Sie alles Wichtige rund um das Thema Webshop-Inkasso. Für Betreiber von Webshops ist es ein unvermeidbarer Bestandteil des Geschäftsalltags:

Weiterlesen
11. November 2024Marketing

Darum ist Zufriedenheitsgarantie in der Schweiz ein starkes Marketinginstrument

Die Zufriedenheitsgarantie ist mehr als nur ein wohlklingendes Versprechen – sie ist ein effektives Marketinginstrument. In einem Markt, der von

Weiterlesen
7. November 2024Allgemein

KI Stofftier Moflin von Casio soll mit künstlicher Intelligenz Persönlichkeit entwickeln

Künstliche Intelligenz (KI) findet immer mehr Anwendung in unserem Alltag – sei es in Smartphones, Haushaltsgeräten oder sogar in der

Weiterlesen
Wie viel darf Cyber-Security kosten – und was ist sie wirklich wert?
Haben Sie Fragen zu diesem Thema? Einfach melden.
Close

dataloft wünscht Ihnen

Frohe Weihnachten!

Wir sind in den Betriebsferien vom 21.12.24 bis 05.01.25. Für dringende Anliegen wenden Sie sich bitte an support@dataloft.ch. Wir wünschen Ihnen eine wunderschöne Weihnachtszeit und guten Rutsch in ein erfolgreiches 2025.

E-Mail Telefon Support / Hilfe
Zum Inhalt springen