Sicherheit + Datenschutz 6. Mai 2020 6 Min Lesezeit

Wie viel darf Cyber-Security kosten – und was ist sie wirklich wert?

Geschrieben von
Roger Klein
cyber security budget angriff

Unzählige Studien über die Kosten von Datenschutz-Pannen kursieren, nur wenige beschäftigen sich mit dem Vergleichswert für Cyber-Security. Heute schauen wir uns eine IBM-Studie über die Faktoren, die den Kostenpunkt von Datenlecks beeinflussen, genauer an. Wir sehen anhand einer Umfrage in der Schweiz, wie es um den Wissensstand über Internetsicherheit und die Selbsteinschätzung bestellt ist. Und aus all diesen Erkenntnissen heraus befassen wir uns mit der Frage: Wie viel darf gute Cyber-Security kosten?

Das Vertrauen ins Internet sinkt

In einer Studie des Beratungsunternehmens «Accenture» gaben Befragte an, dass das Internet in Sicherheitsangelegenheiten immer instabiler werde. Ist das nur ein gefühlter Verdacht? Wohl kaum — gesammelte Werte für Kosten von Cyberangriffen belegen die deutlich steigende Tendenz. Der Grund ist recht simpel: Je digitaler wir werden, desto mehr unterliegen wir den Bedingungen des Internets. Das Internet ist ein freier, weltweiter, ungebundener Raum — gut vergleichbar mit unruhigen Gewässern. Wir bauen Dämme und Brücken, erfinden immer bessere Schiffe. Die totale Kontrolle erreichen wir nie.

Ein kompletter Vertrauensverlust wäre ein herber Rückschlag für die gesamte Weltwirtschaft. Wohin führt unser Weg ohne Digitalisierung? Wir würden eine Vielzahl neuer Vertriebswege verlieren, könnten uns nicht mehr international vernetzen — und uns würden Massen an Informationsquellen verloren gehen.

Es gilt also, den «Gegnern» einen Schritt voraus zu sein. Die Feinde der Internetsicherheit sind Cyber-Kriminelle. Wer digital bleiben und sich dabei trotzdem sicher fühlen will, braucht eine verlässliche und stetig mitwachsende Cyber-Security.

Cyber-Security: Ein Versicherungsprinzip

Bestimmt hast du schon mindestens einmal in deinem Leben irgendeine Versicherung abgeschlossen. Ähnlich wie ein Versicherungsvertrag ist Cyber-Security ein «immaterielles», also nicht mit Händen greifbares Produkt. Das ist wahrscheinlich gleichzeitig der Grund, warum viele einem Vertragsabschluss skeptisch gegenüberstehen — wozu brauche ich eine Ware, mit der ich nichts anfangen kann, solange «nichts passiert»?

Unser Titelbild beschreibt dieses Kaufverhalten sehr treffend. Am Anfang wird eifrig gespart und jede Münze umgedreht. Dann passiert etwas — und plötzlich ist man regelrecht im Spendier-Wahn. Leider hat dieser psychologische Panik-Effekt nicht selten zur Folge, dass Kundinnen und Kunden absolut unnötige Fehlinvestitionen in Internet-Sicherheitsmassnahmen starten. Entweder sind die Massnahmen gnadenlos überzogen — also nicht auf die Geschäftserfordernisse angepasst — oder sie werden mangels Fachkenntnissen fehlgeleitet. Sprich: Du kaufst das Produkt und bist später unzufrieden.

Der Gegenwert

Beginnen wir mit dem eigentlichen Wert von Cyber-Security. Wie bei einer Versicherung soll ein Sicherheitsdienst Dinge schützen. Wenn wir uns auf besagte Studien berufen, reden wir schnell von Beträgen in Millionenhöhe. Der Durchschnittswert für die Kosten eines Datenlecks liegt laut IBM bei 3,92 Millionen Dollar.

Wir haben ausgiebig mit dem Kosten-Kalkulator von IBM / Ponemon-Institut herumgespielt. Anhand des Reglers und diverser variabler Faktoren sehen wir, was die Kostentreiber und Kostensenker sind. Wer den echten Wert von Cyber-Security verstehen will, muss alle einzelnen Faktoren betrachten.

Auf Top 10 (von 10) steht das «Konsultieren von Beratern» mit 110.000 Dollar. Mit «Rush to notify» sind Zusatzkosten für die Beschleunigung von Benachrichtigungen gemeint. Die übrigen Kostentreiber bestehen aus zusätzlichen negativen Einflüssen eines tatsächlichen Datenlecks — etwa vorher bestehende Verfahrensfehler oder ebenfalls betroffene Drittparteien. Zu den Top Kostendämpfern gehören (auszugsweise):

  1. Aufstellung eines IR-Teams (-360 Tsd.)
  2. umfangreiche Nutzung von Verschlüsselung (-360 Tsd.)
  3. umfangreiche Sicherheitstests (-320 Tsd.)
  4. Business Continuity Management (BCM) (-280 Tsd.)
  5. «DevSecOps» = Prozessverbesserungen im Bereich Softwareentwicklung und Administration (-280 Tsd.)
  6. Mitarbeiterschulungen (-270 Tsd.)
  7. Nutzung von Sicherheitsanalysen (-200 Tsd.)
  8. Data Loss Prevention (DLP), also Massnahmen gegen Datenverlust (-180 Tsd.)
  9. Versicherungsschutz (-160 Tsd.)
  10. Identify Theft Protection = Schutz gegen Identitätsdiebstahl (-10 Tsd.)

Kostenaufstellung für Cyber-Security

Anhand dieser Liste siehst du ungefähr, inwiefern sich eine Investition in Internetsicherheit auszahlen kann. Glaubst du, dass Massnahmen, die Beträge in Millionenhöhe einsparen, zwangsläufig ähnlich viel kosten müssen?

Leider nutzen viele Anbieter Unwissen und vor allem Angst der Verbraucher in diesem Punkt aus. So werden Dienste und Produkte verkauft, die du am Ende überhaupt nicht benötigst. Eine Statista-Umfrage in der Schweiz ergab, dass der empfundene Wissensstand über Cyber-Security eher bescheiden ist. Beinahe die Hälfte der Befragten gibt an, wenig über das Thema zu wissen.

Auch Fachgeschäfte helfen in Software-Fragen nicht immer zuverlässig weiter. Privatpersonen greifen bevorzugt auf kostenlose Versionen von Virenscannern oder Firewall-Programmen zurück. Kleine und mittelständische Unternehmen begehen aus denselben Gründen dieselben Fehler.

Aufstellung eines Teams

Den allerersten Punkt mit dem grössten Sparpotenzial kannst du dir quasi «sparen»! Wenn du auf einen externen Berater zurückgreifst, musst du keine zusätzlichen Mitarbeiter einstellen (Durchschnittseinkommen von 78.000 CHF) oder vor Antritt erst intensiv einarbeiten (zufällige Auswahl eines Schulungsanbieters, ab 1.000 CHF pro geschultem Mitarbeiter).

Sicherheitstests und -Analysen

«Das grösste Risiko hinter einer Maschine ist der Benutzer» — so ein bekanntes Sprichwort. Ein Dienstleister für Cyber-Security führt Sicherheitstests am besten auf mehreren verschiedenen Wegen durch: Zum einen generiert er Testfälle für dein System. Erkennt der vorhandene Virenscanner eingehende Schadsoftware? Greifen alle Sicherheitseinstellungen der Firewall, sind diese korrekt gesetzt? Zum anderen prüft er auch die Reaktionen deiner Mitarbeitenden. Öffnen sie Links in Phishing-Mails oder laden sie infizierte Anhänge herunter?

Solche Tests müssen nicht gleich über 300 Tausend Dollar kosten. Ein seriöser Anbieter bringt ein umfangreiches Repertoire sowohl vorgefertigter als auch individuell abgestimmter Testfälle mit — abhängig von der Anzahl kostet das nur wenige CHF pro «Stück». Die entsprechenden Analysen sind dabei am besten schon enthalten.

BCM und DevSecOps

Wenn wir der obigen Tabelle blind vertrauen, müsstest du demzufolge umgerechnet etwa 546 Tsd. CHF in Cyber-Security investieren? Nicht bei uns. In unserer Beratung sind eine Umstellungshilfe und entsprechende Empfehlungen bereits enthalten. Statt eine eigene Software-Neuentwicklung zeit- und kostenintensiv auf die Beine zu stellen, greifst du auf bereits getestete und verifizierte Produkte zurück.

Verschlüsselung, DLP und Identify Theft Protection

In Summe mit einem Gegenwert von etwa 536 Tsd. CHF sind diese drei Kostenpunkte in Wahrheit die günstigen. Der Grund: Ein relevanter Cyber-Security-Dienst mit sicherer Verschlüsselung sorgt automatisch dafür, dass deine Daten sowohl gegen Verlust als auch gegen Diebstahl geschützt sind. Unseren Datenraum zum Beispiel kannst du sogar kostenlos testen. Bei Zufriedenheit beginnt die Preisspanne bei gerade mal 24,90 CHF.

Schulungen

Die regelmässige Weiterbildung von Mitarbeitenden ist leider immer noch ein viel zu unterschätztes Gut. «Der Mensch ist die wichtigste Ressource» — das besagen vertraute Sprichwörter aus den Bereichen Religion, Wissenschaft und Politik, und ja, sogar Technik. Wer seine Angestellten fördert, erfährt nicht nur einen starken Vertrauensbonus — er sorgt erwiesenermassen auch für wachsende Bindung und lang anhaltende Motivation. Und nicht zuletzt investiert er mit Schulungen im Bereich Cyber-Security in nachhaltige Unternehmenssicherheit.

Will sich ein Mitarbeiter privat weiterbilden, kosten Online-Seminare oder Fernstudien gut und gerne mehrere Tausend CHF pro Kopf. Entscheidet sich die Geschäftsführung hingegen für eine zentrale Weiterbildung, verteilen sich die Kosten viel effizienter. Diese Variante hat ausserdem den Vorteil, dass alle Schulungsteilnehmenden garantiert denselben Wissensstand erreichen. Über intensivere Einzelcoachings können zudem ganz neue Expertenteams im eigenen Betrieb gebildet werden.

Kosten-Nutzen-Rechnung Cyber-Security: Ein Résumé

Wie eingangs beschrieben, sind die Massnahmen in der Realität oft unverhältnismässig. Kein Wunder also, dass das Vertrauen in die Internetsicherheit — und damit das Internet an sich — mehr und mehr verloren zu gehen scheint. Die gerechtfertigte Investitionshöhe lässt sich dabei mit der Beantwortung einer einzigen Frage festlegen:

Wie hoch ist der Bedarf?

  • Ein Einzelunternehmen braucht kein riesiges Expertenteam.
  • Personenbezogene Daten müssen sensibler verwaltet und betreut werden als sachliche Daten.
  • Je grösser das angeschlossene Netzwerk, desto grösser die potenzielle Angriffsfläche — dementsprechend besser müssen die Sicherheitsvorkehrungen sein.
  • Kostenlose Services oder Softwares sind nicht zwangsläufig schlecht. In der Regel sind sie aber nicht auf den individuellen Bedarf anpassbar.
  • «Wo gehobelt wird, da fallen Späne» — Fehler und Irren sind menschlich. Die Sicherheit kann mit der Sensibilisierung der Mitarbeitenden stehen und fallen. Je grösser die Belegschaft, desto höher das Potenzial — auf beiden Seiten.
  • Versicherungen, die den «Ernstfall» absichern, stellen keinen Schutz dagegen dar — sie zahlen nur für die Folgen.
  • Gerade für «immaterielle» Produkte brauchst du einen zuverlässigen — und möglichst einheitlichen — Ansprechpartner, und zwar auf Augenhöhe.
  • Deine Zufriedenheit sollte immer im Vordergrund stehen. Wenn du kein gutes Gefühl hast, ist das ein Indiz für ein «Nein». Dasselbe gilt für offen bleibende Fragen oder versteckte Kosten.

cyber security budget angriff header — Wie viel darf Cyber-Security kosten - und was ist sie wirklich wert?

Tags: IT-SicherheitKennzahlenProjektmanagement
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2023-07-18 Swiss Hosting wirklich exportfrei? Die wichtige Frage für Cloud-Kunden der Schweiz 2020-05-11 Schliessung einer Denial of Service Sicherheitslücke durch eine neue Version von OpenSSL 2018-05-12 Datenschutzgrundverordnung (DSGVO)

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG