Kosten-Nutzen-Analyse: So holen Sie das Beste aus Ihrem Security-Budget heraus

Foto: Andrey_Popov – shutterstock.com

Die Cyberabwehr verursacht inzwischen weitaus höhere Ausgaben als den reinen Lizenzpreis. Denn ein Produkt zu beschaffen, zu installieren und mit minimalem Aufwand zu warten, genügt nicht mehr, um die auch schon bei kleineren Unternehmen durchaus komplexere IT gegen neuartige Angriffe zu schützen.

Der Management-Aufwand wächst bei immer vielfältigeren Angriffsvektoren. Virtuelle Maschinen, Cloud und Container als neu hinzukommende Endpunkte einer IT in den Schutz miteinzubeziehen, erzeugt einen Mehraufwand, der buchhalterisch nur in den Personalkosten mittelbar sichtbar ist. Dazu kommen immer komplexere Angriffe wie Advanced Persistent Threats und komplexe, mehrstufige Ransomeware-Attacken, gegen die Standardrichtlinien nicht mehr ausreichen.

Was bringt der Kosten-Nutzen-Vergleich?

Viele Unternehmen denken, sie könnten diesen Herausforderungen nur mit einem entsprechend hohen Budget für die Cybersicherheit begegnen. Doch vor allem kleine Unternehmen und der Mittelstand verfügen meist nur über begrenzte Mittel. Deshalb lohnt sich eine Kosten-Nutzen-Aufstellung bestehender und künftiger Sicherheitsmaßnahmen, um sich einen Überblick über tatsächlich notwendige und sinnvolle Investitionen zu verschaffen.

Die IT-Security-Basics

Trotz der komplexer werdenden Angriffsmethoden von Cyberkriminellen, existiert kein Grund, Standardtechnologien einzusparen. Antivirus, inzwischen als End Point Protection bekannt, oder Firewalls sind noch lange nicht obsolet. Sie bieten den Grundschutz gegen bereits bekannte Angriffe, welche die unbeachtete Mehrheit der tatsächlichen Angriffe ausmachen. Nur weil ein Angriff bekannt ist und vor dem Patchen einer Lücke schon mehrfach gewarnt wurde, gehört dieses Risiko noch längst nicht der Vergangenheit an.

Patchen ist aufwändig sowie komplex und erfolgt oft erst Monate oder gar Jahre nach Bekanntwerden einer Schwachstelle. Daher nutzen Hacker nach wie vor Altbewährtes, wenn sie ihrerseits schnellen Profit erzielen wollen. Hier bieten klassische Tools eine effiziente Abwehr quasi von der Stange. Vor allem verhindert diese Basis-Sicherheit von vornherein viele Alarme, die zeitaufwändig zu bearbeiten sind und zu der viel zitierten Alarmmüdigkeit führen.

Die richtige Security-Plattform

Kosten senken fängt schon beim Sammeln von Informationen an: Zentrale herstellerunabhängige Plattformen für Endpoint Detection and Response (EDR) oder auch Extended Detection and Response (XDR) korrelieren Informationen aus anderen Umgebungen wie etwa Office 365, Cloud, Netzwerk oder Active Directory in einer zentralen Plattform. Sie liefern ein umfassendes und sehr leicht abrufbares Bild der Sicherheitslage. Durch die Integration vieler sehr effizienter Security-Module in Verbindung mit dediziert auswählbaren XDR-Sensoren ist es Unternehmen möglich, sehr schnell und einfach alle benötigten und sicherheitsrelevanten Teile der IT-Infrastrukturen als Informationsquellen einzubeziehen.

Viele Sicherheitsverantwortliche schreckt der Einsatz einer neuen Technologie ab. Denn damit sind eine zeit- und kostenaufwändige Integration sowie das Erstellen hochkomplexer Regelwerke verbunden. Bei Plattformen, die native XDR- und EDR-Lösungen enthalten, erübrigen sich diese Sorgen. Sie können schnell und effektiv eingesetzt werden und reduzieren auch den Betriebsaufwand.

Ein solches Gesamtbild der IT-Sicherheitslage ermöglicht es, den Status Quo der IT-Risiken schneller und besser zu analysieren. Denn erst nach einer tiefergehenden Analyse des Ist-Zustandes weiß ein Anwender genau, welche Technologien und Lösungen er für ein Mehr an Sicherheit benötigt. Ein kleiner Zusatzaufwand am Anfang bei der Recherche nach einer geeigneten Sicherheitsplattform rentiert sich schon nach kurzer Zeit.

Security-Knowhow einkaufen

EDR- und XDR-Plattformen helfen, zweifelhafte Aktivitäten und konkrete Angriffe frühzeitig zu identifizieren. Eine vollautomatische Abwehr ist aber nach wie vor selbst mit derart fortschrittlichen Methoden unmöglich. Es bedarf daher in jedem Fall eines Teams von Experten und dabei in der Regel mindestens eines Security Analysten, um die Alarme zu bewerten und weitere Maßnahmen zu ergreifen. Diese personellen Ressourcen und sowie die Tools für Incident Response und Security Forensik sind die Voraussetzung für eine nachhaltige und zukunftssichere IT- und Datensicherheit.

Nur selten können kleine und mittelständische Unternehmen diese Ressourcen selbst aufbringen. Für sie lohnt es sich deshalb, externes Expertenwissen in Form von Managed Services einzukaufen. Angebote für Security Operations Center (SOC) as a Service und Managed Detection and Response (MDR) gibt es zuhauf. Und sie treiben die Kostenspirale weniger stark in die Höhe als der Eigenbetrieb.

Die folgende Kalkulation zeigt die sehr hohen Kosten eines unternehmenseigenen SOC, einmal im dauerhaften Betrieb und einmal innerhalb gewöhnlicher Arbeitszeiten:

Foto: Bitdefender

Nur ein 24×7-SOC realisiert den tatsächlich notwendigen Schutz, denn Angreifer halten sich für gewöhnlich nicht an betriebliche Arbeitszeiten. Im Vergleich kostet ein MDR-Dienst mit externem SOC nur ein Zehntel: jährlich circa 40.000 Euro, 120.000 Euro auf drei Jahre gerechnet.

Und das auch nur, wenn man die hohen Listenpreise als Kalkulationsgrundlage heranzieht. Tatsächliche Preise sind oft niedriger: Beträgt der Listenpreis eines MDR-Dienstes pro Endpoint vielleicht 80 Euro, liegen die tatsächlichen Marktpreise realistisch oft nur zwischen 30 bis 60 Euro. Andererseits sind die Personalkosten für einen Sicherheitsanalysten im eigenem SOC mit 60.000 Euro pro Jahr sehr niedrig angesetzt – wenn man überhaupt angesichts des Personalmangels einen Experten findet und ihn halten will. Die Kostenschere zwischen eigenem SOC und externem MDR-Service dürfte also noch weiter aufgehen.

Der Nutzen hoher IT-Sicherheit

Der Nutzen von einer hohen IT-Sicherheit ist nicht einfach zu bestimmen. Sicherheit erschließt keinen tatsächlich nachweisbaren Return on Investment (ROI). Kalkulationsversuche diesbezüglich bleiben Wirtschaftsmathematik ohne praktischen Wert. Vor allem erfolgreich abgewehrte und an reale Kosten gebundene Ransomware-Angriffe sind in der Regel nicht nachweisbar, würden aber den Nutzenfaktor funktionierender IT-Sicherheit drastisch in die Höhe schnellen lassen.

Bleibt oft nur das Aufsummieren der vermiedenen Schäden. Dazu gehören nicht nur die durchaus messbaren theoretischen Produktions- oder Service-Ausfälle, sondern auch die deutlich aufwändigeren Wiederherstellprozesse von verschlüsselten oder vernichteten Daten. Der oft bemühte Reputations- und damit einhergehende Kundenverlust ist nur grob zu schätzen – dennoch aber sehr real. Darüber hinaus haben immer mehr Unternehmen strenge Auflagen bezüglich der Verfügbarkeit ihrer Dienste oder Produkte zu berücksichtigen, weil sie zum Beispiel zu einer Lieferkette gehören oder sogar den KRITIS-Auflagen unterliegen. Im Ernstfall fällige Strafen machen diesen Schaden ebenfalls messbar. Der Ausfall von Diensten, Systemen, Produktionsanlagen hat zudem Effekte nicht nur auf das eigene, sondern auch auf andere Unternehmen.

Ein weiterer Nutzen von IT-Sicherheit ist zudem der dadurch oft erst mögliche oder dank niedrigerer Prämien preisgünstigere Versicherungsschutz: Viele IT-Sicherheitspolicen verlangen mittlerweile zwingend das Nutzen von Sicherheitstechnologien wie etwa Multi-Faktor-Authentifizierung, Antivirus, Firewall und Malware-Erkennung oder EDR. Denn Versicherungen legen die Messlatte, eine Police zum Decken von IT-Schäden überhaupt erst auszustellen, immer höher und suchen nach formalen Kriterien, um Versicherungsnehmer von vornherein abzulehnen. (ms)