Die Cyber-Security-Milchmädchenrechnung

Eine Milchmädchenrechnung ist laut Wikipedia “die spöttische Bezeichnung für eine naive Betrachtung oder Argumentation, die wesentliche Rahmenbedingungen nicht beachtet oder falsch in Ansatz bringt und deshalb zu einem nur scheinbar plausiblen, tatsächlich jedoch unzutreffenden Ergebnis kommt.”

Besser könnte man heute auch nicht beschreiben, wie in deutschen Unternehmen mit Cyber-Sicherheit umgegangen wird – extrem fahrlässig. Cyber-Risiken lassen sich schwer greifen oder beschreiben und sind in den meisten Fällen in Unternehmen sehr technisch geprägt. Die Sicherheitsverantwortlichen kämpfen an vielen Fronten um die knappen Budgets. Dabei wird allerdings an der falschen Ecke gespart. Die Folgekosten für eine erfolgreiche Cyber-Attacke sind in jedem Fall um ein Vielfaches höher als Investitionen, um sich dagegen zu schützen. Dieses wird an dem Beispiel Sony deutlich.

Im April 2011 wurden das Online-PlayStation-Netzwerk und der Qriocity Musikdienst gehackt. Dabei wurden 77 Millionen Nutzerdaten entwendet, darunter auch Kreditkarteninformationen. Die geschätzten direkten Kosten für Sony werden heute auf 171 Mio. US-Dollar beziffert. Darüber hinaus gibt es Schätzungen, dass Sony durch diesen Vorfall zwischen 750 Mio. und 1,5 Mrd. US-Dollar Umsatzeinbußen haben wird. Um den Angriff abzuwehren, hätten Investitionen in Bereich von 2 bis 3 Mio. US-Dollar ausgereicht.

Natürlich ist man hinterher immer schlauer, aber eines ist auch klar: Wenn man sich in seinem Unternehmen nicht an einem modernen risikobasierten und Intelligence Driven Cyber-Security-Ansatz orientiert, ist es nicht eine Frage ob, sondern nur noch wann ein Angriff erfolgreich sein wird. Und das gilt für alle Unternehmen. Aus einer kürzlich veröffentlichten KPMG-Studie geht hervor, dass der „Datenklau“ in der deutschen Wirtschaft in 2012 sage und schreibe einen Schaden von 43 Mrd. Euro angerichtet hat; eine respektable Zahl, muss ich sagen. Das entspricht einer Verdopplung im Vergleich zu der letzten Studie aus dem Jahr 2010. In 2012 war bereits jedes vierte Unternehmen das Opfer einer erfolgreichen Cyber-Attacke. Die Angriffe kommen inzwischen überwiegend von professionell organisierten Gruppen aus dem Ausland, was die Aufklärung der Fälle erschwert. Vor zwei Jahren standen noch Mitarbeiter an der Spitze der Tätergruppen. Pro Fall ist der Schaden laut KPMG selten unter einer Million Euro.

Wir bei RSA bieten unseren Kunden einen Advanced Cyber Defense Service an. Neben einer Überprüfung der Abwehrfähigkeit gegen moderne Cyber-Attacken, bieten wir auf der Basis unserer Security Analytics-Plattform einen „Mobile Reponse“-Dienst an, bei dem wir Unternehmen, die angegriffen werden, unterstützen, die Angreifer zu erkennen und entsprechende Maßnahmen einzuleiten. Der Bedarf für solche Dienste ist da. Aber eigentlich muss man früher anfangen. Es ist höchste Zeit, dass die Erkenntnisse über die Kosten-Implikationen von Cyber-Angriffen in die Planung der Unternehmen eingehen.