Das Einmaleins der IT-Sicherheitsinvestitionen
Unternehmensführer werden zunehmend mit Cybersicherheitsrisiken konfrontiert, denen eine Investition in die IT-Sicherheit gegenübergestellt wird. Fehlende Quantifikation der IT-Risiken und nicht gelebtes Risikomanagement erschweren die Investitionsdiskussionen. Der Artikel zeigt, wie ein möglicher Sicherheitsinvestitionsprozess aussehen könnte.
Der Mehrwert von Investitionen in die Cybersicherheit lässt sich nur abstrakt als Gewinn beschreiben, und ist zugleich auch nur Schutz von potenziellen Verlusten.
Es existieren viele Methoden, um den Mehrwert von Investitionen aussagekräftig zu bestimmen. Eine einfache und zugleich weit verbreitete Kennzahl ist der Return on Investment (ROI), der die Rendite einer unternehmerischen Tätigkeit – gemessen am Erfolg im Verhältnis zum eingesetzten Kapital – abbildet. Typischerweise werden Investitionsvorhaben von Unternehmen gründlichst und nachvollziehbar mittels unterschiedlichster Methoden berechnet, um daraus die resultierenden Chancen und Risiken abzuleiten. Investiert man hingegen in die IT-Sicherheit, also «neudeutsch» in die Cybersicherheit, eines Unternehmens, sind solche Methoden nur bedingt aussagekräftig. Die Gründe dafür werden nachfolgend ausgeführt.
Abstrakter «Sicherheitsgewinn»
Sicherheitsinvestitionen – also der zielgerichtete Einsatz von Kapital, um IT-Sicherheitsrisiken zu verwalten – lassen sich nur mangelhaft quantitativ begründen. Der Grund liegt in der Tatsache verborgen, dass aus einer Sicherheitsinvestition kein monetärer Gewinn entsteht. Viel eher werden potenzielle Verluste verringert oder sogar verhindert. Wenn also ein Unternehmer in neue Lizenzen für den Virenschutz investiert, so resultiert daraus kein Gewinn in monetärer Form. Im Gegenteil, Sicherheitsinvestitionen können sogar die Produktivität von Mitarbeitenden negativ beeinflussen und somit neben den direkten auch indirekte Kosten verursachen, die berücksichtigt werden müssen. Wer kennt es nicht: der Computer, der nach dem Sicherheitsupdate langsamer läuft, oder der stundenlange Ausfall notwendiger IT-Systeme während der Installation einer neuen Firewall?
Daher ist die «Währung» für die Investition zweckfreies Kapital (zum Beispiel CHF), während der Ertrag so was Ähnliches wie ein Sicherheitsgewinn oder anders formuliert die Vermeidung, Reduktion oder der Transfer eines IT-Sicherheitsrisikos darstellt. Der eigentliche Sicherheitsgewinn lässt sich somit als Delta zwischen dem Risikoportfolio vor und nach der Sicherheitsinvestition beschreiben. Die nachfolgende Grafik beschreibt den Zusammenhang zwischen Sicherheitsgewinn sowie den Sicherheitskosten und dem entsprechenden Sicherheitslevel.
Das Präventionsparadox
Diese Diskrepanz ist der Grund, weshalb Sicherheitsinvestitionen sehr komplex sind und oftmals Diskussionen mit sich ziehen. Ein weiterer Grund ist das Präventionsparadox, nämlich dass Unternehmer sich fragen, warum sie Kapital freigeben, obschon noch «nie» ein ITSicherheitsrisiko realisiert wurde. Bereits aus diesen einfachen Zusammenhängen wird ersichtlich, wie wichtig zumindest ein «rudimentäres» IT-Risikomanagement ist.
Anderenfalls lässt sich nicht einmal der abstrakte Sicherheitsgewinn bestimmen, und der komplette Mehrwert einer Sicherheitsinvestition bleibt intransparent. Gesetze, Vorschriften und Normen vereinfachen hier die Argumentation, da man eine Sicherheitsinvestition mit der Konformität begründen kann. Oftmals wird jedoch zu stark simplifiziert und Konformität mit Sicherheit gleichgestellt, was nicht zwingend korrekt sein muss. Dennoch kann ein solches Vorgehen Unternehmen helfen, die «richtigen» Prioritäten zu setzen oder zumindest nicht komplett auf dem Holzweg zu sein.
Eine aussagekräftige quantitative Bewertung von IT-Sicherheitsrisiken würde die Möglichkeiten für adaptierte betriebswirtschaftliche Kennzahlen wie den Return on Security Investment (ROSI) freimachen. Beim ROSI wird eine Sicherheitsinvestition als rentabel eingestuft, wenn der Effekt der Risikominderung grösser ist als die erwarteten Kosten (Risikorealisierungskosten). Ungenügende statistische Daten, begleitet von grossen Dunkelziffern und fehlenden Standards in der Schadenserfassung, machen Vergleiche jedoch schwierig bis unmöglich. Daraus resultiert, wenn überhaupt, ein qualitatives IT-Risikomanagement, das – basierend auf der «Eintrittswahrscheinlichkeit» und dem «Schadensausmass» IT-Risiken in Unternehmen – bewertet. Die Aussagekraft von qualitativen Risiken hängt jedoch stark von der Erfahrung des Bewerters sowie weiteren subjektiven Faktoren ab. Aus diesem Grund sind Übervalidierungen und erfahrene Experten unabdingbar, wenn Sicherheitsinvestitionen davon abhängig gemacht oder deren Wirkung validiert werden.
Der IKT-Minimalstandard
Speziell in KMU ist es sehr schwierig, solches Expertenwissen zu internalisieren, und der Einkauf von externen Leistungen gleicht bereits einer Investition in die ITSicherheit. Speziell für diese Unternehmensgruppe müssen pragmatische Lösungen bereitgestellt werden und Kennzahlen zur Orientierung publiziert werden. Ein möglicher Orientierungspunkt bietet dabei der vom Bundesamt für wirtschaftliche Landesversorgung (BWL) publizierte IKTMinimalstandard, der für unregulierte Unternehmen als Orientierungshilfe verwendet werden kann. Hingegen ist dieser für kritische Infrastrukturen verpflichtend.
Mit der voranschreitenden Digitalisierung praktisch in allen Sektoren und den damit verbundenen steigenden IT-Ausgaben kann ein fakultatives Self-Assessment jedoch allen Unternehmern ans Herz gelegt werden. Der IKT-Minimalstandard kann auch als Werkzeug für die Validierung von Sicherheitsinvestitionen verwendet werden. So lässt sich prüfen, ob das Investitionsvorhaben dazu dient, den IKT-Minimalstandard zu erreichen, oder auf einer anderen Motivation beruht. Das Vorhaben lässt sich «challengen», indem geprüft werden kann, ob es für das Sicherheitsinvestitionsziel, zum Beispiel der Mitigation des Risikos «Datenverlust», eine monetär günstigere Sicherheitsinvestition gibt.
Sicherheitsziel als Vorgabe
Mit fortschreitenden Kosten in der Digitalisierung während herausfordernden Zeiten auf dem Markt gibt es neben der rationalen Entscheidungsfindung keine sinnvolleren Optionen. So sollten tunlichst Fehl, Über, wie auch Unterinvestitionen vermieden werden und Sicherheitsinvestitionen nicht als fest budgetierter «Sündenerlass» angesehen werden. Stattdessen sollten diese bestmöglich und abhängig vom Sicherheitsziel sein. Nur so ist eine langfristige Sicherheitsstrategie umsetzbar, da ITSicherheitsprobleme allem Anschein nach nicht verschwinden werden. Überreaktionen und Aktionismus – ausgelöst durch mediale Berichterstattungen – sollten immerwährend dem rationalen und strategiegetriebenen Einsatz von Kapital untergeordnet werden, auch wenn diese zum Teil schnelle Reaktionszeiten erfordern.
Ein weiterer interessanter Indikator für Sicherheitsinvestitionen bietet die Innovationserhebung der Konjunkturforschungsstelle (KOF) der ETH Zürich. Diese wird jeweils alle zwei Jahre mittels einer Umfrage durchgeführt. Die aktuelle Erhebung beruht auf Daten, die im Jahr 2020 erfasst wurden. Einerseits ist es interessant, festzuhalten, dass rund 17 Prozent aller befragten Unternehmen Probleme bei der IT-Sicherheit hatten. Diese Zahl kann als Anhaltspunkt für die übergeordnete Wahrscheinlichkeit der Realisierung eines IT-Sicherheitsrisikos verstanden werden. Ebenfalls halten die Autoren der Studie fest, dass die Gesamtausgaben für Sicherheitsinvestitionen etwa bei 0,18 Prozent der Bruttoinvestitionsmenge liegen möge. Da der Begriff Sicherheitsinvestitionen vermutlich nicht von allen Studienteilnehmenden gleich interpretiert wurde, sind die Zahlen mit einer «gewissen» Vorsicht zu geniessen.
IT-Risikomanagement als Basis
Abschliessend kann festgehalten werden, dass sich der Mehrwert von Sicherheitsinvestitionen praktisch nur als Sicherheitsgewinn darstellen lässt. Dieser Sicherheitsgewinn ist wiederum der Schutz von potenziellen Verlusten und kann als Differenz des IT-Risikoportfolios vor und nach einer Sicherheitsinvestition verstanden werden. Will man den effektiven Mehrwert einer Sicherheitsinvestition bestimmen, ist man auf ein glaubwürdiges und validiertes IT-Risikomanagement angewiesen. Aus Perspektive der Unternehmensführung ist es essenziell, das Delta zwischen dem Ist und Soll im Risikoportfolio zu sehen und die Investitionsdiskussion darauf basierend zu führen.
Für die Validierung von Sicherheitsinvestitionen sowie deren Priorisierung können Normen, Vorschriften und Gesetze herangezogen werden. Hier eignen sich die inzwischen unzähligen Mini-Frameworks, die extra für KMU entwickelt wurden. Als Benchmark für den Budgetprozess können Kennzahlen wie die oben erwähnten oder andere Richtgrössen verwendet werden.
(Erstpublikation: KMU-Magazin Nr. 4-5, Mai 2023)