Wie hoch ist Ihr tatsächliches Risiko?

Wenn wir über Sicherheit sprechen, wird das tatsächliche Risiko häufig übersehen oder nicht vollständig berechnet. Welches tatsächliche Risiko haben Sie als Unternehmen? Was ist für Sie wertvoll? Was möchten Sie nicht durchsickern lassen, offenlegen oder stehlen? In den meisten Fällen handelt es sich dabei um Informationen. Informationen sind unser wertvollstes Gut. Und da sie wertvoll sind, ist damit immer ein gewisses Risiko verbunden.

PH_blog_SE_Risk_Equation

 

Um das Risiko zu berechnen, müssen Sie zunächst wissen, was Sie für Ihr Unternehmen als wertvoll erachten und wie viel Wert diese Information tatsächlich hat. Dies können die Anschaffungskosten sein, die Sie für etwas bezahlt haben, die Entwicklungszeit, der zukünftige Marktwert und sogar, wie viel es kosten würde, es zu ersetzen. Eine Festplatte ist ein relativ billiger Artikel, aber die Informationen darauf könnten potenziell Milliarden wert sein, für Sie oder sogar für jemand anderen.

 

Bedrohung als Risikofaktor

 

Bedrohung ist auch ein Faktor bei der Risikoberechnung. Was sind die größten Bedrohungen, denen Sie ausgesetzt sind? Diese reichen von Naturkatastrophen, Industriespionage, Spionen, verärgerten Mitarbeitern … Im Grunde genommen ist es so, dass, wenn Sie in irgendeiner Art von Geschäft etwas anbieten, das jemand haben möchte, die Wahrscheinlichkeit groß ist, dass jemand anderes wissen möchte, was Sie wissen oder haben möchte, was Sie haben. Bedrohungen sind die Dinge, die Ihrem Unternehmen Schaden zufügen.

 

Schwachstellen sind der Einstiegspunkt in das Unternehmen oder Ermöglichen den Zugriff auf die wertvollen Informationen. Im Bereich der IT-Sicherheit können Schwachstellen die Offenlegung im Internet, ein einfacher Zugriff auf das Unternehmensnetzwerk oder kompromittierte Client-Rechner und -Server sein. Schwachstellen sind aber auch, wenn nicht jeder kontrolliert wird, der das Gebäude betritt, Seiteneingänge unverschlossen/unbewacht sind, Informationen verloren gehen oder verloren gehen oder sogar ein Abend in der Stadt mit den Führungskräften. Menschliches Versagen und Egoismus dürfen nie außer Acht gelassen werden. Betrunkene Menschen reden gerne und sind sich ihrer Umgebung oft nicht bewusst. Man weiß nie, wann jemand Ihre Gespräche belauscht oder die Taschen des Mantels durchsucht, den Sie in der Garderobe abgegeben haben.

 

Erfundenes Beispiel:

 

Unternehmen X ist ein riesiges globales Unternehmen. Es hat Niederlassungen und Produktionsstätten auf der ganzen Welt. Es ist sehr schnell gewachsen und hat seine Sicherheit nicht auf dem neuesten Stand gehalten (böse, böse …). Es verfügt über Informationen, die jemand anderes haben möchte, aber es ist auch ein Ziel wie jedes andere Unternehmen, einfach weil es existiert. Was würde passieren, wenn ein kleiner Teil seines Geschäfts ausfallen würde? Nehmen wir eine Region, in der es Produkt Z herstellt. Wie viele Menschen wären betroffen? Wie hoch wären die Kosten? Können wir diesen Angriff beziffern? Ja, das können wir.

 

Dieser hypothetische Angriff hat die Region mit einem guten alten Krypto-Locker lahmgelegt, der durch eine gezielte Phishing-Kampagne in die Region gelangte und auf veralteten Systemen basierte, denen dringend benötigte Sicherheitspatches fehlen.

 

Die ersten Kosten, die wir betrachten, sind der Produktionsausfall bei dem, was auch immer sie herstellen. Nehmen wir an, ihr täglicher Produktionswert beträgt 1.000.000 € und sie waren 2 Wochen lang außer Betrieb! Das sind Verluste von 10 bis 14.000.000 € (je nachdem, ob sie an den Wochenenden frei haben). Und sie sind jetzt im Rückstand, also müssen sie beim Neustart möglicherweise ihre Produktion steigern, um das auszugleichen. Aber das sind nicht die einzigen Kosten. Es werden zweifellos Menschen rund um die Uhr arbeiten, um den Angriff zu stoppen, zu versuchen, ihn zu beheben und herauszufinden, was schiefgelaufen ist. Nehmen wir einfach an, dass etwa 100 Menschen einen Monat lang wie verrückt daran gearbeitet haben, dies einzudämmen und zu beheben, damit die Produktion wieder aufgenommen werden kann. 100 Personen mit durchschnittlichen Kosten von (schätzen wir) 50 €/Stunde für das Unternehmen, 10 Stunden am Tag. Das sind zusätzliche Kosten von 1.500.000 €! Allein für die Leute, die versuchen, diesen Vorfall einzudämmen. Weitere Kosten könnten der Ersatz von möglicherweise beschädigter Ausrüstung sein.

 

Versteckte Kosten

 

Es gibt auch ein paar versteckte Kosten, an die Sie nicht sofort denken. Haben die Angreifer, bevor sie den Krypto-Locker freigaben, auch Daten gestohlen? Es ist möglich, dass sie auch wertvolle Informationen gestohlen haben. Könnte dies ein Konkurrent sein, der jetzt Ihre Geheimnisse kennt? Oder jemand, der sie an Ihre Konkurrenz verkauft? Dies könnte zu Geschäftsverlusten für Sie führen, wenn jemand Ihr Produkt zu einem leicht reduzierten Preis anbietet.

 

Die anderen versteckten Kosten sind Markenschäden. Wenn der Vorfall in die Nachrichten kommt, könnte dies dazu führen, dass die Kunden das Interesse verlieren und nicht kaufen, was auch immer sie zu verkaufen versuchen. Dies könnte möglicherweise am schwierigsten sein, um wieder davonzukommen.

 

Was hätte man angesichts dieses erschreckenden Szenarios tun können, um dem entgegenzuwirken, und wie viel hätte das gekostet? Kurz und knapp: Die Systeme hätten auf dem neuesten Stand gehalten und gepatcht werden müssen, außerdem hätten sie E-Mail-Filter und Schulungen zur Benutzersicherheit erhalten müssen. Nehmen wir an, das würde sie zusätzlich 2.000.000 € pro Jahr an Ressourcen, Software und Ausrüstung kosten, um den Angriff auf ein vernünftiges Niveau zu begrenzen. Das sind nur 166.666 € pro Monat. Wenn man bedenkt, dass ihre Verluste in einem Monat 15.000.000 € überstiegen, ist das ein geringer Preis für die Prävention.

 

Weitere großartige Ressourcen zu diesem Thema finden Sie in Ira Winklers Buch „Spies Among US“. Iras Gleichung weist dem Risiko einen Geldwert zu, was sie zu einem guten Motivator macht. Oder Tony UcedaVelez’ Buch „Risk Centric Threat Modeling“.

 

Zusammenfassend lässt sich sagen, dass Unternehmen sich mehr auf ihr tatsächliches Risiko konzentrieren und diesem einen Geldwert zuordnen sollten. Es kommt viel zu häufig vor, dass Vorfälle wie das obige Beispiel tatsächlich passieren. Die Kosten können hoch sein und waren es auch schon. Aber mit ein wenig Präventionsplanung können viele dieser Vorfälle drastisch reduziert werden. Bestimmte Dinge werden immer passieren und es ist unmöglich, jeden einzelnen Angriff zu verhindern, aber es gibt viele Möglichkeiten, ihn frühzeitig zu erkennen und zu stoppen, bevor er zu schwerwiegend wird.

 

"Die einzigen Leute, die behaupten, sie könnten Ihnen vollständige Sicherheit bieten, sind Narren oder Lügner.Ira Winkler – Spies Among Us

Jesse Watson

Jesse ist ein entspannter Mensch und fühlt sich in einer stressigen Umgebung zu Hause. Aufgrund früherer Arbeitserfahrungen fühlen sich ein hohes Tempo und Multitasking am Arbeitsplatz wohl. Jesse stellt sich gerne neuen Herausforderungen und Projekten, bei denen Lernen und Entwicklung ein Ziel sind. Seit 2017 lernt Jesse und führt Penetrationstests auf Vollzeitbasis durch.

Bleiben Sie informiert! Verpassen Sie keine News und Updates mehr.

Holen Sie sich exklusive Insights, Tipps und Know-how rund um Qualitätssicherung direkt in Ihr Postfach.

Diesen Artikel teilen