Schutzbedarfsanalyse

IT-Sicherheit - das kalkulierte Risiko

Das Risiko berechnen

Nach der initialen Bestandsaufnahme kommt die Analyse, in deren Zentrum vor allem eine Frage steht: Was kostet es, wenn tatsächlich ein Schaden entsteht? "Sich diese Zahl vor Augen zu führen hilft ungemein bei der Bewertung, welche Summe man aufwenden will, um den Schaden zu vermeiden", so Krafft. "Die Risikoberechnung bei der Schutzbedarfsanalyse geht dabei immer davon aus, dass Unternehmen bereits in eine Grundsicherung investiert haben." Dieser Grundschutz, der, je nach Größe und Komplexität der Daten, bis zu 50.000 Euro kosten kann, schirmt Unternehmen bereits vor einer Vielzahl von denkbaren Bedrohungen ab. Um einen realen Wert für das Risiko festzulegen, berechnet der Sicherheitsexperte nun die gewichtete Schadenssumme. Sie setzt sich zusammen aus dem Gesamtschaden (alle Kategorien und Schadensummen), multipliziert mit der Wahrscheinlichkeit des Eintretens.

Schutzbedarfsanalyse - Kosten-Nutzen-Betrachtung
Schutzbedarfsanalyse - Kosten-Nutzen-Betrachtung
Foto: doubleSlash Net-Business GmbH

Im Beispiel sieht das so aus: Die Analyse ergibt, dass eine CAD-Datei, die ein wichtiges Bauteil eines Produktes abbildet, zwei Bedrohungen ausgesetzt ist:

1. Sie wird bewusst manipuliert. Die Folge: Das Bauteil geht kaputt. Für das Unternehmen bedeutet das: Ersatzleistung, erhöhten Serviceaufwand und gegebenenfalls auch einen Imageverlust. Addiert man die Kosten für den Ersatz des Bauteils, den Mehraufwand im Service und der Imagekampagnen, die das Unternehmen aufsetzen muss, kommt man zum Beispiel in etwa auf eine Summe von 3,2 Millionen Euro. Die Wahrscheinlichkeit, dass dieses Szenario eintritt, liegt bei etwa zehn Prozent, somit ergibt die gewichtete Schadensumme für Bedrohungsszenario 1 : 32.000 Euro.

2. Die Datei wird entwendet, um das Bauteil zu fälschen. Die Folgen sind Umsatzverluste und Imageschäden. Die Summe aus Umsatz- und Imageverlusten kann hier, je nach Bauteil, etwa 5 Millionen Euro betragen, was eine gewichtete Schadensumme von 2,5 Millionen Euro bedeutet.

Hier ein Rechenbeispiel, um die gewichtete Schadenssumme zu ermitteln.
Hier ein Rechenbeispiel, um die gewichtete Schadenssumme zu ermitteln.
Foto: doubleSlash Net-Business GmbH

Die Wahrscheinlichkeit, dass dieses Szenario eintritt, ist recht hoch. So erleide die deutsche Wirtschaft knapp zwölf Milliarden Euro Schaden durch Spionage, hat eine Studie des Unternehmens Corporate Trust "Industriespionage 2014 - Cybergeddon der deutschen Wirtschaft durch die NSA und Co?" ermittelt. Vor allem die zunehmende Vernetzung von Unternehmen auch aus dem Mittelstand macht es den Spionen und ihren Auftraggebern oftmals leicht. Fast 50 Prozent der betroffenen Firmen registrierten Hacker-Angriffe auf Server, Laptops, Tablets und Smartphones. Bei 41 Prozent wurden E-Mails oder Faxe mitgelesen, vermuten die Geschädigten.