Was kostet die Welt? : Oder: Über die Schwierigkeit, Security-Kosten zu ermitteln und zu vergleichen

Von Sebastian Broecker, Bad Soden

„Mit scharfem Blick, nach Kennerweise, seh ich zunächst mal nach dem Preise. Und bei genauerer Betrachtung steigt mit dem Preise auch die Achtung.“ Dieses Zitat wird Wilhelm Busch zugeschrieben – es ist aber auch hervorragend geeignet, die Frage nach Security-Kosten zu beschreiben: Diese steigen im Rahmen zunehmender Bedrohungen ständig, sodass sich manche Führungskraft fragt, ob man wirklich „alles an Sicherheit“ einkaufen muss beziehungsweise wo man sparen könnte. Dazu gehört aber auch, erst einmal zu verstehen, was sich hinter dem Stichwort „Security-Kosten“ tatsächlich verbirgt.

Vor einigen Jahren fragte ein höherer Manager den Autor in seiner Rolle als IT-Security-Verantwortlicher leichtfertig, wie viel denn die sogenannte Security das Unternehmen eigentlich koste – um diese Kosten dann auf einer Konferenz mit anderen Unternehmen vergleichen zu können. Abgesehen von der naheliegenden Antwort, was denn das Fehlen von Security bei einem Angriff kosten würde, zeigte sich bei der Analyse sehr bald, dass das Thema doch erheblich komplexer ist, als man zunächst denken könnte.

Personal

In vielen Firmen gibt es nicht nur die Informations-Sicherheit/IT-Security, sondern auch die klassische, physische Security (Werkschutz), die nicht zuletzt Straftaten wie Sabotage oder Einbrüche auf dem Firmengelände unterbindet. Doch auch sie dient der IT-Security, indem sie Betriebsfremde davon abhält, auf dem eigenen Gelände Werkspionage zu betreiben oder IT-Systeme physisch erreichen und manipulieren zu können. Somit könnte man letztlich den Wachmann an der Pforte genauso zur Berechnung der Personalkosten „der Security“ einbeziehen wie den CISO.

Dieses Gedankenspiel lässt sich noch einen Schritt weiter treiben: Oft ist etwa der IT-Sicherheitsverantwortliche einem Manager unterstellt, der auch andere Themen betreut – etwa Arbeitsschutz oder Finanzen. Auch haben
manche Abteilungen nur Mitarbeiter, die beispielsweise zu 75 % der Security und zu 25 % anderen Aufgaben (z.B. Lizenzmanagement) zugeordnet sind. Nun könnte man die „Gilt-als-Security-Personal“-Regel so festlegen, dass ein Mitarbeiter ab 51 % spezifischer Tätigkeit als Security-Mitarbeiter gilt. Dies führt jedoch zu einem Paradoxon: Angenommen die IT-Governance-Abteilung hat inklusive CISO 5 Personen, die gesamten Themen des zuständigen Managers noch 25 weitere. Dann schlüge der verantwortliche Manager, beispielsweise ein CIO oder CSO, nur zu 1/6 für die Security zu Buche (rund 17 %), der Pförtner aber zu 100 %. Somit wäre der Manager, der Chef des CISOs ist, nicht Teil der Zählung, der Wachmann schon.

Solche „Verwerfungen“ führen bei Managern meist zu intensiven Rückfragen oder „interessanten“ Gesichtsausdrücken. Hinzu kommen noch weitere Herausforderungen, wie IT-Rechtsexperten oder Datenschutzbeauftragte, die oft in anderen Abteilungen zu finden und formal nicht der IT-Security zugeordnet sind. Man sieht schon, dass bereits das vermeintlich einfache Gebiet des Personalwesens gar nicht so leicht zu fassen ist.

Technik

Stellt man die Frage nach den Security-Kosten, so hat dies meist einen von zwei Hintergründen: das Erkennen von Einsparpotenzial oder (oft als Vorstufe davon) die Vergleichbarkeit mit anderen Unternehmen. Letzteres ist ebenfalls gar nicht so einfach, wie man meint: Denn oft nutzen die zu vergleichenden Unternehmen unterschiedliche Technik, Verfahren und Dienste. So mag eine Firma Office365 einsetzen und hierfür externe Schutz- und Analysemaßnahmen bei Microsoft einkaufen, während eine andere vielleicht weniger vergleichbare Dienste ausgelagert hat. Eine Firma mag eine große eigene Softwareentwicklung ihr eigen nennen, für die sie eigene Security-Konzepte durchsetzt, während eine andere nur Software „von der Stange“ verwendet. Ein weiteres Unternehmen legt vielleicht einen expliziten Schwerpunkt auf IoT-Sicherheit, während ein anderes zwar ähnlich anmutende Geräte verkauft, die aber nicht intenetfähig sind – und so weiter.

Auch das Thema Lieferkettensicherheit kann gewichtige Einflüsse auf die Kosten der Security haben, woraus sich noch ein komplexer Unterpunkt ergibt, der nur kurz erwähnt werden soll: Zulieferer und Tochterfirmen außerhalb des eigenen Landes, für die es möglicherweise spezielle rechtliche Vorgaben oder länderspezifische Herausforderungen zu beachten gibt. Neue Technologie entwickelt sich zudem schnell, was aber nicht automatisch heißt, dass jede Firma sie einsetzt oder ihre Risiken und somit den Schutzbedarf (und die damit verbundenen Kosten) versteht.

(Mangelnde) Adaptionsfähigkeit

2015 fiel etwa der Pariser Flughafen Orly durch einen technischen Defekt der Landebefeuerung für einige Stunden aus – die Ursache war ein Problem des damals 23 Jahre alten Betriebssystems Windows 3.11. Eine bizarre Ausnahme? Nicht unbedingt: Im gleichen Jahr wollte der Fukushima-Betreiber Tepco seine 48 000 PCs noch bis 2018 – also 4 Jahre über das letztmögliche Supportende hinaus – weiter betreiben, um Kosten zu sparen und änderte seine Meinung erst auf den Druck der japanischen Finanzbehörde (vgl. etwa https://heise.de/-2617844). Ein weiteres Beispiel: Vier britische U-Boote mit Atomraketen liefen Medienberichten zufolge 2018 noch immer mit Windows XP und werden dies vermutlich bis zu ihrer Ausmusterung im Jahre 2028 (!) weiter tun (vgl. etwa www.pc-magazin.de/news/windows-xp-atomwaffen-uboot-royal-navy-cyber-sicherheit-3195634.html).

In allen drei Beispielen sind wohl wirtschaftliche Gründe der Anlass für diese spezielle In-Security – mögen sie auch nicht in aller Tiefe in den denkbaren Implikationen durchdacht worden sein. Somit können ergo auch das Weglassen von Security-Maßnahmen oder eine offensichtliche Adaptions-Trägheit einen gewichtigen finanziellen Vorteil darstellen. Bei Tepco etwa hätte der um fünf Jahre verzögerte Austausch des Betriebssystems für eine so große Menge PCs scheinbar (solange keine Probleme auftauchen) Ausgaben im Millionenbereich sparen können. Dadurch – und durch die veränderte Risikolage – wäre diese Firma aber nicht mehr sinnvoll mit anderen AKW-Betreibern vergleichbar gewesen.

Klassische versus agile Projekte

In den letzten Jahren sind viele Unternehmen auf agile Methoden beziehungsweise Software- und Projektentwicklung umgestiegen (allerdings scheint sich das bereits wieder langsam umzukehren). In einer etwas überspitzten Darstellung bedeutet das, dass man früher die konkreten Anforderungen eines Projekts von Anfang an definiert hat und nun eher dazu neigt, es schnell als „Prototyp“ zu designen, um es dann in iterativen Schritten nach und nach an die noch nicht erfüllten oder neu hinzukommenden Anforderungen anzupassen. Ein solches Vorgehen kann die Kosten, aber auch die daraus entstehenden Security-Risiken bei einer Momentaufnahme stark verzerren – und erschwert eine Vergleichbarkeit von Unternehmen, die agil arbeiten mit denen, die klassisch vorgehen.

Strukturelle Unterschiede

Wie man aus vergleichenden Statistiken entnehmen kann, schwanken die Anteile der Security am IT-Gesamtetat von Land zu Land und liegen meist im Bereich 12–21 % (siehe etwa https://de.statista.com/statistik/daten/studie/1230053/umfrage/anteil-der-ausgaben-fuer-cybersicherheit-an-den-gesamt-it-ausgaben-nach-laendern/ [kostenpflichtig]).

Diese Zahlen sind jedoch nicht nur aus den bisher genannten Gründen schwer vergleichbar: Zum einen hat nicht jedes Land Gesetze, die besondere Regeln für kritische Infrastrukturen vorschreiben und selbst wenn, fallen solche Regelungen oft unterschiedlich detailliert aus. In Deutschland gelten circa 2000 Unternehmen als direkte kritische Infrastrukturen (KRITIS) und vermutlich dieselbe Zahl fällt nochmals im Bereich der erweiterten „indirekten“ KRITIS. Es ist klar, dass mit einer solchen Einordnung besondere Anforderungen verbunden sind, die sich wiederum auf die IT-Budgets auswirken.

Ein einfaches Beispiel: Sieht die ISO 27001 eine Redundanz bestimmter kritischer Systeme vor, dann muss man diese praktisch doppelt vorhalten – was enorme Kosten verursacht. Allerdings gibt es auch ohne den „KRITIS-Zwang“ Best Practises (gerade in Bezug auf Redundanz und Diversifikation), die vielleicht freiwillig oder unfreiwillig (z. B. im Rahmen der Vorgaben einer Cyberversicherung) erfüllt werden können oder müssen. Hält sich ein Unternehmen nun (warum auch immer) an solche Best Practises und ein anderes nicht, sind die Kosten nicht mehr einfach so vergleichbar.

Darüber hinaus kann es sein, dass ein Unternehmen neben der Security (bedingt durch seine Tätigkeit) auch noch Safety-Anforderungen erfüllen muss – also Maßnahmen, die dem Schutz des Lebens und der Gesundheit der Kunden dienen (z. B. in Medizin, Luftfahrt oder Automobilbau). Verwendet nun eine Firma redundante und diversifizierte Systeme, um die Gefährdung von Kunden zu minimieren (z. B. in einem OP-Saal) ist das formal erstmal „Safety“. Gleichzeitig ist es Best Practise für IT-Security, dienst aber womöglich auch der Erfüllung eines gesetzlichen KRITIS-Standards. Redundanz und Diversifikation sind enorme Kostentreiber. Lastet man diese Ausgaben aber nun der Security, Safety oder Compliance an oder womöglich sogar als Best Practise nur dem „normalen“ IT-Etat?

Bei den Strukturen ist zudem zu beachten, wie eine Firma ihre Sicherheit aufgebaut hat: 2016 hatten einer Umfrage zufolge nur 60 % der deutschen Unternehmen einen CISO eingesetzt (www.computerwoche.de/a/cisos-noch-nicht-in-deutschen-unternehmen-etabliert,3327583). Und seltsamerweise haben viele russische Unternehmen oft gar keinen „richtigen“ CISO – diese Meinung vertritt zumindest ein Unternehmensberater auf https://lu.conservationdatasystems.com/6518-why-is-there-no-real-ciso-in-russia.html. Dabei ist die Existenz eines CISO nicht nur wichtig für die Resilienz eines Unternehmens gegen Angriffe, sondern auch für die Budget-Verantwortung im Security-Bereich – nicht umsonst sagt man oft spöttisch, dass ein CISO für das „no“ in „Innovation“ verantwortlich sei. Ob eine Firma ein Cyber-Security-Incident-Response-Team (CSIRT) besitzt/ eingekauft hat oder nicht, ist ebenfalls nicht unerheblich für das IT-Security-Budget.

Ein weiterer Aspekt ist – gerade in Corona-Zeiten – die Möglichkeit (oder sogar gesetzliche Vorgabe), einen Teil der Mitarbeiter über einen längeren Zeitraum ins Homeoffice zu senden. Diese Maßnahme erzeugte bei vielen Firmen, die nicht darauf vorbereitet waren (und wer war das schon vor der Pandemie?) enorme Kosten – nicht nur für Technik und Lizenzen, sondern auch für die damit verbundenen Sicherheitsmaßnahmen. Auch diese Aufwendungen sind – je nach Schutzbedarf – sehr kostspielig. Wenn nun eine Firma „leicht“ Homeoffices implementieren kann und eine andere nicht, kann dies große finanzielle Auswirkungen haben, die eine Vergleichbarkeit der Security-Etats erneut sehr erschwert.

Alles in allem können strukturelle Unterschiede enorme Auswirkungen auf den Etat der Security (und auf die Resilienz) haben – weswegen es bei Etatbetrachtungen sehr wichtig ist, auch strukturelle Details zu beachten.

Schwierige Abgrenzung

Leider gibt es noch etliche weitere Fallstricke für die Vergleichbarkeit verschiedener Firmenetats. Einfachstes Beispiel: der Datenschutz. Zwar gibt es zwischen Security und Datenschutz durchaus Überschneidungen
(z. B. an die Anforderungen an sichere Datenverarbeitung), dennoch sind diese Themen halt doch „nicht ganz dasselbe“. Ähnliches gilt für weitere Compliancefragen: Das Einhalten rechtlicher Vorgaben (z. B. zur Exportkontrolle von IT-Systemen) ist normalerweise eindeutig in der Rechtsabteilung hinterlegt – und doch gibt es zahlreiche Schnittstellen zur IT-Security.

Einfaches Beispiel: Die dienstliche Nutzung von Social Media bringt viele juristische Herausforderungen mit sich – eine Abstimmung sollte unbedingt gemeinsam mit Datenschutz- und Complianceabteilung (sowie ggf. dem Betriebsrat) erfolgen. Hier kommen also datenschutzrechtliche Aspekte, sonstige Fragen der Gesetzeserfüllung, die technische Implementierung durch den IT-Betrieb, womöglich die Beauftragung durch die Personalabteilung (z. B. zur Personalgewinnung) und eben Security-Aspekte zusammen (etwa zur Passwort-Awareness des Social-Media-Verantwortlichen). Noch bizarrer wird es, wenn eine in der Rechtsabteilung genutze Software wie das „besondere elektronische Anwaltspostfach“ schwere Sicherheitslücken aufweist (vgl. etwa https://heise.de/-4163616).

Oder wie sieht es bei einer Spielzeugfabrik aus, die internetfähige Puppen herstellt? Wenn sich nun herausstellt, dass diese leicht zu hackbar sind und Unbefugte Kinder damit belauschen können, kann der „kleine Hinweis“ der Security-Abteilung das ganze Weihnachtsgeschäft beeinträchtigen oder eine Änderung des Produktionsverfahrens bewirken. Fällt dies dann unter „Herstellungskosten“ oder – gerade wenn die Security-Abteilung viel Consulting leisten musste – unter deren Budget?

Noch ein Beispiel: 2021 standen weltweit viele Kassensysteme still, weil Angreifer innerhalb der Lieferkette das Kaseya-System für die Kassenverwaltung kompromittiert hatten. Die Analyse und dazu gehörige Schutzmaßnahmen gehören zwar klar zur Aufgabe der Security-Abteilung der Firma, welche die Kasse betreibt. Die eigentlichen Probleme lagen aber außerhalb – beim Hersteller des Systems. Viele IT-Abteilugen mussten sehr viele Ressourcen in dieses Problem investieren – wobei in manchen Augen der Fehler vielleicht (vielleicht auch nicht) schon beim Einkauf lag, der einfach „sichere Software“ hätte beschaffen müssen.

Oft kann man in unserer komplexen vernetzten Welt gar nicht mehr sagen, ob ein Problem mit den zur Lösung benötigten Ressourcen nun bei der Security-Abteilung angesiedelt ist oder beim IT-Betrieb oder … Man denke nur an Software-Container, ein IT-Werkzeug, das gerade stark im Kommen ist, aber auch öfter durch angreifbare Schwachstellen auffällt. Ist es nun Aufgabe des IT-Betriebs, sich um die sichere Implementierung zu kümmern – oder die der Security-Abteilung?

Fazit

Zahlreiche Beispiele belegen, dass es alles andere als leicht ist, die „echten“ Security-Kosten zu ermitteln. Daher muss man erst mal genau überlegen, warum man dies eigentlich möchte: Will man sein Unternehmen mit (mehr oder minder ähnlichen) anderen Unternehmen sinnvoll vergleichen, dann muss man klare Rahmenbedingungen vorgeben. Aber selbst wenn man beispielsweise definiert, ob physische Sicherheit und Datenschutz mit zum Vergleich zählen oder nicht, gibt es noch viele Stellschrauben und Informationen zu beachten, die möglicherweise nicht einmal öffentlich sind. Diese umfassen etwa Bedingungen wie die Existenz eines CERT/CSIRT, den Umgang mit bestimmten Themen, wie die Sicherheit in der Softwareentwicklung, strukturelle Analysen, aber auch vertrauliche Dinge, wie Lieferkettensicherheit, und vieles mehr.

Ein Vergleich mit anderen Unternehmen bezüglich der Kosten für die IT-Security wäre eigentlich nur sinnvoll, wenn man so viele Randbedingungen und Details kennt – und vergleichbar machen kann – wie es in der Praxis normalerweise nicht geschieht oder möglich ist. Daher ist aus Sicht des Autors ein Vergleich der Security-Kosten verschiedener Unternehmen zumeist so, als vergleiche man den Benzinverbrauch von Panzern, Lastwagen und Kleinwagen: Das kann höchstens quantitativ erfolgen („Hier gibt Firma X viel mehr für die Cloudsicherheit aus als wir.“), da an einen Panzer nun einmal andere Anforderungen zu stellen sind als an einen Kleinwagen.

Interessanter wird es, wenn man sich Kosten der Security für einzelne Teilaspekte der eigenen Organisation anschaut: Dann kann man durchaus feststellen, dass zum Beispiel die Kosten für die physische Sicherheit in den letzten Jahren für das eigene Unternehmen gestiegen, die für die Firewall gleich geblieben und die für Awareness-Maßnahmen gefallen sind. Doch Vorsicht: Solche Zahlen sind nicht selbsterklärend! So könnte es sein, dass die Kosten für die physische Sicherheit durch rechtliche Anforderungen gestiegen sind (weil man nun z. B. zu den erweiterten kritischen Infrastrukturen gehört) oder aber durch Vergrößerung des Geländes (Zukauf von Liegenschaften). Die Firewall-Kosten sind vielleicht gleich geblieben, weil man eine Anschaffung wie eine Firewall für größere Zeiträume tätigt und womöglich erst im übernächsten Jahr ein Totalaustausch für viel Geld nötig sein wird. Und Awareness-Kosten können gesunken sein, weil man jüngst ein Intranettool einsetzt, dessen Publikationen der Praktikant pflegt – oder schlicht keine Sonderaktionen in der Kantine mit Postern und Flyern mehr macht.

So etwas macht sehr wohl einen Unterschied, auch wenn es in beiden Fällen finanziell ähnlich aussieht – Zahlen brauchen daher dringend einen „Erklärbären“ (z. B. den CISO). Das ist essenziell, weil der Nutzen von Security-Maßnahmen zum einen von Managern nicht immer richtig eingeschätzt werden kann – und zum anderen, weil das Wettrüsten mit Angreifern ständig neue technische, personelle und organisatorische Maßnahmen erzwingt. Ohne eine ausführliche Erklärung zu den Zahlen (Kosten vs. Schutzgewinn) würde sonst womöglich auch der zuständige Manager an dieser Stelle Wilhelm Busch zitieren wollen: „Der Gedanke macht ihn blass, wenn er fragt: Was kostet das?“

Dr. Sebastian Broecker war lange Jahre als CISO tätig und arbeitet derzeit als freiberuflicher Autor und Referent.