Return on Investment mit Cybersicherheit
Das Risiko des Nichthandels wird in der digitalen Welt oft als Risiko mangelnder Cybersicherheit bezeichnet, allerdings nicht vollständig verstanden. Aus diesem Grund passt eine Frage des Technikjournalisten Paul Gillin zur Frage, was der ROI ist, sehr gut zu dem Thema, das wir jetzt diskutieren: „Wenn Sie ROI sagen, meinen Sie damit den Return on Investment oder das Risiko der Untätigkeit? Ich glaube, beides ist eng miteinander verflochten. Oft fragen sich die Entscheider in einem Unternehmen ob Investitionen in Cybersicherheit eine nutzlose Verbrennung von Bargeld oder ein dringend benötigter Kompromiss ist. Die Unternehmen befinden sich zwischen vielen Marktkräften und Dilemmas, ob und wie sie selbst ihre Produkte und Prozesse sichern sollten. Einige investieren nur weil es eine gesetzliche Vorschrift ist. Kritische Industriezweige wie das Gesundheitswesen, die Energie- und Nahrungsmittelindustrie müssen es tun, weil das Gesetz oder Verordnungen es vorschreiben. Jeder sollte es aber tun, da wir in einer voll digitalisierten Welt leben, die täglich ihre globale Angriffsfläche erhöht und damit eine Gefahr für uns alle darstellt. Ihre Gegner oder die Gegner Ihrer Kunden können überall sein. Die Aktionen der Angreifer um Ihre Produkte und Prozesse anzugreifen werden gut finanziert und sollen die Rendite der Angreifer erhöhen. Sie können vielleicht nicht in der Lage sein den eigenwilligsten Gegner zu vereiteln, für den die Kosten keine Rolle spielen. Aber Sie können definitiv andere Ziele attraktiver machen, als Sie eines sind.
Das Diagramm zeigt Ihnen den Kompromiss zwischen Verlusten und Gewinnen bei der Sicherung der IoT-Geräte und veranschaulicht allgemein die Informationssysteme.
Auf der linken Seite sehen Sie die kumulative Anzahl der Bedrohungen weltweit. Im Gegensatz zur physischen Welt hat die digitale Welt eine Angriffsfläche, die sich auf den gesamten Planeten erstreckt. Und dies gilt für jedes der IoT-Geräte, die Sie herstellen oder einsetzen können. Gefahren gehen in der Regel vor allem von hochautomatisierten Angriffsprozessen aus, und sie sind vielfältig.
Auf der rechten Seite sehen Sie den Grad der Bedrohungskapazität, die Ihre Geräte angreift. Je höher der Grad der Fähigkeit, desto geringer die Anzahl der möglichen Bedrohungen. Diese Bedrohungen und ihre Fähigkeiten sind in der Lage, bei Ihnen unterschiedlich hohe Verluste auszulösen. Die Frage ist: Wie groß ist Ihre Risikobereitschaft, diese potenziellen Verluste hinzunehmen? Wenn Sie den orangefarbenen Balken für die Risikobereitschaft nach links verschieben würden, dann wären Ihre Investitionen in die Sicherung Ihrer Produkte und Prozesse entsprechend geringer. Siehe dazu die gelbe Kurve. In diesem Fall würde aber auch der akzeptierte mögliche Verlust durch Cyber-Angriffe zunehmen. Die Logik gilt natürlich, wenn man den orangefarbenen Balken nach rechts verschiebt. In diesem Fall haben wir ein geringeres mögliches Risiko, aber höhere Investitionen. Sie müssen nur die richtige Höhe der Investitionen je nach Ihren Bedürfnissen und denen Ihres Marktes finden.
Je nachdem, ob Sie die IoT-Geräte einsetzen oder nur herstellen, gibt es unterschiedliche Ansätze. Wenn Sie die digitalen Services oder Produkte nur einsetzen, dann sollten Sie ggf. nur Faktoren wie die folgenden berücksichtigen:
• Die Schwere des Risikos.
• Die Wahrscheinlichkeit des Risikos.
• Die Größenordnung der Kosten.
• Wie wirksam die Gegenmaßnahmen zur Risikominderung sind.
Wenn jedoch Ihr Kunde oder der Kunde Ihres Kunden usw. in der Lieferkette ist, der diese digitalen Produkte oder Services verwendet, beeinflussen viele andere Faktoren die Kostenfunktionen. Unter ihnen möchte ich erwähnen:
• Marktnachfrage und Rentabilität
• Funktionen der Grenzeinnahmen
• Größen- und Verbundvorteile
• Das Agency-Problem und sicherheitsbasierte Anreize
• Bürokratie, Regulierung, usw.
In beiden Situationen haben wir es mit einer Reihe von Verlustarten zu tun, die für alle gelten. Und die Kapitalrendite ist hauptsächlich durch die Reduzierung der Risiken gegeben, die aus verschiedenen Verlustarten entstehen. Sie können wie folgt sein:
• Produktivitätskosten
• Ersatzkosten
• Verlust an Wettbewerbsfähigkeit
• Antwortkosten
• Strafen und Einbüße zahlen.
• Ruf Ihrer Marke
Durch die Bewertung und Verbesserung der Cyber-Sicherheit können Unternehmen vom Risiko der Untätigkeit zum Return on Investment wechseln. Einmal die Verantwortung erkannt, stellt sich für jedes Unternehmen die Hauptfrage: Wie viel sollten wir in ein solches Unterfangen investieren, und wie hoch ist die Rendite, die sich daraus ergibt? Die Antwort darauf kann nur dann gegeben werden, wenn eine Due Diligence durchgeführt wird und das Management sich zu der so notwendigen Due Care verpflichtet. Das ist eine bewusste Handlung. Wir sind aber in dieser zutiefst digitalen Welt alle in der Pflicht, egal ob wir durch Regulierung, nachhaltigem Denken oder die Marktkräfte diktiert werden.
Ovidiu Ursachi
Ovidiu Ursachi ist Geschäftsführer der masernet GmbH und Experte für IT- und Cybersecurity. Er verfügt über mehr als 15 Jahre Erfahrung in der IT-Branche, im Bereich Cybersecurity, Software-Entwicklung und der Umsetzung von Managed Security Services.