IT-Risk-Management V2: Kosten Nutzen · 2015-03-24 · V2: Kosten Nutzen Rüdiger Grimm ... Anthem Inc. stored the Social Security numbers of 80 million customers without ... BKA

1

Seite 1

/76© R. Grimm / H. Hundacker 1

IT-Risk-Management

V2: Kosten Nutzen

Rüdiger Grimm / Helge HundackerInstitut für Wirtschafts- und Verwaltungsinformatik

Universität Koblenz


Gliederung

1. Motivation2. Kosten3. Nutzen4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze (Risikomatrix, Szenariotechnik)7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung

2

Seite 2


Ziele

• Investitionsentscheidung:– Abwägung von Kosten und Nutzen einer Sicherheitsmaßnahme

– Planung von Alternativen

• Überprüfung der getroffenen Entscheidung

/76

Datenleck bei Auskunftei

© R. Grimm / H. Hundacker 4

Peter Hornung, NDR Info: Datenleckbei Bertelsmann-Tochter Infoscore.NDR Info, 23.03.2015 01:00 Uhr http://www.ndr.de/info/programm

/Datenleck-bei-Bertelsmann-Tochter-Infoscore,datenschutz364.html

[…] Die zuständige Datenschutz-aufsicht in Baden-Württemberghat die Infoscore Consumer Data GmbH inzwischen zu einer Stellungnahme aufgefordert.In einem Schreiben an NDR Info erklärte die Bertelsmann-Tochter gerade, man prüfe "seit Kurzem", weitere Sicherheitsmechanismen einzuführen .

3

Seite 3


2015: Data Theft (examples)

Networkworld, 5 Feb 2015

• Insurance giant Anthem discloses huge customer and employee data breach:Income data, Social Security numbers, names and addresses were stolen. Anthem, one of the largest U.S. health insurers, said Wednesday one of its IT systems was breached, resulting in the loss of customer and employee information including income data.http://www.networkworld.com/article/2880194/security/insurance-giant-anthem-discloses-huge-customer-amd-employee-data-breach.html

The Wall Street Journal, 5 Feb 2015

• Health Insurer Anthem Didn’t Encrypt Data in Theft:Anthem Inc. stored the Social Security numbers of 80 million customers without encrypting them, the result of what a person familiar with the matter described as a difficult balancing act between protecting the information and making it useful.http://www.wsj.com/articles/investigators-eye-china-in-anthem-hack-1423167560


2015, 2014: Data Theft (examples)

Bloomberg Data Theft News, Feb 24, 2015:• Medical ID Theft Increases as More U.S. Health Data Goes Digital:

Medical identity theft jumped 22 percent last year as more U.S. health data becomes electronic and easier for cyber criminals to steal from doctors’ offices, hospitals and insurers.Incidents of medical identity theft in 2014 saw almost 500,000 people fall victim to sham companies committing insurance fraud, or impostors seeking free medical care, according to a report released this week by the PonemonInstitute, a Traverse City, Michigan-based data-privacy research firm.

Bloomberg Data Theft News, Nov 19, 2014:• Staples Says It Can’t Yet Estimate Breach Losses:

Staples Inc., the world’s largest office-supply chain, said it can’t yet “reasonably” estimate the potential losses and expenses it will incur in connection with the possible credit-card data breach disclosed last month. […] Staples’ potential data theft is among a wave of breaches at companies such as Home Depot Inc., Target Corp., Sears Holdings Corp.’s Kmart chain and Neiman Marcus Group Ltd. that have put pressure on retailers to bolster security.

• http://www.bloomberg.com/topics/data-theft

4

Seite 4


2013: Attacks in the News (example)

Parmy Olson, Forbes Staff, 27.3.2013:

• “Biggest Cyber Attack In History Could Have Been Car ried Out With Just A Laptop ”:[…] A skirmish between the anti-spam organization Spamhaus and a Dutch web-hosting firm has ranked as the biggest known distributed denial of service (DDoS) attack, and reportedly slowed down global internet speeds. […] Kaspersky Labs in 2011 saw data speeds of 70 megabits per second . The latest attacks on Spamhaus saw speeds hundreds of times that, at 300 billion bits per second, or 300 Gbps . Prolexic, the biggest anti-DDoScompany out there, has said it can halt attacks that reach a maximum 100 Gbps. […]http://www.forbes.com/


Meldungen, 2010

• 31.5.2010, http://www.cio.de/knowledgecenter/securi ty/2232695/– „Sicherheitsvorfälle drastisch gestiegen (Autor: Andreas Schaffry)”

• PricewaterhouseCoopers, Information Security Breaches Survey 2010: „Sicherheitsvorfälle bei 92 Prozent in 2009“:

• 2009– in 92 Prozent der Großunternehmen gab es einen Sicherheitsvorfall– im Schnitt 45 Sicherheitsverletzungen pro Firma.– Finanzieller Schaden zwischen 280.000 und 690.000 Pfund Sterling.

• zum Vergleich 2008– in 72 Prozent der Firmen ein Sicherheitsleck– im Schnitt 15 Sicherheitsverletzungen– Finanzieller Schaden zwischen 90.000 und 170.000 Pfund.

5

Seite 5

/76© R. Grimm 9

Kriminalstatistik 2013 „ Cybercrime“Schäden 2009-2013

Aus: BMI/BKA, Polizeiliche Kriminalstatistik 2013, S. 9 undBKA 2013, Cybercrime Bundeslagebild 2013, Abschn. 2.1, S. 7, Tab. 1

50 Mio EUR

/76

Schaden Cybercrime 2013

• Computerbetrug (Viren, Hintertüren, Missbrauch von Daten, unbefugte Datennutzung)

• 23.242 Fälle = 9% aller Tatmittel Internet• 40 Mio EUR

• Davon Phishing:• 4.096 Fälle = 17,6% von Computerbetrug• 16,4 Mio EUR = 41% von Computerbetrug

• Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten• 2.730 Fälle = 1,1% aller Tatmittel Internet• 2,6 Mio EUR

• (dagegen Gesamtschaden aller Kriminalfälle 8 Mrd. EUR)

BKA, Cybercrime Bundeslagebild: Abschnitte 2.1-2.2, S. 7-8

6

Seite 6


Dollar Amount Losses by Type 2007

[CSI/FBI 2007 Computer Crime and Security]

for ca. 300 respondents


Dollar Amount Losses by Type 2010/11

[CSI/FBI 2010/11 Computer Crime and Security, page 2]

“Fewer respondents than ever are willing to share specific information about dollar losses they incurred. Given this result, the report this year does not share specific dollar figures concerning average losses per respondent. It would appear, however, that average losses are very likely down from prior years.”

7

Seite 7

/76© R. Grimm 13

Gründe für Ausfälle 2009

© 2009 FRANK Robin Linux-Systems, FRANK Robin Linux -Systems [24.3.2015]


Kosten und Ausfallzeiten einzelner Bedrohungen

Kosten Ø Ausfallzeit

Virus 18.32447,8 Stunden

(2004: 54 Std., 2002: 94 Std.)

Fehlalarm 3.367 24,6 Stunden

Hoax 2.223 35,7 Stunden

Durchschnittliche Ausfallzeit und Kosten verursacht durch einen einzelnen …

[KES-Zeitschrift für Informations-Sicherheit, special 2006#4/6]

8

Seite 8


Schadensszenarien

Wie wichtig sind die folgenden Schadensszenarien in Ihrem Haus?[KES-Zeitschrift für Informations-Sicherheit, special 2006#4/6]

sehrwichtig

wichtig Un-wichtig

Imageverlust 60 % 31 % 9 %

Verstöße gegen Gesetze / Vorschriften / Verträge 54 % 39 % 7 %

direkter finanzieller Schaden durch Manipulationen an finanzwirksamen Informationen

52 % 32 % 16 %

Verzögerung von Arbeitsabläufen 44 % 46 % 9 %

Schaden bei Dritten / Haftungsansprüche 30 % 51 % 19 %

indirekte finanzielle Verluste 28 % 41 % 31 %

direkter finanzieller Schaden an Hardware u. ä. 27 % 44 % 29 %

Verstöße gegen interne Regelungen 13 % 59 % 28 %


Schaden bei Datenverlust

Verlust bei vollständiger Vernichtung der gespeicherten Daten …

[KES-Zeitschrift für Informations-Sicherheit, special 2006#4/6]

9

Seite 9


Triebfedern

• Triebfeder FUD (Fear, Uncertainty and Doubt)

– Ziellose, unüberlegte Investitionen aus• Angst etwas falsch zu machen• Medien-Hysterie

• Triebfeder: „Me-too“-Effekt– Sicherheit als Statussymbol

– Gleiches Sicherheitsniveau wie die Konkurrenz

/76

Budgets für IT-Sicherheit

10

Seite 10


Gliederung

1. Motivation2. Kosten

• Kosten-Abgrenzungen• Einflussfaktoren• TCO• Kosten der IT-Sicherheit

3. Nutzen4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze (Risikomatrix, Szenariotechnik)7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung


Kosten - Abgrenzung

• Art der Kosten– Hardware, Software, Personen, Sonstiges

• Häufigkeit des Auftretens– Einmalig, laufend

• Auszahlungswirksamkeit– Ja, nein

• Beschäftigungsabhängigkeit– Fix, sprungfix, variabel

• Zurechenbarkeit– Einzelkosten, Gemeinkosten

[Potthoff 99]

11

Seite 11


Kosten – Abgrenzung - Beispiele

• Antivirenprogramm– Art der Kosten: Software

– Häufigkeit des Auftretens: Einmalig, laufend (je nach Lizenztyp)

– Auszahlungswirksamkeit: Ja

– Beschäftigungsabkängigkeit: Sprungfix

– Zurechenbarkeit: Einzelkosten

• Raummiete für Rechenzentrum– Art der Kosten: Sonstige

– Häufigkeit des Auftretens: Laufend

– Auszahlungswirksamkeit: Ja

– Beschäftigungsabkängigkeit: Fix

– Zurechenbarkeit: Gemeinkosten


Einflussfaktoren in die Kosten (1)

• Hardware– Rechnereinheiten, Peripherie (Bildschirme, Drucker,

Speichermedien), Netzwerk

• Software– Betriebssysteme, Datenbanken, Anwendungen, Entwicklungs-,

Administrations-Tools. Security-Tools (Antiviren, Personal-Firewall, Verschlüsselung, Backup)

12

Seite 12


Einflussfaktoren in die Kosten (2)

• Personal– Planung, Konzeption, Entwicklung, Integration, Test,

Einführung, Schulung, Benutzerbetreuung, Administration, Wartung

• Sonstiges– Spezielle Baumaßnahmen, Raummiete, Telekommunikation

(einmalige/laufende Anschlussgebühren), Material (Toner, Büromaterial)-, Energieverbrauch, Versicherungen


Weitere Einflussfaktoren

• Kauf vs. Miete• Internes Personal vs. Dienstleister (Outsourcing)• Standard- vs. Individualsoftware• Freeware vs. Lizenzen• Fremdkapitalzinsen vs. Bindung von Eigenkapital• Abschreibungen• Unternehmensgröße• Standorte

13

Seite 13


TCO (Total Cost of Ownership)

• Ziel: Erfassung aller Kosten im Lebenszyklus einer Rechnereinheit / eines Arbeitsplatzes

• Direkte Kosten– Anschaffungskosten

– Folgekosten:• Hardwareerweiterungen• Wartung, Updates

– …

• Indirekte (Versteckte) Kosten– Informelle Benutzerbetreuung

– Zeitverluste für Computerspiele und WWW

– …

• Berücksichtigung der Kapitalwertmethode


TCO

• Kosten pro Arbeitsplatz und Jahr belaufen sich auf bis zu 10.000 EUR im Jahr

• Davon ca. 20 % Hard- und Software

− Nicht immer werden alle Kosten erfasst

− Einflussfaktoren ändern sich regelmäßig(z.B. verändern sich die meisten Kosten durchveränderte Mitarbeiterzahlen )

+ Hersteller geben TCO für ihre Produkte an

14

Seite 14


Kosten der IT-SicherheitKosten zum Erreichen von IT-Sicherheit• Personalkosten: direkte, anteilige, indirekte

– Planung– Installation– Aufrechterhaltung– Audits– Schulungen– Zertifizierungen– …

• Sachkosten– Material– Kosten zur Sicherstellung eines best. Sicherheitsni veaus– Infrastruktur– Maschinenkosten

• Externe Dienstleistungen


Problem der Kostenerfassungder IT-Sicherheit

• Sicherheitsanforderungen ändern sich kontinuierlich• Auftreten neuer unbekannter Bedrohungen• Abgrenzung gegenüber Betriebs- und

Fortschreibungskosten• Starke Schwankungen in der Preisentwicklung

15

Seite 15


Gliederung

1. Motivation2. Kosten3. Nutzen

• Nutzenarten• ALE

4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze (Risikomatrix, Szenariotechnik)7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung


Nutzen

• Vermeiden von Schaden• Geschäftsvorteile• Verbesserung der Arbeitsqualität

– Verbesserung von Vertrauen � Unbefangenheit

– Vermehrte Nutzung vorhandener Werkzeuge

– Konzentration auf das Wesentliche

• Neue Anwendungen, z.B.– Kundenkommunikation mit Facebook, Twitter, …

– Single-Sign-On

– Biometrie

– Elektronische Verträge

– Elektronische Abstimmungen (Wahlen)

– Homebanking

16

Seite 16


Vermeiden von Schäden

• Direkte Schäden bei Eintreten eines Sicherheitsvorfalls– Schaden / Zerstörung– Produktionsausfall– Wiederanlauf-Kosten– …

• Indirekte Schäden und Folgekosten– Auftragsausfälle– Imageverlust– Höheres Risiko nach Angriff (Nachahmer)– Haftung gegen Dritte– Personenschäden


Geschäftsvorteile von IT-Sicherheit

• Risikominimierung / Schaden reduzieren• Beschleunigung von Abläufen• Erschließung neuer Geschäftsfelder• Wettbewerbsvorteil• Image• Kundenvertrauen• Kreditwürdigkeit (BASEL II)

17

Seite 17


Annual Loss Expectancy (ALE)

Quantitativer Ansatz

Jährliche Verlusterwartung =

Schadenshöhe * jährliche Schadenshäufigkeit

∑=

=n

iii FOIALE

1

)(

I(Oi) = Impact of Outcomes (Auswirkungen negativer Ereig nisse)

Fi = Frequency (Häufigkeit des Ereignisses)


Gliederung


18

Seite 18


Kalkulation

Kosten zum Erreichen von IT-Sicherheit

• Vorbeugung

Kosten bei Nicht-Erreichen von IT-Sicherheit

• Schäden• Entgangene Vorteile

Kosten-Nutzen-AbwägungAbhängig von…• Unternehmensspezifischen

Sicherheitsanspruch• Realisierte Sicherheitsstandards• Branche• …


Beispiel Firewall

• Firewall für eine Firma mit 1000 Mitarbeitern

• Gesamtaufwand:– Beschaffungsphase– Installationsphase– Aufrechterhaltung

[Pohlmann 06]

19

Seite 19


Firewall - Beschaffungsphase

• Schutzbedarf ermitteln• Firewall-Sicherheitsregeln festlegen• Produktauswahl• Einholen von Angeboten• Testinstallation• Referenzbewertung nach zuvor festzulegenden Kriterien• Begleitend infrastrukturelle, administrative und

organisatorische Sicherheitsmaßnahmen


Firewall-Beschaffungsphase-Kosten

Beschaffungs-

Phase

Zeitaufwand

(750 EUR pro Mann-Tag)

Minimale Kosten

Maximale Kosten

Schutzbedarf und Sicherheitsregeln

zwei Wochen bis

zwei Monate

7.500 EUR 30.000 EUR

Auswahl der Produkte zwei Wochen bis

zwei Monate

7.500 EUR 30.000 EUR

Weitere

Maßnahmen

ein bis vier Wochen 3.750 EUR 15.000 EUR

Produktkosten 5.000 EUR 75.000 EUR

23.750 EUR 150.000 EUR

20

Seite 20


Firewall - Installationsphase

• Installation– der Produkte

– aller infrastrukturelle Sicherheitsmaßnahmen

• Inbetriebnahme– Benutzerprofile einrichten/verwalten

• Weitere Maßnahmen– Schulung der Benutzer

– Organisationsanweisungen schreiben


Firewall-Installationsphase-Kosten

Installations-

Phase

Zeitaufwand

(750 EUR pro Mann-Tag)

Minimale Kosten

Maximale Kosten

Installation zwei bis fünf Tage 1.500 EUR 3.750 EUR

Inbetriebnahme Drei bis zehn Tage 2.250 EUR 7.500 EUR

Sonstige Sicher-heitsmaßnahmen

drei Wochen bis

vier Monate

11.250 EUR 45.000 EUR

15.000 EUR 56.250 EUR

21

Seite 21


Firewall-Aufrechterhaltung

Aufrechterhaltung• Rechteverwaltung• Analyse der Logdateien• Einrichten neuer Dienste• Genereller administrativer Aufwand

(Updates)• Überprüfung durch Revisor• Sicherer Betrieb: technische und

infrastrukturelle Sicherheitsmaßnahmen

18 Tage/Jahr24 Tage/Jahr6 Tage/Jahr

24 Tage/Jahr

6 Tage/Jahr24 Tage/Jahr

102 Tage/Jahr76.500 EUR/Jahr(750 EUR pro Mann/Tag)


Firewall - Gesamtaufwand

• Gesamtaufwand (TCO)– Beschaffungsphase 23.750 bis 150.000 EUR

– Installationsphase 15.000 bis 56.250 EUR

– Aufrechterhaltung 76.500 EUR/Jahr

Laufende Kosten: 76,50 EUR pro Mitarbeiter im Jahr

Investitionskosten

22

Seite 22


Kosten-Einflüsse

• Struktur und Größe der Organisation• Konzept• Administratoren• Benutzermanagement• Management der Kommunikationsanwendungen• Netzmanagement• Verwendetes Firewall-System • Zusätzliche Dienste (Modem-Server, Intranet, ...) • Tiefe der Auswertung der Log-Dateien• Verwendetes Authentifikationsverfahren


Nutzen-Ermittlung (1)

Beispiel Firewall einer Bank• Angenommener Profit 15.000.000 EUR/Jahr• Kosten einer Firewall (TCO)

– Anschaffung: 150.000 EUR (1% vom Profit)

– Betrieb: 60.000 EUR/Jahr

• Angriffsszenario:Hacker dringt in das Netzwerk ein, kopiert die Namen und Kontostände der 500 wichtigsten Kunden, und veröffentlicht diese

23

Seite 23


Nutzen-Ermittlung (2)

• Möglicher Schaden:Image- und Kundenverlust– Sofort 3.000.000 EUR (20% vom Gewinn)

– Mittelfristig 600.000 EUR/Jahr (4% vom Gewinn)

• Zusammenfassung:– Unter Annahme, dass der Angriff mit der Firewall hätte vermieden

werden können, lohnt sich die Firewall sehr (ca. Faktor > 20)

– Anschaffung für mdst. 1 % vom Gewinn ist notwendig,um einen hohen Schaden von > 20% vom Gewinn zu vermeiden


Gliederung


24

Seite 24


Return on Security Investment

RoSI… budgetmäßige Kontrolle und eine greifbare

Nutzenmessung des Bereichs IT-Sicherheit

„Es gibt keinen positiven Nutzen von Sicherheitsinvestitionen. Investitionen in Informationssicherheit vermeiden lediglich Wertabflüsse. Das ist die Crux der ganzen Sache“Christian Dreyer, Finanzanalyst und CFO der Schweizer ischen Open Systems AG

Eingeschränkte Sicht: Weitere Nutzen werden nicht beachtet (s.o., #29-31)


RoSI

S - Savings: Gewinn durch Verhinderung von SicherheitsvorfällenT - Tools: Kosten für MaßnahmenR - Recovery: Kosten pro Jahr für Wiederherstellung

ALE = R + T - S= R – RoSI

ALE: (hier) Erwarteter Verlust trotz Sicherheitsmaßnahmen

TSRoSI −=Einsparungen an Kosten der wahrscheinlichen Schäden, die durch die Investition erzielt wurden

25

Seite 25


Beispiel Gestohlenes Notebook

Beispiel: Gestohlenes Notebook

• Ablauf – Festlegung der Wahrscheinlichkeit des Verlustes eines Notebooks– Festlegung des Schadens bei Datenverlust

– Abschätzungen in eigenem Unternehmen – Öffentliche Studien (Recherche)

– TCO für Wiederbeschaffung des Notebooks– RoSI-Berechnung


RoSI

Beispiel: • 500 Notebooks im Unternehmen• 3% aller Notebooks (=15 Notebooks) gehen pro Jahr verloren

• Schaden für Datenverlust pro Laptop:– Annahme nach Recherche 10.000 EUR

• Tool „Festplattenverschlüsselung“:– Administration: 1. Jahr inkl. Installation 10.000 EUR

Folgejahre 5.000 EUR/Jahr– Lizenzkosten pro Notebook: 110 EUR einmalig

26

Seite 26


RoSI

• Im ersten Jahr:

Saving: Schaden durch Verlust: 10.000 EURAnzahl 15 (3% der Notebooks)Vermiedener Schaden: 150.000 EUR

Tool: Lizenzkosten 500*110 EUR = 55.000Administration (1. Jahr) 10.000 EUR

ROSI = S – T =150.000 EUR – 65.000 EUR = 85.000 EUR


RoSI

• Administration-Folgejahre: 5000 EUR

• ROI bereits nach ersten Jahr erreicht:positives RoSI +85.000

1.Jahr 2.Jahr 3.Jahr 4.Jahr Insg (4J.)

Anschaffung 55.000 -- -- -- 55.000

Administration 10.000 5.000 5.000 5.000 25.000

Ersparnisse 150.000 150.000 150.000 150.000 600.000

RoSI jährlichakkumuliert

85.000 145.000230.000

145.000375.000

145.000520.000 520.000

27

Seite 27


RoSI

• Neue Annahmen: – Verlust durch gestohlene Daten: 5000 EUR– 1% der Notebooks (5/Jahr) werden gestohlen

• RoSI wird im dritten Jahr mit ±0 erreicht

1.Jahr 2.Jahr 3.Jahr 4.Jahr Insg (4J.)

Anschaffung 55.000 -- -- -- 55.000

Administration 10.000 5.000 5.000 5.000 25.000

Ersparnisse 25.000 25.000 25.000 25.000 100.000

RoSI jährlichakkumuliert

-40.000 +20.000-20.000

+20.000

±0+20.000+20.000 +20.000


RoSI

28

Seite 28


Alternativ-Beispiele

• Viren-Scanner– Kosten der Schäden liegen in den meisten Firmen vor, oder

können Studien entnommen werden

• Single-Sign-On– Einsparung durch geringeren Aufwand von Wiederherstellung

des Zugangs

• Digitale Signatur– Einsparung in Porto, Papier und Auffand


Gliederung

1. Motivation2. Kosten3. Nutzen4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze

• Risikomatrix• Szenariotechnik

7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung

29

Seite 29


Risikomatrix

• Ziel:– Bewertung der möglichen Ereignisse nach

Auftrittswahrscheinlichkeit und Schadenshöhe


Risikomatrix

Risiko=

Eintrittswahrscheinlichkeit (Schadenshäufigkeit)mal

Schadenshöhe

Häufigkeit

Schadens-höhe ●

●●

●

●

●

●

●

[Schadt 06]

30

Seite 30


Risikomatrix - Klassifizierungen

• Toleranzbereich– Seltene Ereignisse mit geringen Schaden können

vernachlässigt werden

• Beobachtungsbereich– Häufige Ereignisse mit geringem Schaden müssen

beobachtetet werden. Maßnahmen von Fall zu Fall beschließen

• Versichern– Seltene Ereignisse mit hohen Schadenswerten bedürfen häufig

einen unverhältnismäßig hohen Aufwand. Diese Ereignisse kann man besser versichern (falls möglich)

• Schutzmaßnahmen treffen– Bei häufige Ereignisse mit hohen Schadenwerten sollten stets

Maßnahmen zur Vermeidung oder Schadensreduzierung ergriffen werden


Risikomatrix

Häufigkeit

Schadens-höhe

●

●●

●

●

●

●

●

●

●

Toleranz-

bereich

Beobachten

VersichernMaßnahmen

Ergreifen

niedrig

selten häufig

hoch

31

Seite 31


Risikomatrix

• Vorteil– Es werden nicht alle Risiken gleich behandelt (im Gegensatz zu

RoSi)

– Krafteinsatz kann optimiert werden

• Nachteil– Auch hier keine sichere Datenbasis vorhanden

• Empfehlung:Die Risikomatrix nicht als Alternative, sondern als Vorbewertung

der zu verhindernden Schäden betrachten


Simulation

• Zielsetzung: – Genauere Aussage über Nutzwert und Risiko

• Abbildung des Risiko- und Nutzenverlaufs über die Zeit:– Monte-Carlo-Simulation

• Ermittlung einer Verteilungsfunktion durch stochastische Modellierungen

– Inkrementelle Nutzwert-Kosten-Analyse• Aussage zum quantifizierten Nutzen zum jeweiligen

Entwicklungsstadium.

[Schadt 06]

32

Seite 32


Simulation von Risiko


Simulation

• Vorteil:– Bessere Abschätzungen von Kosten und Nutzen im zeitlichen

Verlauf

• Nachteil:– aufwändig

– Stochastische Betrachtung enthält viel Unsicherheit

– Technische Entwicklungen können nicht betrachtet werden

• Empfehlung: Die Simulation bietet genauere Ergebnisse, allerdings sind dies nur kleine Teilschritte vom Sicherheitsmanagement. Für eine Bewertung der wichtigen Sicherheitslücken reicht eine einfache Risikoanalyse

33

Seite 33


Gliederung



BSI-Zertifikate

• Zertifikate, vom BSI ausgestellt:– CC Common Criteria: für IT-Produkte, -Netze und -Systeme

– IT-Grundschutz : für IT-Sicherheit eines Unternehmens

⇒ Eigenes Vorlesungsthema

34

Seite 34


Sicherheitszertifikat - Kosten

Hersteller• 50.000 EUR bis ??? (Open End)

– Sicherheitsanalyse– Aufbau ISMS

• Zusätzliche Kosten für jede Produktversion• Genauere Abschätzung erwünscht: Masterarbeit?

Käufer• Höhere Produktpreise

Ausgestellte BSI-Zeritifikate:• 2002-Jan.2015: > 50 Schutzprofile• 2010-Jan.2015: > 400 Zertifikate ausgestellthttps://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/ZertifizierungnachCC

undITSEC/ZertifizierteProdukte/zertifizierteprodukte_node.html


Zertifikat-Nutzen für Hersteller

• Image• Zwang zum sauberen Arbeiten

– Geringerer Korrekturbedarf

• Unterstützung in Sicherheitsorganisation• Wettbewerbsvorteile

– Ausschreibungen

– Kundenvertrauen

– Neue Geschäftsfelder

• Erhöhtes Rechtsbewusstsein

35

Seite 35


Zertifikat-Nutzen für Kunden

• Transparenz/Vergleichbarkeit, über– abgewehrte Bedrohungen

– Sicherheitsfunktionen

– Eigenschaften der Produkte (leichtere Auswahl)

– Benutzbarkeit der Produkte (Dokumentation)

• Sicherheitsgarantie an die Kundschaft• Vertrauen

– durch Prüfung von einer autorisierten Stelle

– in die Einhaltung ihrer Sicherheitsziele(Verfügbarkeit, Integrität, Authentizität)


Gliederung


• Investitionsumfang (Pareto-Prinzip)• Schutzbedarf• Versicherungen• Fazit

36

Seite 36


Sicherheitsinvestitionen


Sicherheitsrisiken und -investitionen

• Pareto-Prinzip (80/20-Regel) gilt auch für Sicherheit

• Ist ein Grundschutz erreicht, werden notwendige weitere Investitionen in IT-Sicherheit sehr groß und rein wirtschaftlich oft (nicht immer) nicht sinnvoll

37

Seite 37


Kosten Nutzen

[Quelle: Welsche et al., Selflinux]


Schutzbedarf

• Schutzbedarf:– Höhere Angriffswahrscheinlichkeit steigert den Schutzbedarf

– Höhere (finanzielle) Werte steigern den Schutzbedarf

– Unternehmen, denen ein hoher Imageverlust durch einen Angriff auf das IT-Netz droht, haben einen hohen Schutzbedarf (z.B. Banken, Versicherungen)

– Bei hohen Schutzbedarf, ist die Wahrscheinlichkeit auf Gewinn geringer als bei niedrigen Schutzbedarf

38

Seite 38


Versicherungen

• Es werden in der Regel nur Sachschäden versichert– Hardware, Software

• Durch nachgewiesene Sicherheit (Zertifikate) werden Versicherungen günstiger (oder erst möglich)


Fazit

• IT-Sicherheit ist Chefsache• IT-Sicherheit betrifft den gesamten Betrieb• Schadensvermeidung

– IT-Grundschutz darf in keiner Firma fehlen

– ISMS empfehlenswert (s. Vorlesung über Sicherheitsbewertung)

– Investitionskosten steigen mit erhöhten Schutzbedarf

• Verbesserte Arbeitsbedingungen• Erhöhte Aufmerksamkeit• Verbesserte Arbeitsqualität

• Neue Anwendungsmöglichkeiten

39

Seite 39


Literaturhinweise

Bundesamt für Sicherheit in der Informationstechnik – BSI. Zertifizierte IT-Sicherheit. https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/zertifizierungundanerkennung_node.html Bonn, Oktober 2012, 36 Seiten. [23.3.2015]

BMI/BKA, Polizeiliche Kriminalstatistik 2013. (April 2014)BKA 2013, Cybercrime Bundeslagebild 2013. (April 2014)CSI, CSI Computer Crime and Security Survey 2010/11:

http://gatton.uky.edu/FACULTY/PAYNE/ACC324/CSISurvey2010.pdf [23.3.2015]Computer Crime & Intellectual Property Section: http://www.justice.gov/criminal/cybercrime/

[23.3.2015]KES, Sicherheitsstudien 2002,…2014: https://www.kes.info/aktuelles/microsoft-studie-2014/

[23.3.2015]Kosten & Nutzen der IT-Sicherheit, HMD Heft 248, dpunkt.verlag, April 2006.Moschgath, Marie-Luise, (2005): Intensivseminar Sicherheitsmanagement, Kosten-Nutzen-

Analyse, FhG-SIT, Darmstadt.Potthoff, Ingo (1999): Kosten und Nutzen der Informationsverarbeitung. Deutscher Universitäts-

Verlag, 223 Seiten.Pohlmann, Norbert (2006): Internet-Infrastruktur unter dem Gesichtspunkt der IT-Sicherheit:

http://www.internet-sicherheit.de/fileadmin/docs/cebit-2006/CeBIT-Heise-Pohlmann.pdf [23.3.2015]

Schadt, Dirk: Über die Ökonomie der IT-Sicherheit in Kosten & Nutzen von IT-Sicherheit, HMD Heft 248, dpunkt.verlag, 2006

G. Welsche, K. Schulz, M. Hagedorn (Selflinux) – Grundlagen der Sicherheit: http://selflinux.org/selflinux/html/grundlagen_sicherheit.html [23.3.2015]


Beispielfragen

1. Nennen Sie die 5 Angriffsformen, die besonders hohe Schäden verursachen.2. Nennen Sie 5 Kriterien, Kosten von einander abzugrenzen. Grenzen Sie die Kosten einer

Software, eines Lagers und einer Hardware von einander ab.3. Nennen Sie 20 Einflussfaktoren in die Kosten für IT-Sicherheit, und ordnen sie den

Bereichen Hardware, Software, Personal und Sonstiges zu.4. Nennen sie 4 Bereiche, in denen IT-Sicherheit Nutzen bringt. Nennen Sie jeweils

mindestens 3 Beispiele.5. Was ist und wie berechnet man den Wert der Annual Loss Expectancy (ALE)?6. Erläutern Sie an einem Beispiel das Prinzip der Total Cost of Ownership (TCO).7. Führen Sie eine komplette ROSI-Kalkulation für einen Virenscanner durch. Untersuchen

Sie den Gesamtaufwand in jeder Phase, den Nutzen (andere Beispiele möglich).8. Skizzieren Sie eine Risikomatrix. Kennzeichnen Sie vier Bereiche mit

Handlungsempfehlungen.9. Welchen Nutzen haben Kunden und Hersteller von zertifizierten Produkten?10. Welche Branchen haben einen erhöhten Sicherheitsbedarf, und sollten deshalb

besonders hohe Sicherheitsinvestitionen einplanen?11. Erläutern Sie das Pareto-Prinzip für Investitionen in die IT-Sicherheit.

Documents

IT-Risk-Management V2: Kosten Nutzen · 2015-03-24 · V2: Kosten Nutzen Rüdiger Grimm ... Anthem Inc. stored the Social Security numbers of 80 million customers without ... BKA