Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
1
Seite 1
/76© R. Grimm / H. Hundacker 1
IT-Risk-Management
V2: Kosten Nutzen
Rüdiger Grimm / Helge HundackerInstitut für Wirtschafts- und Verwaltungsinformatik
Universität Koblenz
/76© R. Grimm / H. Hundacker 2
Gliederung
1. Motivation2. Kosten3. Nutzen4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze (Risikomatrix, Szenariotechnik)7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung
2
Seite 2
/76© R. Grimm / H. Hundacker 3
Ziele
• Investitionsentscheidung:– Abwägung von Kosten und Nutzen einer Sicherheitsmaßnahme
– Planung von Alternativen
• Überprüfung der getroffenen Entscheidung
/76
Datenleck bei Auskunftei
© R. Grimm / H. Hundacker 4
Peter Hornung, NDR Info: Datenleckbei Bertelsmann-Tochter Infoscore.NDR Info, 23.03.2015 01:00 Uhr http://www.ndr.de/info/programm
/Datenleck-bei-Bertelsmann-Tochter-Infoscore,datenschutz364.html
[…] Die zuständige Datenschutz-aufsicht in Baden-Württemberghat die Infoscore Consumer Data GmbH inzwischen zu einer Stellungnahme aufgefordert.In einem Schreiben an NDR Info erklärte die Bertelsmann-Tochter gerade, man prüfe "seit Kurzem", weitere Sicherheitsmechanismen einzuführen .
3
Seite 3
/76© R. Grimm / H. Hundacker 5
2015: Data Theft (examples)
Networkworld, 5 Feb 2015
• Insurance giant Anthem discloses huge customer and employee data breach:Income data, Social Security numbers, names and addresses were stolen. Anthem, one of the largest U.S. health insurers, said Wednesday one of its IT systems was breached, resulting in the loss of customer and employee information including income data.http://www.networkworld.com/article/2880194/security/insurance-giant-anthem-discloses-huge-customer-amd-employee-data-breach.html
The Wall Street Journal, 5 Feb 2015
• Health Insurer Anthem Didn’t Encrypt Data in Theft:Anthem Inc. stored the Social Security numbers of 80 million customers without encrypting them, the result of what a person familiar with the matter described as a difficult balancing act between protecting the information and making it useful.http://www.wsj.com/articles/investigators-eye-china-in-anthem-hack-1423167560
/76© R. Grimm / H. Hundacker 6
2015, 2014: Data Theft (examples)
Bloomberg Data Theft News, Feb 24, 2015:• Medical ID Theft Increases as More U.S. Health Data Goes Digital:
Medical identity theft jumped 22 percent last year as more U.S. health data becomes electronic and easier for cyber criminals to steal from doctors’ offices, hospitals and insurers.Incidents of medical identity theft in 2014 saw almost 500,000 people fall victim to sham companies committing insurance fraud, or impostors seeking free medical care, according to a report released this week by the PonemonInstitute, a Traverse City, Michigan-based data-privacy research firm.
Bloomberg Data Theft News, Nov 19, 2014:• Staples Says It Can’t Yet Estimate Breach Losses:
Staples Inc., the world’s largest office-supply chain, said it can’t yet “reasonably” estimate the potential losses and expenses it will incur in connection with the possible credit-card data breach disclosed last month. […] Staples’ potential data theft is among a wave of breaches at companies such as Home Depot Inc., Target Corp., Sears Holdings Corp.’s Kmart chain and Neiman Marcus Group Ltd. that have put pressure on retailers to bolster security.
• http://www.bloomberg.com/topics/data-theft
4
Seite 4
/76© R. Grimm / H. Hundacker 7
2013: Attacks in the News (example)
Parmy Olson, Forbes Staff, 27.3.2013:
• “Biggest Cyber Attack In History Could Have Been Car ried Out With Just A Laptop ”:[…] A skirmish between the anti-spam organization Spamhaus and a Dutch web-hosting firm has ranked as the biggest known distributed denial of service (DDoS) attack, and reportedly slowed down global internet speeds. […] Kaspersky Labs in 2011 saw data speeds of 70 megabits per second . The latest attacks on Spamhaus saw speeds hundreds of times that, at 300 billion bits per second, or 300 Gbps . Prolexic, the biggest anti-DDoScompany out there, has said it can halt attacks that reach a maximum 100 Gbps. […]http://www.forbes.com/
/76© R. Grimm / H. Hundacker 8
Meldungen, 2010
• 31.5.2010, http://www.cio.de/knowledgecenter/securi ty/2232695/– „Sicherheitsvorfälle drastisch gestiegen (Autor: Andreas Schaffry)”
• PricewaterhouseCoopers, Information Security Breaches Survey 2010: „Sicherheitsvorfälle bei 92 Prozent in 2009“:
• 2009– in 92 Prozent der Großunternehmen gab es einen Sicherheitsvorfall– im Schnitt 45 Sicherheitsverletzungen pro Firma.– Finanzieller Schaden zwischen 280.000 und 690.000 Pfund Sterling.
• zum Vergleich 2008– in 72 Prozent der Firmen ein Sicherheitsleck– im Schnitt 15 Sicherheitsverletzungen– Finanzieller Schaden zwischen 90.000 und 170.000 Pfund.
5
Seite 5
/76© R. Grimm 9
Kriminalstatistik 2013 „ Cybercrime“Schäden 2009-2013
Aus: BMI/BKA, Polizeiliche Kriminalstatistik 2013, S. 9 undBKA 2013, Cybercrime Bundeslagebild 2013, Abschn. 2.1, S. 7, Tab. 1
50 Mio EUR
/76
Schaden Cybercrime 2013
• Computerbetrug (Viren, Hintertüren, Missbrauch von Daten, unbefugte Datennutzung)
• 23.242 Fälle = 9% aller Tatmittel Internet• 40 Mio EUR
• Davon Phishing:• 4.096 Fälle = 17,6% von Computerbetrug• 16,4 Mio EUR = 41% von Computerbetrug
• Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten• 2.730 Fälle = 1,1% aller Tatmittel Internet• 2,6 Mio EUR
• (dagegen Gesamtschaden aller Kriminalfälle 8 Mrd. EUR)
BKA, Cybercrime Bundeslagebild: Abschnitte 2.1-2.2, S. 7-8
6
Seite 6
/76© R. Grimm / H. Hundacker 11
Dollar Amount Losses by Type 2007
[CSI/FBI 2007 Computer Crime and Security]
for ca. 300 respondents
/76© R. Grimm / H. Hundacker 12
Dollar Amount Losses by Type 2010/11
[CSI/FBI 2010/11 Computer Crime and Security, page 2]
“Fewer respondents than ever are willing to share specific information about dollar losses they incurred. Given this result, the report this year does not share specific dollar figures concerning average losses per respondent. It would appear, however, that average losses are very likely down from prior years.”
7
Seite 7
/76© R. Grimm 13
Gründe für Ausfälle 2009
© 2009 FRANK Robin Linux-Systems, FRANK Robin Linux -Systems [24.3.2015]
/76© R. Grimm / H. Hundacker 14
Kosten und Ausfallzeiten einzelner Bedrohungen
Kosten Ø Ausfallzeit
Virus 18.32447,8 Stunden
(2004: 54 Std., 2002: 94 Std.)
Fehlalarm 3.367 24,6 Stunden
Hoax 2.223 35,7 Stunden
Durchschnittliche Ausfallzeit und Kosten verursacht durch einen einzelnen …
[KES-Zeitschrift für Informations-Sicherheit, special 2006#4/6]
8
Seite 8
/76© R. Grimm / H. Hundacker 15
Schadensszenarien
Wie wichtig sind die folgenden Schadensszenarien in Ihrem Haus?[KES-Zeitschrift für Informations-Sicherheit, special 2006#4/6]
sehrwichtig
wichtig Un-wichtig
Imageverlust 60 % 31 % 9 %
Verstöße gegen Gesetze / Vorschriften / Verträge 54 % 39 % 7 %
direkter finanzieller Schaden durch Manipulationen an finanzwirksamen Informationen
52 % 32 % 16 %
Verzögerung von Arbeitsabläufen 44 % 46 % 9 %
Schaden bei Dritten / Haftungsansprüche 30 % 51 % 19 %
indirekte finanzielle Verluste 28 % 41 % 31 %
direkter finanzieller Schaden an Hardware u. ä. 27 % 44 % 29 %
Verstöße gegen interne Regelungen 13 % 59 % 28 %
/76© R. Grimm / H. Hundacker 16
Schaden bei Datenverlust
Verlust bei vollständiger Vernichtung der gespeicherten Daten …
[KES-Zeitschrift für Informations-Sicherheit, special 2006#4/6]
9
Seite 9
/76© R. Grimm / H. Hundacker 17
Triebfedern
• Triebfeder FUD (Fear, Uncertainty and Doubt)
– Ziellose, unüberlegte Investitionen aus• Angst etwas falsch zu machen• Medien-Hysterie
• Triebfeder: „Me-too“-Effekt– Sicherheit als Statussymbol
– Gleiches Sicherheitsniveau wie die Konkurrenz
/76
Budgets für IT-Sicherheit
10
Seite 10
/76© R. Grimm / H. Hundacker 19
Gliederung
1. Motivation2. Kosten
• Kosten-Abgrenzungen• Einflussfaktoren• TCO• Kosten der IT-Sicherheit
3. Nutzen4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze (Risikomatrix, Szenariotechnik)7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung
/76© R. Grimm / H. Hundacker 20
Kosten - Abgrenzung
• Art der Kosten– Hardware, Software, Personen, Sonstiges
• Häufigkeit des Auftretens– Einmalig, laufend
• Auszahlungswirksamkeit– Ja, nein
• Beschäftigungsabhängigkeit– Fix, sprungfix, variabel
• Zurechenbarkeit– Einzelkosten, Gemeinkosten
[Potthoff 99]
11
Seite 11
/76© R. Grimm / H. Hundacker 21
Kosten – Abgrenzung - Beispiele
• Antivirenprogramm– Art der Kosten: Software
– Häufigkeit des Auftretens: Einmalig, laufend (je nach Lizenztyp)
– Auszahlungswirksamkeit: Ja
– Beschäftigungsabkängigkeit: Sprungfix
– Zurechenbarkeit: Einzelkosten
• Raummiete für Rechenzentrum– Art der Kosten: Sonstige
– Häufigkeit des Auftretens: Laufend
– Auszahlungswirksamkeit: Ja
– Beschäftigungsabkängigkeit: Fix
– Zurechenbarkeit: Gemeinkosten
/76© R. Grimm / H. Hundacker 22
Einflussfaktoren in die Kosten (1)
• Hardware– Rechnereinheiten, Peripherie (Bildschirme, Drucker,
Speichermedien), Netzwerk
• Software– Betriebssysteme, Datenbanken, Anwendungen, Entwicklungs-,
Administrations-Tools. Security-Tools (Antiviren, Personal-Firewall, Verschlüsselung, Backup)
12
Seite 12
/76© R. Grimm / H. Hundacker 23
Einflussfaktoren in die Kosten (2)
• Personal– Planung, Konzeption, Entwicklung, Integration, Test,
Einführung, Schulung, Benutzerbetreuung, Administration, Wartung
• Sonstiges– Spezielle Baumaßnahmen, Raummiete, Telekommunikation
(einmalige/laufende Anschlussgebühren), Material (Toner, Büromaterial)-, Energieverbrauch, Versicherungen
/76© R. Grimm / H. Hundacker 24
Weitere Einflussfaktoren
• Kauf vs. Miete• Internes Personal vs. Dienstleister (Outsourcing)• Standard- vs. Individualsoftware• Freeware vs. Lizenzen• Fremdkapitalzinsen vs. Bindung von Eigenkapital• Abschreibungen• Unternehmensgröße• Standorte
13
Seite 13
/76© R. Grimm / H. Hundacker 25
TCO (Total Cost of Ownership)
• Ziel: Erfassung aller Kosten im Lebenszyklus einer Rechnereinheit / eines Arbeitsplatzes
• Direkte Kosten– Anschaffungskosten
– Folgekosten:• Hardwareerweiterungen• Wartung, Updates
– …
• Indirekte (Versteckte) Kosten– Informelle Benutzerbetreuung
– Zeitverluste für Computerspiele und WWW
– …
• Berücksichtigung der Kapitalwertmethode
/76© R. Grimm / H. Hundacker 26
TCO
• Kosten pro Arbeitsplatz und Jahr belaufen sich auf bis zu 10.000 EUR im Jahr
• Davon ca. 20 % Hard- und Software
− Nicht immer werden alle Kosten erfasst
− Einflussfaktoren ändern sich regelmäßig(z.B. verändern sich die meisten Kosten durchveränderte Mitarbeiterzahlen )
+ Hersteller geben TCO für ihre Produkte an
14
Seite 14
/76© R. Grimm / H. Hundacker 27
Kosten der IT-SicherheitKosten zum Erreichen von IT-Sicherheit• Personalkosten: direkte, anteilige, indirekte
– Planung– Installation– Aufrechterhaltung– Audits– Schulungen– Zertifizierungen– …
• Sachkosten– Material– Kosten zur Sicherstellung eines best. Sicherheitsni veaus– Infrastruktur– Maschinenkosten
• Externe Dienstleistungen
/76© R. Grimm / H. Hundacker 28
Problem der Kostenerfassungder IT-Sicherheit
• Sicherheitsanforderungen ändern sich kontinuierlich• Auftreten neuer unbekannter Bedrohungen• Abgrenzung gegenüber Betriebs- und
Fortschreibungskosten• Starke Schwankungen in der Preisentwicklung
15
Seite 15
/76© R. Grimm / H. Hundacker 29
Gliederung
1. Motivation2. Kosten3. Nutzen
• Nutzenarten• ALE
4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze (Risikomatrix, Szenariotechnik)7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung
/76© R. Grimm / H. Hundacker 30
Nutzen
• Vermeiden von Schaden• Geschäftsvorteile• Verbesserung der Arbeitsqualität
– Verbesserung von Vertrauen � Unbefangenheit
– Vermehrte Nutzung vorhandener Werkzeuge
– Konzentration auf das Wesentliche
• Neue Anwendungen, z.B.– Kundenkommunikation mit Facebook, Twitter, …
– Single-Sign-On
– Biometrie
– Elektronische Verträge
– Elektronische Abstimmungen (Wahlen)
– Homebanking
16
Seite 16
/76© R. Grimm / H. Hundacker 31
Vermeiden von Schäden
• Direkte Schäden bei Eintreten eines Sicherheitsvorfalls– Schaden / Zerstörung– Produktionsausfall– Wiederanlauf-Kosten– …
• Indirekte Schäden und Folgekosten– Auftragsausfälle– Imageverlust– Höheres Risiko nach Angriff (Nachahmer)– Haftung gegen Dritte– Personenschäden
/76© R. Grimm / H. Hundacker 32
Geschäftsvorteile von IT-Sicherheit
• Risikominimierung / Schaden reduzieren• Beschleunigung von Abläufen• Erschließung neuer Geschäftsfelder• Wettbewerbsvorteil• Image• Kundenvertrauen• Kreditwürdigkeit (BASEL II)
17
Seite 17
/76© R. Grimm / H. Hundacker 33
Annual Loss Expectancy (ALE)
Quantitativer Ansatz
Jährliche Verlusterwartung =
Schadenshöhe * jährliche Schadenshäufigkeit
∑=
=n
iii FOIALE
1
)(
I(Oi) = Impact of Outcomes (Auswirkungen negativer Ereig nisse)
Fi = Frequency (Häufigkeit des Ereignisses)
/76© R. Grimm / H. Hundacker 34
Gliederung
1. Motivation2. Kosten3. Nutzen4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze (Risikomatrix, Szenariotechnik)7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung
18
Seite 18
/76© R. Grimm / H. Hundacker 35
Kalkulation
Kosten zum Erreichen von IT-Sicherheit
• Vorbeugung
Kosten bei Nicht-Erreichen von IT-Sicherheit
• Schäden• Entgangene Vorteile
Kosten-Nutzen-AbwägungAbhängig von…• Unternehmensspezifischen
Sicherheitsanspruch• Realisierte Sicherheitsstandards• Branche• …
/76© R. Grimm / H. Hundacker 36
Beispiel Firewall
• Firewall für eine Firma mit 1000 Mitarbeitern
• Gesamtaufwand:– Beschaffungsphase– Installationsphase– Aufrechterhaltung
[Pohlmann 06]
19
Seite 19
/76© R. Grimm / H. Hundacker 37
Firewall - Beschaffungsphase
• Schutzbedarf ermitteln• Firewall-Sicherheitsregeln festlegen• Produktauswahl• Einholen von Angeboten• Testinstallation• Referenzbewertung nach zuvor festzulegenden Kriterien• Begleitend infrastrukturelle, administrative und
organisatorische Sicherheitsmaßnahmen
/76© R. Grimm / H. Hundacker 38
Firewall-Beschaffungsphase-Kosten
Beschaffungs-
Phase
Zeitaufwand
(750 EUR pro Mann-Tag)
Minimale Kosten
Maximale Kosten
Schutzbedarf und Sicherheitsregeln
zwei Wochen bis
zwei Monate
7.500 EUR 30.000 EUR
Auswahl der Produkte zwei Wochen bis
zwei Monate
7.500 EUR 30.000 EUR
Weitere
Maßnahmen
ein bis vier Wochen 3.750 EUR 15.000 EUR
Produktkosten 5.000 EUR 75.000 EUR
23.750 EUR 150.000 EUR
20
Seite 20
/76© R. Grimm / H. Hundacker 39
Firewall - Installationsphase
• Installation– der Produkte
– aller infrastrukturelle Sicherheitsmaßnahmen
• Inbetriebnahme– Benutzerprofile einrichten/verwalten
• Weitere Maßnahmen– Schulung der Benutzer
– Organisationsanweisungen schreiben
/76© R. Grimm / H. Hundacker 40
Firewall-Installationsphase-Kosten
Installations-
Phase
Zeitaufwand
(750 EUR pro Mann-Tag)
Minimale Kosten
Maximale Kosten
Installation zwei bis fünf Tage 1.500 EUR 3.750 EUR
Inbetriebnahme Drei bis zehn Tage 2.250 EUR 7.500 EUR
Sonstige Sicher-heitsmaßnahmen
drei Wochen bis
vier Monate
11.250 EUR 45.000 EUR
15.000 EUR 56.250 EUR
21
Seite 21
/76© R. Grimm / H. Hundacker 41
Firewall-Aufrechterhaltung
Aufrechterhaltung• Rechteverwaltung• Analyse der Logdateien• Einrichten neuer Dienste• Genereller administrativer Aufwand
(Updates)• Überprüfung durch Revisor• Sicherer Betrieb: technische und
infrastrukturelle Sicherheitsmaßnahmen
18 Tage/Jahr24 Tage/Jahr6 Tage/Jahr
24 Tage/Jahr
6 Tage/Jahr24 Tage/Jahr
102 Tage/Jahr76.500 EUR/Jahr(750 EUR pro Mann/Tag)
/76© R. Grimm / H. Hundacker 42
Firewall - Gesamtaufwand
• Gesamtaufwand (TCO)– Beschaffungsphase 23.750 bis 150.000 EUR
– Installationsphase 15.000 bis 56.250 EUR
– Aufrechterhaltung 76.500 EUR/Jahr
Laufende Kosten: 76,50 EUR pro Mitarbeiter im Jahr
Investitionskosten
22
Seite 22
/76© R. Grimm / H. Hundacker 43
Kosten-Einflüsse
• Struktur und Größe der Organisation• Konzept• Administratoren• Benutzermanagement• Management der Kommunikationsanwendungen• Netzmanagement• Verwendetes Firewall-System • Zusätzliche Dienste (Modem-Server, Intranet, ...) • Tiefe der Auswertung der Log-Dateien• Verwendetes Authentifikationsverfahren
/76© R. Grimm / H. Hundacker 44
Nutzen-Ermittlung (1)
Beispiel Firewall einer Bank• Angenommener Profit 15.000.000 EUR/Jahr• Kosten einer Firewall (TCO)
– Anschaffung: 150.000 EUR (1% vom Profit)
– Betrieb: 60.000 EUR/Jahr
• Angriffsszenario:Hacker dringt in das Netzwerk ein, kopiert die Namen und Kontostände der 500 wichtigsten Kunden, und veröffentlicht diese
23
Seite 23
/76© R. Grimm / H. Hundacker 45
Nutzen-Ermittlung (2)
• Möglicher Schaden:Image- und Kundenverlust– Sofort 3.000.000 EUR (20% vom Gewinn)
– Mittelfristig 600.000 EUR/Jahr (4% vom Gewinn)
• Zusammenfassung:– Unter Annahme, dass der Angriff mit der Firewall hätte vermieden
werden können, lohnt sich die Firewall sehr (ca. Faktor > 20)
– Anschaffung für mdst. 1 % vom Gewinn ist notwendig,um einen hohen Schaden von > 20% vom Gewinn zu vermeiden
/76© R. Grimm / H. Hundacker 46
Gliederung
1. Motivation2. Kosten3. Nutzen4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze (Risikomatrix, Szenariotechnik)7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung
24
Seite 24
/76© R. Grimm / H. Hundacker 47
Return on Security Investment
RoSI… budgetmäßige Kontrolle und eine greifbare
Nutzenmessung des Bereichs IT-Sicherheit
„Es gibt keinen positiven Nutzen von Sicherheitsinvestitionen. Investitionen in Informationssicherheit vermeiden lediglich Wertabflüsse. Das ist die Crux der ganzen Sache“Christian Dreyer, Finanzanalyst und CFO der Schweizer ischen Open Systems AG
Eingeschränkte Sicht: Weitere Nutzen werden nicht beachtet (s.o., #29-31)
/76© R. Grimm / H. Hundacker 48
RoSI
S - Savings: Gewinn durch Verhinderung von SicherheitsvorfällenT - Tools: Kosten für MaßnahmenR - Recovery: Kosten pro Jahr für Wiederherstellung
ALE = R + T - S= R – RoSI
ALE: (hier) Erwarteter Verlust trotz Sicherheitsmaßnahmen
TSRoSI −=Einsparungen an Kosten der wahrscheinlichen Schäden, die durch die Investition erzielt wurden
25
Seite 25
/76© R. Grimm / H. Hundacker 49
Beispiel Gestohlenes Notebook
Beispiel: Gestohlenes Notebook
• Ablauf – Festlegung der Wahrscheinlichkeit des Verlustes eines Notebooks– Festlegung des Schadens bei Datenverlust
– Abschätzungen in eigenem Unternehmen – Öffentliche Studien (Recherche)
– TCO für Wiederbeschaffung des Notebooks– RoSI-Berechnung
/76© R. Grimm / H. Hundacker 50
RoSI
Beispiel: • 500 Notebooks im Unternehmen• 3% aller Notebooks (=15 Notebooks) gehen pro Jahr verloren
• Schaden für Datenverlust pro Laptop:– Annahme nach Recherche 10.000 EUR
• Tool „Festplattenverschlüsselung“:– Administration: 1. Jahr inkl. Installation 10.000 EUR
Folgejahre 5.000 EUR/Jahr– Lizenzkosten pro Notebook: 110 EUR einmalig
26
Seite 26
/76© R. Grimm / H. Hundacker 51
RoSI
• Im ersten Jahr:
Saving: Schaden durch Verlust: 10.000 EURAnzahl 15 (3% der Notebooks)Vermiedener Schaden: 150.000 EUR
Tool: Lizenzkosten 500*110 EUR = 55.000Administration (1. Jahr) 10.000 EUR
ROSI = S – T =150.000 EUR – 65.000 EUR = 85.000 EUR
/76© R. Grimm / H. Hundacker 52
RoSI
• Administration-Folgejahre: 5000 EUR
• ROI bereits nach ersten Jahr erreicht:positives RoSI +85.000
1.Jahr 2.Jahr 3.Jahr 4.Jahr Insg (4J.)
Anschaffung 55.000 -- -- -- 55.000
Administration 10.000 5.000 5.000 5.000 25.000
Ersparnisse 150.000 150.000 150.000 150.000 600.000
RoSI jährlichakkumuliert
85.000 145.000230.000
145.000375.000
145.000520.000 520.000
27
Seite 27
/76© R. Grimm / H. Hundacker 53
RoSI
• Neue Annahmen: – Verlust durch gestohlene Daten: 5000 EUR– 1% der Notebooks (5/Jahr) werden gestohlen
• RoSI wird im dritten Jahr mit ±0 erreicht
1.Jahr 2.Jahr 3.Jahr 4.Jahr Insg (4J.)
Anschaffung 55.000 -- -- -- 55.000
Administration 10.000 5.000 5.000 5.000 25.000
Ersparnisse 25.000 25.000 25.000 25.000 100.000
RoSI jährlichakkumuliert
-40.000 +20.000-20.000
+20.000
±0+20.000+20.000 +20.000
/76© R. Grimm / H. Hundacker 54
RoSI
28
Seite 28
/76© R. Grimm / H. Hundacker 55
Alternativ-Beispiele
• Viren-Scanner– Kosten der Schäden liegen in den meisten Firmen vor, oder
können Studien entnommen werden
• Single-Sign-On– Einsparung durch geringeren Aufwand von Wiederherstellung
des Zugangs
• Digitale Signatur– Einsparung in Porto, Papier und Auffand
/76© R. Grimm / H. Hundacker 56
Gliederung
1. Motivation2. Kosten3. Nutzen4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze
• Risikomatrix• Szenariotechnik
7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung
29
Seite 29
/76© R. Grimm / H. Hundacker 57
Risikomatrix
• Ziel:– Bewertung der möglichen Ereignisse nach
Auftrittswahrscheinlichkeit und Schadenshöhe
/76© R. Grimm / H. Hundacker 58
Risikomatrix
Risiko=
Eintrittswahrscheinlichkeit (Schadenshäufigkeit)mal
Schadenshöhe
Häufigkeit
Schadens-höhe ●
●●
●
●
●
●
●
[Schadt 06]
30
Seite 30
/76© R. Grimm / H. Hundacker 59
Risikomatrix - Klassifizierungen
• Toleranzbereich– Seltene Ereignisse mit geringen Schaden können
vernachlässigt werden
• Beobachtungsbereich– Häufige Ereignisse mit geringem Schaden müssen
beobachtetet werden. Maßnahmen von Fall zu Fall beschließen
• Versichern– Seltene Ereignisse mit hohen Schadenswerten bedürfen häufig
einen unverhältnismäßig hohen Aufwand. Diese Ereignisse kann man besser versichern (falls möglich)
• Schutzmaßnahmen treffen– Bei häufige Ereignisse mit hohen Schadenwerten sollten stets
Maßnahmen zur Vermeidung oder Schadensreduzierung ergriffen werden
/76© R. Grimm / H. Hundacker 60
Risikomatrix
Häufigkeit
Schadens-höhe
●
●●
●
●
●
●
●
●
●
Toleranz-
bereich
Beobachten
VersichernMaßnahmen
Ergreifen
niedrig
selten häufig
hoch
31
Seite 31
/76© R. Grimm / H. Hundacker 61
Risikomatrix
• Vorteil– Es werden nicht alle Risiken gleich behandelt (im Gegensatz zu
RoSi)
– Krafteinsatz kann optimiert werden
• Nachteil– Auch hier keine sichere Datenbasis vorhanden
• Empfehlung:Die Risikomatrix nicht als Alternative, sondern als Vorbewertung
der zu verhindernden Schäden betrachten
/76© R. Grimm / H. Hundacker 62
Simulation
• Zielsetzung: – Genauere Aussage über Nutzwert und Risiko
• Abbildung des Risiko- und Nutzenverlaufs über die Zeit:– Monte-Carlo-Simulation
• Ermittlung einer Verteilungsfunktion durch stochastische Modellierungen
– Inkrementelle Nutzwert-Kosten-Analyse• Aussage zum quantifizierten Nutzen zum jeweiligen
Entwicklungsstadium.
[Schadt 06]
32
Seite 32
/76© R. Grimm / H. Hundacker 63
Simulation von Risiko
/76© R. Grimm / H. Hundacker 64
Simulation
• Vorteil:– Bessere Abschätzungen von Kosten und Nutzen im zeitlichen
Verlauf
• Nachteil:– aufwändig
– Stochastische Betrachtung enthält viel Unsicherheit
– Technische Entwicklungen können nicht betrachtet werden
• Empfehlung: Die Simulation bietet genauere Ergebnisse, allerdings sind dies nur kleine Teilschritte vom Sicherheitsmanagement. Für eine Bewertung der wichtigen Sicherheitslücken reicht eine einfache Risikoanalyse
33
Seite 33
/76© R. Grimm / H. Hundacker 65
Gliederung
1. Motivation2. Kosten3. Nutzen4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze (Risikomatrix, Szenariotechnik)7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung
/76© R. Grimm / H. Hundacker 66
BSI-Zertifikate
• Zertifikate, vom BSI ausgestellt:– CC Common Criteria: für IT-Produkte, -Netze und -Systeme
– IT-Grundschutz : für IT-Sicherheit eines Unternehmens
⇒ Eigenes Vorlesungsthema
34
Seite 34
/76© R. Grimm / H. Hundacker 67
Sicherheitszertifikat - Kosten
Hersteller• 50.000 EUR bis ??? (Open End)
– Sicherheitsanalyse– Aufbau ISMS
• Zusätzliche Kosten für jede Produktversion• Genauere Abschätzung erwünscht: Masterarbeit?
Käufer• Höhere Produktpreise
Ausgestellte BSI-Zeritifikate:• 2002-Jan.2015: > 50 Schutzprofile• 2010-Jan.2015: > 400 Zertifikate ausgestellthttps://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/ZertifizierungnachCC
undITSEC/ZertifizierteProdukte/zertifizierteprodukte_node.html
/76© R. Grimm / H. Hundacker 68
Zertifikat-Nutzen für Hersteller
• Image• Zwang zum sauberen Arbeiten
– Geringerer Korrekturbedarf
• Unterstützung in Sicherheitsorganisation• Wettbewerbsvorteile
– Ausschreibungen
– Kundenvertrauen
– Neue Geschäftsfelder
• Erhöhtes Rechtsbewusstsein
35
Seite 35
/76© R. Grimm / H. Hundacker 69
Zertifikat-Nutzen für Kunden
• Transparenz/Vergleichbarkeit, über– abgewehrte Bedrohungen
– Sicherheitsfunktionen
– Eigenschaften der Produkte (leichtere Auswahl)
– Benutzbarkeit der Produkte (Dokumentation)
• Sicherheitsgarantie an die Kundschaft• Vertrauen
– durch Prüfung von einer autorisierten Stelle
– in die Einhaltung ihrer Sicherheitsziele(Verfügbarkeit, Integrität, Authentizität)
/76© R. Grimm / H. Hundacker 70
Gliederung
1. Motivation2. Kosten3. Nutzen4. Kalkulation – Beispiel: Firewall5. RoSI6. Alternative Ansätze (Risikomatrix, Szenariotechnik)7. Nutzen von Sicherheitsbewertungen8. Kosten-Nutzen-Abschätzung
• Investitionsumfang (Pareto-Prinzip)• Schutzbedarf• Versicherungen• Fazit
36
Seite 36
/76© R. Grimm / H. Hundacker 71
Sicherheitsinvestitionen
/76© R. Grimm / H. Hundacker 72
Sicherheitsrisiken und -investitionen
• Pareto-Prinzip (80/20-Regel) gilt auch für Sicherheit
• Ist ein Grundschutz erreicht, werden notwendige weitere Investitionen in IT-Sicherheit sehr groß und rein wirtschaftlich oft (nicht immer) nicht sinnvoll
37
Seite 37
/76© R. Grimm / H. Hundacker 73
Kosten Nutzen
[Quelle: Welsche et al., Selflinux]
/76© R. Grimm / H. Hundacker 74
Schutzbedarf
• Schutzbedarf:– Höhere Angriffswahrscheinlichkeit steigert den Schutzbedarf
– Höhere (finanzielle) Werte steigern den Schutzbedarf
– Unternehmen, denen ein hoher Imageverlust durch einen Angriff auf das IT-Netz droht, haben einen hohen Schutzbedarf (z.B. Banken, Versicherungen)
– Bei hohen Schutzbedarf, ist die Wahrscheinlichkeit auf Gewinn geringer als bei niedrigen Schutzbedarf
38
Seite 38
/76© R. Grimm / H. Hundacker 75
Versicherungen
• Es werden in der Regel nur Sachschäden versichert– Hardware, Software
• Durch nachgewiesene Sicherheit (Zertifikate) werden Versicherungen günstiger (oder erst möglich)
/76© R. Grimm / H. Hundacker 76
Fazit
• IT-Sicherheit ist Chefsache• IT-Sicherheit betrifft den gesamten Betrieb• Schadensvermeidung
– IT-Grundschutz darf in keiner Firma fehlen
– ISMS empfehlenswert (s. Vorlesung über Sicherheitsbewertung)
– Investitionskosten steigen mit erhöhten Schutzbedarf
• Verbesserte Arbeitsbedingungen• Erhöhte Aufmerksamkeit• Verbesserte Arbeitsqualität
• Neue Anwendungsmöglichkeiten
39
Seite 39
/76© R. Grimm / H. Hundacker 77
Literaturhinweise
Bundesamt für Sicherheit in der Informationstechnik – BSI. Zertifizierte IT-Sicherheit. https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/zertifizierungundanerkennung_node.html Bonn, Oktober 2012, 36 Seiten. [23.3.2015]
BMI/BKA, Polizeiliche Kriminalstatistik 2013. (April 2014)BKA 2013, Cybercrime Bundeslagebild 2013. (April 2014)CSI, CSI Computer Crime and Security Survey 2010/11:
http://gatton.uky.edu/FACULTY/PAYNE/ACC324/CSISurvey2010.pdf [23.3.2015]Computer Crime & Intellectual Property Section: http://www.justice.gov/criminal/cybercrime/
[23.3.2015]KES, Sicherheitsstudien 2002,…2014: https://www.kes.info/aktuelles/microsoft-studie-2014/
[23.3.2015]Kosten & Nutzen der IT-Sicherheit, HMD Heft 248, dpunkt.verlag, April 2006.Moschgath, Marie-Luise, (2005): Intensivseminar Sicherheitsmanagement, Kosten-Nutzen-
Analyse, FhG-SIT, Darmstadt.Potthoff, Ingo (1999): Kosten und Nutzen der Informationsverarbeitung. Deutscher Universitäts-
Verlag, 223 Seiten.Pohlmann, Norbert (2006): Internet-Infrastruktur unter dem Gesichtspunkt der IT-Sicherheit:
http://www.internet-sicherheit.de/fileadmin/docs/cebit-2006/CeBIT-Heise-Pohlmann.pdf [23.3.2015]
Schadt, Dirk: Über die Ökonomie der IT-Sicherheit in Kosten & Nutzen von IT-Sicherheit, HMD Heft 248, dpunkt.verlag, 2006
G. Welsche, K. Schulz, M. Hagedorn (Selflinux) – Grundlagen der Sicherheit: http://selflinux.org/selflinux/html/grundlagen_sicherheit.html [23.3.2015]
/76© R. Grimm / H. Hundacker 78
Beispielfragen
1. Nennen Sie die 5 Angriffsformen, die besonders hohe Schäden verursachen.2. Nennen Sie 5 Kriterien, Kosten von einander abzugrenzen. Grenzen Sie die Kosten einer
Software, eines Lagers und einer Hardware von einander ab.3. Nennen Sie 20 Einflussfaktoren in die Kosten für IT-Sicherheit, und ordnen sie den
Bereichen Hardware, Software, Personal und Sonstiges zu.4. Nennen sie 4 Bereiche, in denen IT-Sicherheit Nutzen bringt. Nennen Sie jeweils
mindestens 3 Beispiele.5. Was ist und wie berechnet man den Wert der Annual Loss Expectancy (ALE)?6. Erläutern Sie an einem Beispiel das Prinzip der Total Cost of Ownership (TCO).7. Führen Sie eine komplette ROSI-Kalkulation für einen Virenscanner durch. Untersuchen
Sie den Gesamtaufwand in jeder Phase, den Nutzen (andere Beispiele möglich).8. Skizzieren Sie eine Risikomatrix. Kennzeichnen Sie vier Bereiche mit
Handlungsempfehlungen.9. Welchen Nutzen haben Kunden und Hersteller von zertifizierten Produkten?10. Welche Branchen haben einen erhöhten Sicherheitsbedarf, und sollten deshalb
besonders hohe Sicherheitsinvestitionen einplanen?11. Erläutern Sie das Pareto-Prinzip für Investitionen in die IT-Sicherheit.