Wie sich Security-Ausgaben rechnen

Der Software-Markt gibt jede Menge Tools her, die Firmennetzwerke sicher machen sollen. Aber würde man nicht eventuell am günstigsten mit einer guten, schlichten Firewall fahren? Vielleicht zahlt man dann zwar im Falle tatsächlicher Sicherheitslücken drauf, spart aber auch eine Menge an präventiven Ausgaben ein. [...]

Die Analysten der Aberdeen Group haben sich dieser Frage angenommen. Sie haben einen Vergleich angestellt zwischen 27 Firmen, die ausschließlich auf die Karte Firewall setzen, und 119 Unternehmen mit einem breiteren Security-Ansatz. Als dritte Vergleichsgruppe filterte Aberdeen wie immer das Fünftel der „Klassenbesten“ heraus, die auf vorbildlich effiziente Weise ihren Laden sicher halten. Das nicht überraschende Ergebnis der Studie lautet: Es ist keine gute Idee, ausschließlich auf eine Firewall zu setzen.

An den Anfang der Studie setzt Aberdeen allerdings eine kleine Milchmädchenrechnung, die auf den ersten Blick das Gegenteil nahelegt. Demnach investieren die reinen Firewall-Firmen jährlich im Durchschnitt 1,49 Millionen US-Dollar in ihre IT-Sicherheit, die Klassenbesten 1,88 Millionen, die breite Masse sogar 2,28 Millionen. Die jährlichen Kosten für IT-Security-bezogene Initiativen belaufen sich in der Firewall-Gruppe durchschnittlich auf 280.000 Dollar, bei den Klassenbesten auf 790.000 Dollar, beim Rest auf 960.000 Dollar.

Absolut betrachtet geben die puren Firewall-Unternehmen also deutlich weniger für IT-Sicherheit aus als der Rest. Im Vergleich dazu erscheinen zwei andere Parameter gar nicht so schlecht wie erwartet zu sein. Schädliche Vorfälle ereigneten sich nämlich im vergangenen Jahr durchschnittlich 10,1mal pro Unternehmen. Bei den Klassenbesten ist der Vergleichswert 9,1, in der Gruppe mit einem breiteren Security-Ansatz sind es aber sogar elf Vorfälle gewesen. Man mag dazu anmerken, dass in diesen Firmen logischerweise Probleme entdeckt werden, die alleine mit einer Firewall unbekannt bleiben. Dieser Umstand bleibt aber in der Studie unberücksichtigt.

Aberdeen berechnet auf Basis der Vorfälle die jährlichen Kosten, die durch Security-Löcher verursacht werden. Dies seien gleichsam die durch Ausgaben für die IT-Sicherheit nicht vermiedenen Kosten. Sie belaufen sich auf 1,32 Millionen Dollar in der großen Gruppe der 119 Firmen, auf 1,21 Millionen Dollar in der Firewall-Gruppe und auf 1,09 Millionen bei den Klassenbesten. Die Summen ergeben sich, indem Aberdeen mit durchschnittlichen Kosten von 120.000 Dollar pro Schadensfall rechnet.

Dieses Potpourri an absoluten Zahlen ergibt indes laut Aberdeen kein seriöses Bild. In den Mittelpunkt ihrer Bewertung des geschäftlichen Nutzens von Security-Investitionen und Risikoakzeptanz rücken die Analysten deshalb einen simplen Framework: im Zähler die jährlichen Gesamtkosten der vermiedenen Security-bezogenen Vorfälle, im Nenner die Summe aus jährlichen Kosten der nicht vermiedenen Vorfälle und jährlichen Ausgaben für IT-Sicherheits-Initiativen. Innerhalb dieses Dreisatzes machten sich Verbesserungen der Effizienz und der Effektivität positiv bemerkbar.

Auf Basis dieses Frameworks leitet Aberdeen eine Reihe von Indikatoren ab, die die Lage in den drei betrachteten Gruppen ins richtige Verhältnis setzen. Die Ausgaben werden dabei vor allem relativ zum Jahresumsatz betrachtet. Es zeigt sich, dass die reinen Firewall-Unternehmen effektiv ein Sicherheitsrisiko von 81 Prozent akzeptieren, die beiden anderen Gruppen indes nur jeweils 58 Prozent.

Am wirtschaftlichsten gehen wie erwartet die Klassenbesten vor. Die breit aufgestellten Firmen geben relativ gesehen 1,3mal so viel wie die Top-Firmen für ihre IT-Sicherheit aus, die Firewall-Puristen sogar vier Mal so viel. Dafür nehmen sie ungleich höhere Kosten durch Vorfälle in Kauf.

„Aberdeens Analyse bestätigt die vorherrschende Erkenntnis, dass alleine auf Firewalls basierende Netzwerksicherheit nicht ausreicht“, lautet das Fazit der Studie. „Network-Security-Initiativen sollten in allen Firmen einem umfassenderen Defense-In-Depth-Ansatz folgen, um Betriebssysteme, Netzwerke, Anwendungen und Daten zu schützen.“ Die Studie „Network Security: Firewalls Alone are Not Enough” ist bei Aberdeen erhältlich.


Mehr Artikel

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

News

Datenfriedhof im Internet

Verwaiste Konten in den sozialen Medien, Kondolenzbücher im Internet, digitale Wallets als Teil der Verlassenschaft: Der Tod ist endgültig im Internet angekommen, trotzdem hat nur ein Bruchteil der Nutzer:innen vorgesorgt. Der Providerverband ISPA – Internet Service Providers Austria bietet in einer Broschüre einen rechtlichen Überblick zum „digitalen Nachlass“ und gibt praktische Tipps zur Vorsorge sowie Informationen für Hinterbliebene. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*