Quelle: Fotolia.com, alphaspirit
STUDIEN:
Lohnendes Investment in IT-Sicherheit
Eine Studie der Dena hat mit Hilfe von Beispielrechnungen ermittelt, wann sich Investitionen in die IT-Sicherheit rentieren.
Mit zunehmender Digitalisierung der Energiewirtschaft nimmt die Bedeutung der IT-Sicherheit der kritischen Infrastruktur zu.
Die Deutsche Energieagentur (Dena) hat sich nun in einer gemeinsamen Studie mit dem Fraunhofer-Institut für Angewandte Systemtechnik
(IOSB-AST) der Frage gewidmet, wie man die Wirtschaftlichkeit von IT-Sicherheitsinvestitionen bewerten kann. All dies geschieht
vor dem Hintergrund der EU-Richtlinien zur Cybersicherheit und zur Resilienz kritischer Infrastrukturen, die in nationales
Recht umgesetzt werden müssen.
Die neuen Regelungen bringen zahlreiche Pflichten mit sich, die auch Unternehmen betreffen, die nicht zu den bestehenden Betreibern kritischer Infrastruktur gehören. Diese werden als „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ klassifiziert, gehören aber auch zu den Sektoren Energie, Transport und Verkehr, Finanzen und Versicherungen oder Gesundheit.
Als Kriterien dienen die Anzahl der Beschäftigten, der Umsatz und die Bilanzsumme sowie der Betrieb bestimmter Anlagen und die Erbringungen von „Vertrauensdiensten“. Besonders hervorgehoben ist die Verantwortung der Geschäftsleitung der besonders wichtigen und wichtigen Unternehmen hinsichtlich der IT-Sicherheit. Sie muss sicherstellen, dass angemessene Maßnahmen ergriffen werden, um Risiken für Netze und Informationssysteme zu minimieren. Dabei muss nicht nur die Umsetzung der Maßnahmen, sondern auch ihre Überwachung sichergestellt sein.
Mit ihrem 38-seitigen Papier will die Dena den Entscheidern eine Hilfe bieten, die Kosten, den Nutzen und die Rentabilität von Cybersicherheitsmaßnahmen zu bewerten. Ausgangspunkt ist die IT-Sicherheitsreferenzarchitektur eines Verteilnetzbetreibers. In einer Beispielrechnung konkretisieren die Verfasser der Analyse den Erfüllungsaufwand, der sich beispielsweise für die Einhaltung eines Mindestniveaus an IT-Sicherheit ergibt.
Bei einem „besonders wichtigen“ Unternehmen veranschlagen sie dafür rund 400.000 Euro, die für die Einführung und Anpassung digitaler Prozessabläufe sowie Personal- und Sachkosten anfallen. Um die Einhaltung des Mindestniveaus nachzuweisen, sind weitere Aufwendungen nötig. Etwa 16.000 Euro für die damit betrauten Mitarbeiter sowie knapp 20.000 Euro an Sachkosten für Prüfungen und Dokumentationen. Eine ähnliche Aufstellung listet die Kosten bei „wichtigen“ Unternehmen auf.
Schätzungsweise 210 Milliarden Euro Gesamtschaden
Wesentlich für die Analyse ist die Ermittlung der Schadenskosten. Die Erstellung eines Asset-Inventars, die Priorisierung der Assets und die Quantifizierung ihres Wertes sind die ersten Schritte. Ihnen folgen Bedrohungsszenarien und die Bestimmung ihrer Eintrittswahrscheinlichkeit.
Im Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) werden die Kosten, die Cyberangriffe auf Unternehmen mit mindestens zehn Beschäftigten in Deutschland pro Jahr verursachen, auf 210 Milliarden Euro geschätzt. Bei 444.055 Unternehmen – so eine Zahl des Statistischen Bundesamts – würde jedes Unternehmen einen Schaden von rund 500.000 Euro erleiden.
Da der Referentenentwurf von einer Halbierung der Schadenssumme ausgeht, wenn die vorgeschriebenen Sicherheitsmaßnahmen ergriffen werden, könnten 250.000 Euro an Schaden vermieden werden. Die Autoren weisen darauf hin, dass schätzungsweise 14.500 Unternehmen dem NIS2UmsuCG unterliegen, so dass der abgewehrte Gesamtschaden sich auf 3,6 Milliarden Euro beläuft.
Allerdings geben sie auch zu bedenken, dass es sich um einen mit einer Schadenswahrscheinlichkeit bewerteten Durchschnitt über alle vom NIS2UmsuCG betroffenen Unternehmen handelt. Und sie schreiben: „Im Falle eines Cyberangriffs auf ein Energieversorgungsunternehmen kann der Schaden schnell weitaus größer werden, falls die sichere Energieversorgung nicht mehr gewährleistet werden kann und in einem Dominoeffekt weitere kritische Einrichtungen anderer Sektoren nicht mehr operieren können.“
Im abschließenden Kapitel erläutern sie den Return on Security Investment zur Verdeutlichung der Investitionseffekte. Dieser basiert auf dem betriebswirtschaftlichen Konzept des Returns on Investment. Es wird die Eintrittswahrscheinlichkeit eines Angriffs vor und nach der Implementierung von Gegenmaßnahmen bestimmt und daraus ein jährlicher Verlust berechnet.
Die Berechnungsbeispiele der Verfasser ergeben, dass bei besonders wichtigen Einrichtungen die Investitionen in IT-Sicherheit sich bereits im zweiten Jahr rentieren. Bei wichtigen Einrichtungen rentieren sie sich bereits im ersten Jahr.
Die Studie mit dem Titel „Cyber-Fit: Investitionen in die Cybersicherheit der Stromwirtschaft “ steht auf der Internetseite der Dena zum Download zur Verfügung.
Die neuen Regelungen bringen zahlreiche Pflichten mit sich, die auch Unternehmen betreffen, die nicht zu den bestehenden Betreibern kritischer Infrastruktur gehören. Diese werden als „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ klassifiziert, gehören aber auch zu den Sektoren Energie, Transport und Verkehr, Finanzen und Versicherungen oder Gesundheit.
Als Kriterien dienen die Anzahl der Beschäftigten, der Umsatz und die Bilanzsumme sowie der Betrieb bestimmter Anlagen und die Erbringungen von „Vertrauensdiensten“. Besonders hervorgehoben ist die Verantwortung der Geschäftsleitung der besonders wichtigen und wichtigen Unternehmen hinsichtlich der IT-Sicherheit. Sie muss sicherstellen, dass angemessene Maßnahmen ergriffen werden, um Risiken für Netze und Informationssysteme zu minimieren. Dabei muss nicht nur die Umsetzung der Maßnahmen, sondern auch ihre Überwachung sichergestellt sein.
Mit ihrem 38-seitigen Papier will die Dena den Entscheidern eine Hilfe bieten, die Kosten, den Nutzen und die Rentabilität von Cybersicherheitsmaßnahmen zu bewerten. Ausgangspunkt ist die IT-Sicherheitsreferenzarchitektur eines Verteilnetzbetreibers. In einer Beispielrechnung konkretisieren die Verfasser der Analyse den Erfüllungsaufwand, der sich beispielsweise für die Einhaltung eines Mindestniveaus an IT-Sicherheit ergibt.
Bei einem „besonders wichtigen“ Unternehmen veranschlagen sie dafür rund 400.000 Euro, die für die Einführung und Anpassung digitaler Prozessabläufe sowie Personal- und Sachkosten anfallen. Um die Einhaltung des Mindestniveaus nachzuweisen, sind weitere Aufwendungen nötig. Etwa 16.000 Euro für die damit betrauten Mitarbeiter sowie knapp 20.000 Euro an Sachkosten für Prüfungen und Dokumentationen. Eine ähnliche Aufstellung listet die Kosten bei „wichtigen“ Unternehmen auf.
Schätzungsweise 210 Milliarden Euro Gesamtschaden
Wesentlich für die Analyse ist die Ermittlung der Schadenskosten. Die Erstellung eines Asset-Inventars, die Priorisierung der Assets und die Quantifizierung ihres Wertes sind die ersten Schritte. Ihnen folgen Bedrohungsszenarien und die Bestimmung ihrer Eintrittswahrscheinlichkeit.
Im Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) werden die Kosten, die Cyberangriffe auf Unternehmen mit mindestens zehn Beschäftigten in Deutschland pro Jahr verursachen, auf 210 Milliarden Euro geschätzt. Bei 444.055 Unternehmen – so eine Zahl des Statistischen Bundesamts – würde jedes Unternehmen einen Schaden von rund 500.000 Euro erleiden.
Da der Referentenentwurf von einer Halbierung der Schadenssumme ausgeht, wenn die vorgeschriebenen Sicherheitsmaßnahmen ergriffen werden, könnten 250.000 Euro an Schaden vermieden werden. Die Autoren weisen darauf hin, dass schätzungsweise 14.500 Unternehmen dem NIS2UmsuCG unterliegen, so dass der abgewehrte Gesamtschaden sich auf 3,6 Milliarden Euro beläuft.
Allerdings geben sie auch zu bedenken, dass es sich um einen mit einer Schadenswahrscheinlichkeit bewerteten Durchschnitt über alle vom NIS2UmsuCG betroffenen Unternehmen handelt. Und sie schreiben: „Im Falle eines Cyberangriffs auf ein Energieversorgungsunternehmen kann der Schaden schnell weitaus größer werden, falls die sichere Energieversorgung nicht mehr gewährleistet werden kann und in einem Dominoeffekt weitere kritische Einrichtungen anderer Sektoren nicht mehr operieren können.“
Im abschließenden Kapitel erläutern sie den Return on Security Investment zur Verdeutlichung der Investitionseffekte. Dieser basiert auf dem betriebswirtschaftlichen Konzept des Returns on Investment. Es wird die Eintrittswahrscheinlichkeit eines Angriffs vor und nach der Implementierung von Gegenmaßnahmen bestimmt und daraus ein jährlicher Verlust berechnet.
Die Berechnungsbeispiele der Verfasser ergeben, dass bei besonders wichtigen Einrichtungen die Investitionen in IT-Sicherheit sich bereits im zweiten Jahr rentieren. Bei wichtigen Einrichtungen rentieren sie sich bereits im ersten Jahr.
Die Studie mit dem Titel „Cyber-Fit: Investitionen in die Cybersicherheit der Stromwirtschaft “ steht auf der Internetseite der Dena zum Download zur Verfügung.
© 2024 Energie & Management GmbH
Dienstag, 29.10.2024, 17:37 Uhr
Dienstag, 29.10.2024, 17:37 Uhr
teilen
teilen
teilen
teilen
Mehr zum Thema
Deutsche Wirtschaft weiter ohne Aufschwung
