Newsletter

Abonnements

Finanzielles Risiko in der IT steigt

Der Schrecken jedes CFO: Malwareprogramme können in Sekundenschnelle tausende Computer lahmlegen.
iStock / Thinkstock / Getty Images

Es spielt nicht wirklich eine Rolle, in welchem Sektor ein Unternehmen tätig ist, wie groß es ist oder wie international aufgestellt. Allein im August machten Nachrichten über Hackerattacken auf kommunale und städtische Webseiten in den Niederlanden, auf den Blog der Nachrichtenagentur Reuters, auf das kleine Berliner Brillengeschäft Mister Spex wie wie auf die weltgrößte Ölfirma Saudi Aramco die Runde. Die Liste ließe sich fortsetzen.

So verschieden die Attacken auch waren, so haben sie doch eines gemeinsam: Sie können die Betroffenen sehr teuer zu stehen kommen. Wie teuer, lässt sich schwer sagen, schließlich würde kaum ein CFO offen über die Verluste durch IT-Lücken sprechen. Vielen dürfte es schwerfallen, Verluste überhaupt zu beziffern. Genau das macht die Abschätzung eines Return on Security Investment (ROSI) so schwierig. „Für CFOs sind Returns on Investment in Sicherheitssysteme schwer messbar, weil sie ja eben dazu dienen, das Eintreten eines Ereignisses zu verhindern“, sagt Christoph Hagmann, Partner bei Infosys Deutschland.

Alle Hintertüren bei der IT-Sicherheit schließen

Das amerikanische Ponemon Institut versucht, ein wenig Licht in das Dunkel zu bringen. In der 2011er Ausgabe seines Cost of Data Breaches Reports beziffert das Institut die durchschnittlichen Kosten eines Unternehmens pro Datenpanne auf 5,5 Millionen Dollar. Zwei Jahre zuvor waren es noch 6,75 Millionen Dollar. Der günstigste Vorfall 2009 kostete das betroffene Unternehmen 750.000 Dollar zur Behebung der Datenlücke; der teuerste Vorfall fast 31 Millionen Dollar. Kostenfaktoren beinhalten Aufwendungen für die Ermittlung der Lecks, Abwehrmaßnahmen, aber auch juristische und administrative Ausgaben. Weitere Kosten fallen durch den Reputationsschaden an und bei der Betreuung besorgter oder verärgerter Kunden.

Was kann ein Finanzvorstand tun? „Der wichtigste Aspekt bei IT-Sicherheit ist ein unternehmensweiter, ganzheitlicher Ansatz ohne offene Hintertüren“, sagt Christian Funk, Virenanalyst bei Kaspersky Lab. Veraltete Software, Bring-your-own-Device-Konzepte und mobile Endgeräte im Allgemeinen erhöhten allesamt das Risikoniveau. „Im Juli 2011 wurden pro Monat vielleicht 300 neue Malwareprogramme für mobile Endgeräte entdeckt. Im Juli 2012 waren es schon rund 3.700.“

Auch wenn ROSI schwer zu ermitteln ist, sollten CFOs daher im Hinterkopf behalten, dass die Kosten einer unterlassenen Investition astronomisch sein können. Laut Kaspersky zerstörte das Wiper-Virus, das Ölfirmen im Mittleren Osten befiel, auf einer infizierten Festplatte in Sekundenschnelle so viele Daten wie möglich – und Berichten zufolge gelang ihm dies im Fall von Saudi Aramco auf 30.000 der 50.000 Rechner.

Hacker-Versicherungen als Option

ThyssenKrupp hat vor kurzem verkündet, eine Versicherung gegen Attacken aus dem Netz abschließen zu wollen. Ob und wie das funktionieren soll, ist noch unklar. „Wie bei jeder Versicherung müssen Unternehmen auch in diesem Fall nachweisen können, alle nur denkbaren Maßnahmen gegen Datenklau ergriffen zu haben“, sagt Hagmann. Das dürfte schwer werden in einer vernetzten Welt, in der viele Datenverstöße außerhalb der Firewall des eigenen Unternehmens geschehen. Geschäftspartner, Zuliefere, Kunden, Berater – sie alle haben Schnittstellen oder Kontakt mit den Daten der eigenen Firma und sind oft bevorzugte Ziele für Hackerangriffe.

Noch deutlicher wird das Problem, wenn man es von der Angebotsseite für geklaute Daten betrachtet. Laut Hagmann lassen sich auf dem Schwarzmarkt gestohlene Kreditkartendaten inklusive PIN für 500 Dollar erstehen. Gestohlene Führerscheindaten gibt es schon für 150 Dollar. Die Installation eines Trojaners auf einer Festplatte kann unter 1.000 Dollar kosten. Ein Gesprächspartner, der lieber ungenannt bleiben möchte, sieht sogar einen ganz klaren Trend: „Die Preise fallen, da immer mehr Anbieter in den Markt drängen.“

armin.haeberle[at]finance-magazin.de