Wie teuer ist eigentlich „IT-Unsicherheit“?

Die Kürbisse sind aus den Vorgärten verschwunden und das Weihnachtsgebäck dominiert bereits die Quengelzone der Supermärkte. Es ist wieder so weit: Ein Großteil der IT-Verantwortlichen befindet sich bereits in der letzten Phase der Budgetplanung für das kommende Jahr und diskutiert über die Frage, was IT-Sicherheit kosten darf. Doch was kostet eigentlich Unsicherheit in der IT?

Die Frage nach den Kosten von IT-Unsicherheit in Deutschland lässt sich tatsächlich beantworten, wenn man den wirtschaftlichen Schaden durch Cyberkriminalität im vergangenen Jahr (laut einer Bitkom-Studie) damit gleichsetzen mag. Und die Zahl hat es in sich: 223 Milliarden Euro.

Schauen wir uns zunächst an, wo diese 223 Milliarden geblieben sind. Oder auch: durch welche Angriffe wurden sie verbrannt oder gar nicht erst erwirtschaftet?

In den Nachrichten tauchten im vergangenen Jahr vorwiegend DDoS-Angriffe (Distributed Denial of Service) und Ransomware auf. Die Anzahl der DDoS-Attacken hat im Jahr 2020 deutlich zugenommen, wie beispielsweise Studien von Microsoft oder Cloudflare darlegen. Paketfluten in rekordverdächtigen Größenordnungen machen dabei aber nur einen kleinen Teil aus. Mit Abstand am häufigsten sind kurze (<20 Minuten) und relativ kleine DDoS-Attacken, die für eine überschaubare Zeit einen Dienst oder eine Infrastruktur lahmlegen. Unternehmen, die mit „Uptime“ (sprich: der Verfügbarkeit ihrer Angebote im Internet) Geld verdienen, müssen sich also unbedingt vor derartigen Angriffen schützen.

Deutlich gravierendere Schäden hat allerdings eine andere Art „digitalen Ungeziefers“ verursacht: Ransomware. Gegenüber (normalen) DDoS-Attacken, die darauf zielen, einzelne Services oder Systeme aus dem Internet zu boxen, legt eine Infektion mit Ransomware oft die komplette IT-Landschaft für Tage oder sogar Wochen lahm: User-PCs, Anwendungen, Server, Datenbanken und Backups. Heißt im Klartext: Ransomware funktioniert (aus Angreiferperspektive) überall und nicht nur bei „Internet-Unternehmen“.

Auf der „dunklen Seite“ hat sich hier eine Software namens Emotet durchgesetzt. Gestartet als Banking-Trojaner wurde sie über ein Plug-in-System zum Multifunktionstool für den engagierten Cyber-Kriminellen. In Kombination mit den richtigen – im weitesten Sinne – Erweiterungen wie der Malware Trickbot, sind von der Erstinfektion und Ausbreitung über Spionage und Datenklau (Exfiltration) bis hin zum automatisierten, flächendeckenden Deployment der bevorzugten Ransomware alle Features verfügbar. Sogar automatisiertes Social Engineering beherrscht die Software. Sie liest E-Mails mit, lernt dabei über die Inhalte und Kontakte und verschickt sich mit passend formulierten Antworten selbst an ebendiese. Phishing-Mails sind heutzutage also nicht mehr mit Grammatikfehlern gespickte, schlecht gefälschte Nachrichten von (angeblich) Paypal oder DHL/UPS mit „Rechnung.xlsm“ als Anhang.

Das alles versetzt die Kriminellen in die Lage, ihre Strategie laufend anzupassen. Wurden brisante Informationen oder Geschäftsgeheimnisse gefunden, lässt sich damit eine Erpressung starten, ohne viel Wirbel zu veranstalten. Ist das nicht der Fall oder will man zusätzlichen Schaden verursachen, zieht man die Ransomware-Karte und legt den Betrieb still, bis ein Lösegeld für die verschlüsselten Daten bezahlt oder die Bereinigung und Wiederherstellung aus eigener Kraft geglückt ist.

Zu all diesen Fällen gab es in der jüngsten Vergangenheit einige Beispiele in der Presse (wie z. B. Landesverwaltung, Uni Leipzig, Leak Patientendaten, 13 Krankenhäuser). Gartner schätzt den Schaden durch Ransomware (Umsatzausfälle, Datenwiederherstellung etc.) dabei um den Faktor 10-bis 15-mal höher als das Lösegeld für die Binär-Geiseln.

Klassischer Spam ist laut BSI übrigens mittlerweile rückläufig. Nur noch (hust!) 76 % des Mailvolumens machen unerwünschte Werbemails aus. Das liegt zum einen daran, dass Spamfilter immer besser werden und zum anderen (und das dürfte der schwerwiegendere Grund sein) gibt es mittlerweile viel effektivere und effizientere Marketingstrategien (Targeting).

223.000.000.000 Euro

Solche Zahlen sind kaum greifbar. Da hilft es auch nicht zu wissen, dass es mehr ist als das Bruttoinlandsprodukt von Portugal, Griechenland, Neuseeland oder der Tschechischen Republik (jeweils 2017, Quelle). Um das Ganze besser zu veranschaulichen und nahbarer zu machen, dröseln wir diese Zahl mal etwas auf.

223 Milliarden entspricht dabei knapp 611 Millionen Euro täglich oder rund 175 Millionen große Portionen Pommes mit Soße und das an jedem der 365 Tage im Jahr. Es könnten demnach alle Beschäftigten der IT-Security in Deutschland (ca. 175.000 Menschen) täglich rund 1.000 Portionen für diese Summe erhalten. Das entspricht etwa zwei volle Badewannen mit Pommes – täglich – alle – mit Soße. Vor 10 Jahren hätten wir dafür sogar noch ca. sechs Badewannen pro Kopf bekommen – so gut ist die Security-Besetzung in den Unternehmen bereits gewachsen.

Ob Kartoffelgerichte die beste Wahl wären? Nun, wir müssen ja nicht nur in Pommes investieren. Laut Stepstone liegt das Jahresbruttogehalt eines IT Security Engineers in Deutschland bei 58.200 Euro. Mit den 223 Milliarden Euro könnten wir also jedem Unternehmen in Deutschland (insgesamt ca. 3,56 Millionen, davon 3,46 Millionen KMUs mit unter 500 Mitarbeitenden) eine Vollzeitstelle in der IT-Sicherheit finanzieren, genauer gesagt 3.838.210 Stellen. Fast 280.000 Unternehmen bekämen sogar zwei Vollzeitkräfte. Dass aktuell im Durchschnitt nur jedes 20. Unternehmen in Deutschland überhaupt eine Security-Vollzeitstelle hat, liegt offensichtlich daran, dass über 3,1 Millionen der Unternehmen nicht einmal 10 Menschen beschäftigen und damit auf sichere Out-of-the-Box-Lösungen angewiesen sind.

Holen wir es zurück

Allein die Pommes-Lawine würde meine Kollegen und mich sehr glücklich machen. Wir müssen also handeln, damit sich nicht weiterhin die Cyber-Kriminellen damit eindecken. Der Schutz vor Ransomware steht dabei an erster Stelle und beginnt schon bei der Sensibilisierung aller Mitarbeitenden durch kontinuierliche Awareness-Trainings. Damit werden die User ein aktiver Bestandteil der Security-Infrastruktur und bleiben nicht länger „Einfallstor Nummer 1“.

Damit erreichen wir einen ersten Schritt in Richtung Prävention. Der nächste Schritt muss technischer Natur sein, wie z. B. durch verlässliches Asset Management und wirksamen Malware-Schutz auf jedem Endgerät. Das heißt im Detail zentral verwaltet, lückenlos und technisch am Puls der Zeit. Hinzu kommen grundlegende Konfigurationsstandards, die seit Jahren gepredigt werden: Netzwerksegmentierung, „Least Privilege“ für User-Accounts (auch z. B. durch ) und eine frühzeitige Erkennung von Anomalien durch Korrelation von relevanten Ereignissen durch ein SIEM.

Damit sichergestellt ist, dass die Security-Controls und -Prozesse in Summe auch tatsächlich wirksam sind, müssen sie regelmäßig getestet werden. Und mit „regelmäßig“ ist hier nicht „jedes Weihnachten“ gemeint! Hierbei helfen ebenfalls automatisierte Lösungen. Unsere Experten der magellan beraten Sie gern zu Ihrer Prävention – auch ohne Pommes.

Also – starten wir jetzt und holen uns die Milliarden zurück?