Juniper Networks präsentiert in Zusammenarbeit mit der RAND Corporation, einer gemeinnützigen Institution, die sich auf Basis von Forschungs- und Analyseaktivitäten für eine verbesserte Ausgestaltung von Richtlinien und Entscheidungsprozessen einsetzt, neue Erkenntnisse über die ökonomischen Herausforderungen, Zielkonflikte und Anforderungen, die für Unternehmen entscheidend sind beim Schutz vor immer komplexeren Sicherheitsbedrohungen.
Der von Wirtschafts- und Sicherheitsexperten bei RAND erstellte Bericht belegt, dass Chief Information Security Officers (CISOs) bei der Entscheidung für die effizienteste und kostengünstigste Methode zur Bewältigung von Sicherheitsrisiken häufig chaotische und unübersichtliche Bedingungen vorfinden. Dabei beunruhigt laut Untersuchungen vor allem, dass viele Unternehmen immer mehr Gelder für Tools zur Gewährleistung der Cybersicherheit aufwenden, ohne wirklich darauf zu vertrauen, dass ihre Infrastrukturen durch diese Investitionen auch abgesichert sind.
Diese Dynamik entsteht aufgrund eines Mangels an stichhaltigen Analysemethoden, die sowohl die Kosten für Sicherheitstools und Sicherheitsressourcen, als auch die potenziellen Kosten für Sicherheitslücken berücksichtigen, die per Definition weder unbestritten, noch vorhersehbar sind. Daher sollte CISOs eine Methode zur Verfügung stehen, mit der sie ein besseres Verständnis für die Variablen und Kosten mit den stärksten Auswirkungen auf das Management von Cybersicherheitsrisiken entwickeln und die darüber hinaus unterschiedliche Entscheidungswege zum Schutz ihrer Organisation aufzeigt.
Diesen Zielsetzungen will Juniper nun durch Veröffentlichung des Berichts »The Defender’s Dilemma: Charting a Course Toward Cybersecurity« gerecht werden. In dem zweiten von insgesamt zwei Berichten präsentiert RAND ein heuristisches Wirtschaftsmodell, das erstmals die wichtigsten Faktoren und Entscheidungskriterien abbildet, die sich auf die Kosten zur Bekämpfung von Cyberrisiken in Organisationen auswirken.
Anhand des RAND-Modells lassen sich die Kosten für Unternehmen bei der Bewältigung der Cybersicherheitsrisiken nun vorhersagen. Angesichts einer Kostensteigerung von 38 Prozent über die nächsten zehn Jahre ist an der Zeit, dass Unternehmen ihre Ausgaben für das Sicherheits- und Risikomanagement als für sich stehende Unternehmensfunktion betrachten – vergleichbar mit den etablierten Modellen zur Definition und Umsetzung von strategischen Marketing- und Vertriebszielen. Denn auch Sicherheitsverantwortliche benötigen einen Prozess, um die Wirtschaftlichkeit bei der Verwaltung von Sicherheitsrisiken, die einhergehenden Variablen sowie die erforderlichen Investitionen zu benennen und ihre Infrastrukturen effizienter zu schützen.
Es gibt fünf wesentliche Aspekte, die durch das RAND-Modell bestätigt werden und von Unternehmen verstärkt bei der Entwicklung ihrer Sicherheitsstrategien berücksichtigt werden sollten:
Viele Sicherheitstools weisen Halbwertszeiten auf und verlieren damit ihren Nutzen: Angreifer entwickeln ständig neue Gegenmaßnahmen, um Erkennungstools wie Sandbox- oder Antiviren-Technologien auszuhebeln. Das führt dazu, dass Unternehmen immer mehr in Sicherheitstechnologien investieren, aber nur die vorhandene Sicherheitsstufe aufrechterhalten können. Das RAND-Modell geht davon aus, dass die Wirksamkeit der Schutztechnologien innerhalb von zehn Jahren um 65 Prozent abnehmen wird. Daher müssen Unternehmen die neuen Tools, in die sie investieren, detailliert prüfen und diejenigen auswählen, die nicht für Gegenmaßnahmen der Angreifer anfällig sind. Zudem sollte der Fokus auf der Verbesserung des Sicherheitsmanagements sowie der Automatisierung und Durchsetzung von Richtlinien im gesamten Netzwerk liegen.
Das Internet of Things (IoT) befindet sich an einem Scheideweg: Laut RAND wird sich das IoT auf die Gesamtkosten für die Sicherheit auswirken; bislang ist jedoch unklar, ob dieser Effekt positiv oder negativ sein wird. Tatsächlich könnten Unternehmen langfristig Kosten einsparen, wenn sie ihre Sicherheitstechnologien und das Sicherheitsmanagement entsprechend auf das IoT ausrichten. Andererseits geht das RAND-Modell davon aus, dass Unternehmen, die Probleme mit den Sicherheitsvorkehrungen haben, durch die Einführung des IoT aufgrund von resultierenden Cyberangriffen innerhalb von zehn Jahren einen Geschäftsverlust von 30 Prozent verzeichnen könnten.
Investitionen in die Belegschaft resultieren im Zeitverlauf in niedrigeren Kosten: Unternehmen profitieren enorm von mitarbeiterzentrischen Sicherheitsinvestitionen wie Technologien, die zur Automatisierung des Sicherheitsmanagements und der Sicherheitsprozesse beitragen, aber auch von weiterführenden Sicherheitsschulungen der Mitarbeiter und der Einstellung von zusätzlichem Sicherheitsexperten. Laut RAND-Modell sind Organisationen mit sehr hohem Sicherheitsbestreben, verglichen mit Organisationen, denen die sichere Gestaltung ihrer Struktur weniger wichtig ist, in der Lage, durch diese Maßnahmen die Kosten für das Management von Sicherheitsrisiken um 19 Prozent im ersten Jahr und um 28 Prozent im zehnten Jahr zu drosseln.
Kein Standardprozess für alle Unternehmen: Unternehmen sind häufig nicht in der Lage, ihre Wirtschaftsstrategie gezielt auf ihre Investitionen auszurichten, die sich je nach Größe, Art der vorhandenen Daten und Sorgfältigkeit der Sicherheitsmitarbeiter stark unterscheiden können. So stellte RAND fest, das KMUs am meisten von Basis-Tools und -Richtlinien profitieren; Konzerne und stark gefährdete Ziele angesichts der Wahrscheinlichkeit, dass sie im Rahmen von raffinierten Angriffsmethoden attackiert werden, am besten in ein komplettes Paket aus Richtlinien und Tools investieren sollten.
Beseitigung von Softwareschwachstellen führt zu erheblichen Kostensenkungen: Im Rahmen des RAND-Modells zeigt sich, dass die Anzahl der Schwachstellen in Software und in eingesetzten Anwendungen zu den gravierendsten Sicherheitsproblemen gehört, die Kostensteigerungen in Unternehmen verursachen. Würde die Häufigkeit der Softwareschwachstellen um die Hälfte verringert werden, ließen sich die Gesamtkosten für Cybersicherheit um 25 Prozent reduzieren.
Um die Ergebnisse zu verdeutlichen, präsentiert Juniper eine interaktive Umsetzung des Wirtschaftsmodells von RAND. Mit diesem neuen Werkzeug stehen Unternehmen allgemeine Leitlinien zur Verfügung, die auf den Erkenntnissen des Modells basieren. Dabei werden Empfehlungen über den zeitlichen Aufwand und die zu tätigen Ressourcen in den wichtigsten Bereichen ausgesprochen, um die potenziellen Kosten zu verringern.
»Cyberattacken haben sich zu einer der größten Bedrohungen für Unternehmen sämtlicher Branchen entwickelt. Deutsche Unternehmen verlieren Jahr für Jahr mehrere Milliarden Euro durch Datendiebstahl. Damit die effektive Sicherung der IT mehr als geschäftliche Herausforderung gesehen wird, müssen Unternehmen die Ökonomie der Informationssicherheit verstehen.« – Achim Egetenmeier, Director Enterprise DACH bei Juniper Networks.
Zusätzliche Informationen
RAND Report: The Defender’s Dilemma: Charting a Course Toward Cybersecurity https://www.rand.org/pubs/research_reports/RR1024.html
Get the 360 on RAND’s Findings
Related to our recent work with RAND, you can connect to a variety of online resources.
- Read our brief about RAND’s findings and how the heuristic model works in “Executive Summary: The Economics of Cyber Defense.”
- Download RAND’s current report, “The Defenders Dilemma.”
- Review our brief on RAND’s phase one research, “An Economic Analysis of the Cyber Black Markets.”
- Download RAND’s phase one report, “Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar.”
- Engage with the interactive interpretation of RAND’s Economic Model, “Economics of Cyber Defense.”
- Find out how you can gain comprehensive threat protection through our next-generation firewall solution.
Autoren des Berichts »The Defender’s Dilemma: Charting a Course Toward Cybersecurity« sind die für die RAND Corporation tätigen Sicherheitsexperten Martin Libicki, Lillian Ablon und Timothy Webb. Der Bericht basiert auf Tiefeninterviews, die zwischen Oktober 2013 und August 2014 mit CISOs geführt wurden und die aktuelle und künftige Bedrohungslandschaft thematisieren. Die Untersuchungen basieren auf dem ersten Bericht einer zweiteiligen Serie, die RAND durchführte und Juniper finanzierte: »Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar«, der die ökonomischen Motive der Angreifer und den von ihnen aufgebauten Schwarzmarkt beleuchtet.