Prof. Dr. Achim Schmidtmann von der FH Bielefeld forscht zu Kosten der IT-Sicherheit: Neben technischen Schwachstellen ist der Mensch die größte Sicherheitslücke für Unternehmen. Für den Smart-Home-Bereich fehlen einheitliche Regelungen durch den Gesetzgeber.
Von der Spam-Mail im Posteingang über Sicherheitslücken bei der privaten Überwachungskamera bis zu Hackerangriffen auf Unternehmen: ein unzureichender Schutz unserer digitalen Daten kann gravierende Folgen haben. Doch sie zu schützen ist sowohl für Unternehmen als auch für Privatpersonen mit Kosten verbunden. Und: Diese Kosten lassen sich oftmals nicht genau beziffern. Gemeinsam mit Studierenden von der Fachhochschule (FH) Bielefeld hat Prof. Dr. Achim Schmidtmann erforscht, welche Aspekte bei einer Kosten-Nutzen-Rechnung von Bedeutung sind. Die Ergebnisse sind im kürzlich veröffentlichten Sammelband „Kosten der IT‐Sicherheit“ zusammengefasst.
„Laut einer Umfrage des Digitalverbands Bitkom e. V. verursachen Angriffe auf deutsche Unternehmen jährlich einen Gesamtschaden von knapp 103 Milliarden Euro. Im Gegenzug haben deutsche Unternehmen in 2019 allerdings nur circa 4,6 Milliarden Euro für Hardware, Software und Services im Bereich IT-Sicherheit ausgegeben“, erklärt Schmidtmann, der Wirtschaftsinformatik an der FH Bielefeld lehrt.
„Die Diskrepanz zeigt, dass das Risikobewusstsein bei Führungskräften und Entscheidern immer noch auf einem zu geringen Niveau ist. Erst wenn Unternehmen von konkreten Vorfällen betroffen sind, wird IT-Sicherheit plötzlich vom abstrakten zum konkreten Thema.“
Aber was kostet es ein Unternehmen, um sich vor Angriffen von außen zu schützen?
„Kurz gesagt: Eine Zauberformel gibt es nicht“, erklärt Schmidtmann. Aufgrund der Komplexität der Informations‐ und IT‐Sicherheit und den sehr individuellen Eigenschaften eines Unternehmens ist eine Kosten-Nutzen-Rechnung schwierig. Für Maßnahmen auf der Hardware- oder Netzwerkseite (wie beispielsweise eine tägliche Datensicherung) lassen sich die Kosten einfach berechnen. „Neben den technischen und organisatorischen Mängeln ist die größte Schwachstelle allerdings der Mensch vor dem Bildschirm, der auf Links klickt oder Anhänge öffnet“, so Schmidtmann. Vorbeugen können hier nur Aufklärungsarbeit und regelmäßige Schulungen.
Maßnahmen, die vergleichsweise kostenintensiv sind – aber wichtig: „Nach wie vor fühlen sich viele Unternehmen nicht ernsthaft von dem Risiko bedroht, Opfer eines Cyberangriffs zu werden“, erläutert Schmidtmann. Zahlen des Branchenverbandes Bitkom e. V. zeigen jedoch, dass 2017 bereits jedes zweite Unternehmen von Angriffen betroffen war. Die Cyber-Sicherheitsumfrage der Allianz für Cyber-Sicherheit (ACS) kam zu dem Ergebnis, dass für 76% der Befragten Cyber-Angriffe das Potenzial bergen, betriebliche Prozesse zu beeinträchtigen. Der Verfassungsschutz zählte ebenfalls bereits 2018 alle drei Minuten einen Angriff auf eine Firma in Deutschland, und die polizeiliche Kriminalstatistik wies in 2018 insgesamt 87.106 Fälle von Cybercrime im engeren Sinne aus.
„All diese Sicherheitsvorfälle haben teilweise existenzielle Folgen, die vom Verlust von Daten und Geräten über einen Imageschaden bis hin zur Bedrohung durch Produktions- und Betriebsausfälle reichen. Investitionen in IT-Sicherheit sind somit in vielerlei Hinsicht gut angelegtes Geld und dringend erforderlich, da es in den meisten Unternehmen noch eine Vielzahl von Schwachstellen gibt. Hinzu kommt, dass sich IT-Systeme laufend weiterentwickeln. Daher ist eine kontinuierliche Arbeit in dem Bereich unabdingbar“, schließt Schmidtmann.
Aber auch im privaten Bereich gewinnt die Frage, wie viel uns unsere Sicherheit kosten muss, durch Smart-Home-Systeme an Bedeutung. Obwohl einige Geräte wie elektronische Türschlösser oder Kameras die Sicherheit in den eigenen vier Wänden erhöhen sollen, können diese auch zum Sicherheitsproblem werden. Der Grund hierfür liegt in der häufig mangelnden IT-Sicherheit der Geräte, wodurch Unbefugte Kontrolle über die Geräte übernehmen, Daten abgreifen, Sicherheitsmechanismen wie elektronische Türschlösser gänzlich aushebeln, durch Überwachungssysteme in die Privatsphäre der eigentlichen Besitzer eindringen oder schlicht Kosten verursachen.
In vielen Bereichen fehlt es noch an den notwendigen rechtlichen Regelungen.
So ist beispielsweise nicht geklärt, wer haftet, wenn ein smarter Kühlschrank eine fehlerhafte Bestellung tätigt oder ob der Kühlschrank überhaupt rechtlich in der Lage ist, eine Bestellung ohne aktives Eingreifen eines Menschen zu tätigen.
Schmidtmann: „Der Markt entwickelt sich sehr schnell weiter, Standards gibt es kaum. Hier ist der Gesetzgeber gefragt, einheitliche Vorgaben und Anforderungen klar zu definieren.“
Neben diesen Themen umfasst der Sammelband von Prof. Dr. Achim Schmidtmann weitere Beiträge über Datenschutz als Kostenfaktor oder einen Ansatz zur Kostenkalkulation für die Informationssicherheit von Internet-of-Things‐Geräten. Die Idee zu dem Buch entstand im Rahmen eines Seminars im Masterstudiengang Wirtschaftsinformatik. „Eine wissenschaftlich fundierte Auseinandersetzung mit dem Thema hat bisher nur eingeschränkt stattgefunden. Und genau aus diesem Grund haben wir uns entschieden, die Ergebnisse des Seminars in Buchform zu veröffentlichen, um damit einen breiteren Adressatenkreis zu erreichen und die Diskussion über dieses Themengebiet anzuregen und zu unterstützen“, erläutert Schmidtmann.