IT-Security-Budgets im Umbruch

Warum es nicht reicht, weiter so zu investieren wie bisher

Gefahren und Anforderungen steigen – Budgets und Vorgehensweisen stagnieren. So kann es nicht weitergehen! Nach der bisherigen Betonung der Prävention gilt es nun, auch Erkennung sowie Abwehr von Angriffen zu stärken. Unser Autor erörtert, wie das – durchaus wirtschaftlich – gehen könnte.

Von Björn-C. Bösch, Buxtehude

Die Ausgangslage ist heikel (vgl. [1]): Die Budgets für IT-Security sind über die vergangene Dekade stabil geblieben – bereinigt um die technischen Anforderungen sind sie sogar real geschrumpft. Gleichzeitig wird immer mehr Funktionalität gefordert und auch von der IT-Sicherheit immer mehr erwartet. Bisher hat man die Ausgaben meist auf die Prävention von Sicherheitsvorfällen fokussiert – laut [2] entfiel mit rund 70 % hierauf der größte Anteil am Budget für IT-Sicherheit. Das Erkennen von Sicherheitsvorfällen und die Reaktion darauf hatten mit 20 % beziehungsweise 10 % einen weitaus geringeren Anteil am IT-Sicherheitsbudget.

Die Betonung der Prävention entsprach in den vergangenen Jahren dem Handlungsbedarf, eine entsprechende Basissicherheit zu schaffen – auch technisch war dies der primäre Marktfokus für IT-Sicherheit. Das Erkennen und die Behandlung von Sicherheitsvorfällen wurden hingegen eher nur auf konkreten Anlass hin individuell durchgeführt. Ein systematisches Erkennen und Abwehren von Angriffen war indessen sehr aufwändig und wirtschaftlich kaum realisierbar. In den letzten Jahren haben sich hier zwar Intrusion-Detection-Systeme (IDS) etabliert, die Systeme und Datenkommunikation vor dem Ausnutzen bekannter Schwachstellen schützen sollen (vgl. S. 55) – doch auch hier steht die Prävention im Vordergrund.

Tabelle 1: Zahlenbeispiel für die Entwicklung der IT-Security-Budgets

Veränderte Lage

Es ist kein Geheimnis: Angriffe sind in den letzten Jahren immer professioneller, komplexer und zielgerichteter geworden – bei zunehmenden Angriffswegen per E-Mail, Web oder auch über mobile Endgeräte (vgl. [3,4]). Auch werden zunehmend unbekannte Schwachstellen ausgenutzt, wodurch Angriffe immer schwieriger zu erkennen und abzuwehren sind.

Statt technikbegeisterter Hacker, die eine Schwachstelle massenhaft ausnutzen, nur um zu demonstrieren, was möglich ist, werden Angreifer heute von wirtschaftlichen oder landespolitischen Motiven geleitet: Neben staatlicher Wirtschaftsspionage hat sich auch die Wirtschaftskriminalität als Geschäftsmodell etabliert (vgl. [8,9]).

Die aufgrund solcher Angriffe entstehenden Schäden werden immer größer – dementsprechend müssen sich Unternehmen auch in Zukunft effektiv und dennoch wirtschaftlich schützen. Nur: Wie kann man eine strategische Budgetplanung aufsetzen? Und welche Maßnahmen werden künftig an Bedeutung gewinnen?

Bisher gibt es zwar bereits zahlreiche Methoden, um Ausgaben für IT-Sicherheit auf ihre Effektivität hin zu bewerten – etwa Key-Performance- Indicators (KPIs) oder Returnon- Invest-(ROI)-Betrachtungen (siehe etwa [5]). Diese fokussieren jedoch auf einzelne Maßnahmen und liefern keine Aussage zur allgemeinen Budget-Verteilung: Wie IT-Manager ihre Geldmittel am besten aufteilen und an welchen Stellen künftig Investitionen und Personalbedarf entstehen werden, bleibt offen.

Dabei kann man Personal nur über eine mittelfristige Planung hinreichend frühzeitig auf neue Aufgaben vorbereiten und qualifizieren. Aber auch Investitionen in neue Technik und zusätzliches Personal müssen rechtzeitig geplant werden [3] – gegebenenfalls sind Ausgaben an anderer Stelle entsprechend zu senken und damit rechtzeitig eine Budget-Verlagerung für künftige Investitionen zu bewirken.

Budget-Transformation

In der Zukunft wird das Budget für Informationssicherheit einen größeren Anteil am IT-Budget ausmachen müssen, um der ständig fortschreitenden Professionalisierung, aber auch den Trends zu maßgeschneiderten Angriffen und der Angriffskomplexität auf die IT-Landschaft weiterhin effektiv begegnen zu können. Im Gegenzug werden allerdings andere Dienste kostengünstiger – zum Beispiel durch Nutzung von Private-Cloud-Ressourcen. So werden Budgets frei, die in die IT-Security einfließen können: Einsparungen in Höhe von nur 2 % im IT-Gesamtbudget könnten etwa eine Erhöhung des Anteils der IT-Security von 8 % [1] auf 10 % bedeuten – dies wäre dann aus Sicherheitssicht eine Erhöhung um 25 %.

Zudem steht auch eine Transformation der bisherigen Budgetverteilung an: Eine große Herausforderung stellt hierbei das Aufrechterhalten des erzielten Sicherheitsniveaus bei der Prävention dar. Immerhin dürften sich die Kosten heutiger präventiver Schutzmaßnahmen durch den hohen Marktreifegrad der eingesetzten Produkte und alternative Bezugsmodelle reduzieren. Überdies geht der Autor davon aus, dass zukünftig für einige Bereiche Gefahren schlicht akzeptiert und daher präventive Maßnahmen zugunsten von Erkennung und Reaktion eingespart werden können (vgl. [1]).

Dies trifft in erster Linie auf Konzerne und große Unternehmen zu – in mittelständischen Unternehmen wäre ein solches Vorgehen aufgrund der dortigen Netzwerkumgebungen kaum umsetzbar. Dort ist stattdessen eine Reduzierung der Ausgaben für die Prävention auf rund 80 % der heutigen Werte realistisch. Somit würden die bereinigten Ausgaben für die Prävention circa 45 % des künftigen Security-Budgets umfassen – für die Bereiche Erkennen und Reaktion/Abwehr blieben dann mit 30 % beziehungsweise 25 % vom künftigen Budget deutlich höhere Anteile als heute. Abbildung 1 stellt die erwartete Entwicklung der Budgets grafisch dar – Tabelle 1 konkretisiert dies anhand beispielhafter Zahlen.

Abbildung 1: Erwartete Transformation der Security-Budgets

Stärken der Reaktionskraft

Für das zielgerichtete und systematische Erkennen von Sicherheitsvorfällen fehlte bisher neben finanziellen Mitteln auch die technologische Basis, um hierauf spezialisierte Systeme anzupassen und kontinuierlich zu pflegen. Daher war ein systematisches Erkennen von Sicherheitsvorfällen selten – Protokolldaten wurden eher nur aus konkretem Anlass manuell durch Mitarbeiter analysiert und ausgewertet.

Die Komplexität heutiger Angriffe erfasst nicht nur eine einzelne ausgenutzte Schwachstelle, sondern erstreckt sich zunehmend über verschiedene Angriffstechniken und Verwundbarkeiten in unterschiedlichen Applikationen und Systemen. Um ein Gesamtbild des Angriffs und das ratsame Vorgehen zu erhalten, ist daher eine zentrale Instanz für Protokolldaten aller Geräte und Applikationen erforderlich – nur so lassen sich einzelne Ereignisinformationen zu einem Lagebild verdichten und Attacken durch erste Angriffsspuren frühzeitig erkennen.

Das Aufsetzen eines solchen Systems ist mit externer Unterstützung kein Hexenwerk, sein Betrieb mit eigenen Kräften realisierbar. Aber wie wird die anschließende ordnungsgemäße Auswertung der Meldungen sichergestellt? Hier genügt es längst nicht, nur die auflaufenden Meldungen des Systems abzuarbeiten: Die einzelnen Ereignisse sind vielmehr im aktuellen Kontext zu bewerten und zu deuten – dazu ist trotz aller Analysetechnik auch Erfahrung erforderlich.

Angreifer halten sich jedoch nicht an Regelarbeitszeiten, was eine Bewertung und Analyse rund um die Uhr auch am Wochenende und an Feiertagen erforderlich macht. Mittelständische Unternehmen, aber auch Betriebe mit kleiner IT-Security- Abteilung stellt dies vor personelle Herausforderungen. Wichtig ist außerdem ein breit aufgestellter Austausch, um stetig auf dem aktuellen Stand neuer Angriffstechniken, -muster und -spuren zu bleiben, sodass diese zuverlässig erkennbar bleiben.

Neben der effektiven Erkennung gehören zur Abwehr in erster Linie die aktive Bekämpfung des Angriffs und die Rückkehr zum geregelten Betrieb. Das umfasst auch das Bereinigen betroffener Systeme von (möglicher) Schadsoftware und das Schließen von Einfallstoren und Hintertüren. Um die Problemzonen zu ermitteln, ist der Weg des Angreifers im Unternehmensnetz zu analysieren und aufzuarbeiten.

Ein gerichtsverwertbares Vorgehen mit entsprechender Dokumentation ist dabei sehr vorteilhaft, um gegebenenfalls Schadensersatzansprüche gegenüber Angreifern geltend machen zu können (siehe etwa [6]). Neben entsprechender Technik für forensische Analysen sind auch rechtliche Kenntnisse und erfahrenes Vorgehen bei der forensischen Analyse und Aufarbeitung der Datenbestände erforderlich (vgl. [7]) – denn bereits kleine Nachlässigkeiten können zum Misserfolg eines Verfahrens führen.

Arbeit mit Partnern

Die skizzierten Ansätze zeigen den Weg zu einer effektiven Abwehr von Angreifern und zur Verbesserung der Informationssicherheit – doch wie lassen sie sich im Unternehmen wirtschaftlich, rechtskonform und mit hoher Qualität umsetzen? Um die eigenen Fähigkeiten zur Cyber-Abwehr bei stetig steigenden Anforderungen aktuell zu halten, sind enorme Anstrengungen erforderlich. Allein dies ist selbst für den gehobenen deutschen Mittelstand kaum wirtschaftlich zu leisten. Doch eine rein präventive Absicherung mit einem nur zu den Geschäftszeiten besetzten Betrieb ist heute einfach keine gangbare Alternative mehr.

Die Bereiche Erkennung und Reaktion/Abwehr sind entsprechend auszubauen, um auch bei der weiteren Professionalisierung der Angriffe ein gutes Sicherheitsniveau zu halten. Zum Erkennen von Angriffsspuren in den Protokolldaten sind Erfahrung und ständige Aktualisierung unerlässlich – aber auch das zeitnahe Beurteilen erkannter Ereignisse außerhalb der Regelarbeitszeit ist unverzichtbar.

Eine breite Installationsbasis, beispielsweise bei einem Managed-Security-Service-Provider (MSSP), sichert die kontinuierliche Aktualität und Verfügbarkeit des Wissens. Beim Eigenbetrieb besteht hingegen die Gefahr, dass aufgrund fehlender Kenntnisse und Fähigkeiten oder wirtschaftlicher Abwägungen kaum etwas zeitnah erkannt wird und man so im Falle eines Angriffs zu spät reagiert. Erste Abwehrmaßnahmen greifen dann zu kurz und können einen gezielten und gut vorbereiteten Angriff nicht mehr abwenden oder eindämmen.

Wie in anderen IT-Bereichen besteht auch bei der Angriffsabwehr die Gefahr, alles selbst realisieren zu wollen und so recht schnell viel Geld für Hard- und Software sowie Qualifikation von Mitarbeitern auszugeben. Im schlimmsten Fall sind während eines Angriffs Equipment oder Fachexpertise dann aber dennoch gerade nicht verfügbar oder aufgrund fehlender Routine überfordert – oder erworbenes Wissen ist bereits wieder veraltet. Besonders die strafrechtlich verwertbare Dokumentation von Abwehr und Auswertung eines Angriffs erfordert ein gehöriges Maß an Erfahrung und Routine.

Um im Fall des Falles gut gerüstet zu sein, bietet sich die Auswahl und Einbindung eines Partners an, der diese Leistungen für viele Kunden erbringt und somit einen routinierten Umgang mit der Angriffsabwehr hat und sowohl die Kosten für Fortbildung als auch für Geräte über mehrere Kunden verteilen kann.

Fazit

Die Ausgaben für IT-Sicherheit werden sich in den nächsten Jahren stark verändern: Nach Jahren der Investition in präventive Maßnahmen ist nun eine entsprechende Basisabsicherung geschaffen – diese Basisabsicherung ist nun weiter aufrechtzuerhalten und zu verbessern. Als Antwort auf immer professionellere und komplexere Angriffe sind jetzt die bislang eher anlassbezogenen Maßnahmen in den Bereichen Erkennung und Reaktion/ Abwehr systematisch in der IT-Sicherheit zu etablieren.

Die Ausgabenverteilung der IT-Sicherheit wird sich von grob 70 % für Prävention, 20 % für Erkennung und 10 % für Abwehr hin zu einer ausgewogeneren Aufteilung verlagern – etwa 45 % für Prävention, 30 % für Erkennung und 25 % für die Abwehr (vgl. Abb. 1).

Ein wesentlicher Betrag dürfte sich über den gesättigten Markt und die zunehmende Standardisierung für präventive IT-Sicherheitslösungen sowie standardisierte allgemeine IT-Lösungen und den damit verbundenen Preisverfall kompensieren lassen – dem heutigen Stand vergleichbare Leistungen werden dann entsprechend günstiger realisiert und ermöglichen so Investitionen in Erkennung und Reaktion/Abwehr. Für den Ausbau dieser Bereiche ist zudem häufig die Einbindung eines geeigneten Partners durchaus ratsam, um Skaleneffekte für eine wirtschaftliche Realisierung nutzbar zu machen.

Björn-C. Bösch ist Business Consultant bei einem großen europäischen Provider und Systemhaus im Bereich Cyber- Security mit Fokus auf Infrastructure-Security-Solutions sowie registrierter Auditor für ISO 27001 ISMS.

Literatur

[1] Björn-C. Bösch, Der Weg der Wolke, Wie die Cloud das Ausgabeverhalten in der IT verändert – oder war das umgekehrt?, <kes> 2016#2, S. 10

[2] Michael Uebel, Cyber-Security, Vortragsfolien, April 2014, https://aknforum.saarbruecken.de/Downloads/Downloads/Forum%202014/16%20CyberSecurity%20Vortrag%20Deutsche%20Telekom.pdf

[3] Alexander Geschonneck, Thomas Fritzsche, Dr. Klara Weiand, Marc Oliver Scheben, e-Crime – Computerkriminalität in der deutschen Wirtschaft 2015, www.kpmg.com/DE/de/Documents/e-crimestudie-2015.pdf

[4] Intel Security, McAfee Labs Threat-Report, Mai 2015, www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2015.pdf

[5] Pascal Feller, Vergleich des Return on Security Investment bei IT-Sicherheitslösungen im Eigenund Fremdbetrieb, Bachelorarbeit, 2014, Bezug über die FHTL Leipzig möglich

[6] Alexander Geschonneck, Computer- Forensik: Computerstraftaten erkennen, ermitteln, aufklären, dpunkt, 2010, ISBN 978-3-89864- 658-1

[7] Jörg Heidrich, Christoph Wegener, Aktuelle rechtliche und technische Anforderungen an die Protokollierung von Nutzerdaten, Vortragsfolien, Februar 2015, www.dfn-cert.de/dokumente/workshop/2015/Folien_Wegener.pdf

[8] Europol, The Internet Organised Crime Threat Assessment (IOCTA) 2015, ISBN 978-92-95200-65-4, als PDF verfügbar unter www.europol.europa.eu/sites/default/files/publications/europol_iocta_web_2015.pdf

[9] Trend Micro, The Business of Cybercrime A Complex Business Model, Whitepaper, Januar 2010, www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_business-of-cybercrime.pdf