Intrusion Detection/Prevention, E-Mail-Monitoring/Filtering, Network Vulnerability Scanning – der Software-Markt gibt mittlerweile jede Menge Tools her, die Firmennetzwerke sicher machen sollen. Ketzerisch mag man sich gelegentlich fragen: Braucht man all das Zeug wirklich? Würde man nicht eventuell am günstigsten fahren mit einer guten, schlichten Firewall und sonst gar nichts? Vielleicht zahlt man dann zwar im Falle tatsächlicher Sicherheitslücken drauf, spart aber auch eine Menge an präventiven Ausgaben ein.
Die Analysten der Aberdeen Group haben sich dieser Frage in aller Ernsthaftigkeit angenommen. Sie haben einen Vergleich angestellt zwischen 27 Firmen, die ausschließlich auf die Karte Firewall setzen, und 119 Unternehmen mit einem breiteren Security-Ansatz. Als dritte Vergleichsgruppe filterte Aberdeen wie immer das Fünftel der „Klassenbesten“ heraus, die auf vorbildlich effiziente Weise ihren Laden sicher halten. Das nicht überraschende Ergebnis der Studie lautet: Es ist keine gute Idee, ausschließlich auf eine Firewall zu setzen.
In jedem Unternehmen 10,1 Sicherheitsvorfälle pro Jahr
An den Anfang der Studie setzt Aberdeen allerdings eine kleine Milchmädchenrechnung, die auf den ersten Blick das Gegenteil nahelegt. Demnach investieren die reinen Firewall-Firmen jährlich im Durchschnitt 1,49 Millionen US-Dollar in ihre IT-Sicherheit, die Klassenbesten 1,88 Millionen, die breite Masse sogar 2,28 Millionen. Die jährlichen Kosten für IT-Security-bezogene Initiativen belaufen sich in der Firewall-Gruppe durchschnittlich auf 280.000 Dollar, bei den Klassenbesten auf 790.000 Dollar, beim Rest auf 960.000 Dollar.
Absolut betrachtet geben die puren Firewall-Unternehmen also deutlich weniger für IT-Sicherheit aus als der Rest. Im Vergleich dazu erscheinen zwei andere Parameter gar nicht so schlecht wie erwartet zu sein. Schädliche Vorfälle ereigneten sich nämlich im vergangenen Jahr durchschnittlich 10,1mal pro Unternehmen. Bei den Klassenbesten ist der Vergleichswert 9,1, in der Gruppe mit einem breiteren Security-Ansatz sind es aber sogar elf Vorfälle gewesen. Man mag dazu anmerken, dass in diesen Firmen logischerweise Probleme entdeckt werden, die alleine mit einer Firewall unbekannt bleiben. Dieser Umstand bleibt aber in der Studie unberücksichtigt.
Aberdeen berechnet auf Basis der Vorfälle die jährlichen Kosten, die durch Security-Löcher verursacht werden. Dies seien gleichsam die durch Ausgaben für die IT-Sicherheit nicht vermiedenen Kosten. Sie belaufen sich auf 1,32 Millionen Dollar in der großen Gruppe der 119 Firmen, auf 1,21 Millionen Dollar in der Firewall-Gruppe und auf 1,09 Millionen bei den Klassenbesten. Die Summen ergeben sich, indem Aberdeen mit durchschnittlichen Kosten von 120.000 Dollar pro Schadensfall rechnet.
Vierfache Kosten, 81 Prozent Risiko
Dieses Potpourri an absoluten Zahlen ergibt indes laut Aberdeen kein seriöses Bild. In den Mittelpunkt ihrer Bewertung des geschäftlichen Nutzens von Security-Investitionen und Risikoakzeptanz rücken die Analysten deshalb einen simplen Framework: im Zähler die jährlichen Gesamtkosten der vermiedenen Security-bezogenen Vorfälle, im Nenner die Summe aus jährlichen Kosten der nicht vermiedenen Vorfälle und jährlichen Ausgaben für IT-Sicherheits-Initiativen. Innerhalb dieses Dreisatzes machten sich Verbesserungen der Effizienz und der Effektivität positiv bemerkbar.
Auf Basis dieses Frameworks leitet Aberdeen eine Reihe von Indikatoren ab, die die Lage in den drei betrachteten Gruppen ins richtige Verhältnis setzen. Die Ausgaben werden dabei vor allem relativ zum Jahresumsatz betrachtet. Es zeigt sich, dass die reinen Firewall-Unternehmen effektiv ein Sicherheitsrisiko von 81 Prozent akzeptieren, die beiden anderen Gruppen indes nur jeweils 58 Prozent.
Am wirtschaftlichsten gehen wie erwartet die Klassenbesten vor. Die breit aufgestellten Firmen geben relativ gesehen 1,3mal so viel wie die Top-Firmen für ihre IT-Sicherheit aus, die Firewall-Puristen sogar vier Mal so viel. Dafür nehmen sie ungleich höhere Kosten durch Vorfälle in Kauf.
„Aberdeens Analyse bestätigt die vorherrschende Erkenntnis, dass alleine auf Firewalls basierende Netzwerksicherheit nicht ausreicht“, lautet das Fazit der Studie. „Network-Security-Initiativen sollten in allen Firmen einem umfassenderen Defense-In-Depth-Ansatz folgen, um Betriebssysteme, Netzwerke, Anwendungen und Daten zu schützen.“ Die Studie „Network Security: Firewalls Alone are Not Enough” ist bei Aberdeen erhältlich.