120.000 Dollar pro Vorfall
Wie sich Security-Ausgaben rechnen
Aberdeen berechnet auf Basis der Vorfälle die jährlichen Kosten, die durch Security-Löcher verursacht werden. Dies seien gleichsam die durch Ausgaben für die IT-Sicherheit nicht vermiedenen Kosten. Sie belaufen sich auf 1,32 Millionen Dollar in der großen Gruppe der 119 Firmen, auf 1,21 Millionen Dollar in der Firewall-Gruppe und auf 1,09 Millionen bei den Klassenbesten. Die Summen ergeben sich, indem Aberdeen mit durchschnittlichen Kosten von 120.000 Dollar pro Schadensfall rechnet.
Vierfache Kosten, 81 Prozent Risiko
Dieses Potpourri an absoluten Zahlen ergibt indes laut Aberdeen kein seriöses Bild. In den Mittelpunkt ihrer Bewertung des geschäftlichen Nutzens von Security-Investitionen und Risikoakzeptanz rücken die Analysten deshalb einen simplen Framework: im Zähler die jährlichen Gesamtkosten der vermiedenen Security-bezogenen Vorfälle, im Nenner die Summe aus jährlichen Kosten der nicht vermiedenen Vorfälle und jährlichen Ausgaben für IT-Sicherheits-Initiativen. Innerhalb dieses Dreisatzes machten sich Verbesserungen der Effizienz und der Effektivität positiv bemerkbar.
Auf Basis dieses Frameworks leitet Aberdeen eine Reihe von Indikatoren ab, die die Lage in den drei betrachteten Gruppen ins richtige Verhältnis setzen. Die Ausgaben werden dabei vor allem relativ zum Jahresumsatz betrachtet. Es zeigt sich, dass die reinen Firewall-Unternehmen effektiv ein Sicherheitsrisiko von 81 Prozent akzeptieren, die beiden anderen Gruppen indes nur jeweils 58 Prozent.
Am wirtschaftlichsten gehen wie erwartet die Klassenbesten vor. Die breit aufgestellten Firmen geben relativ gesehen 1,3mal so viel wie die Top-Firmen für ihre IT-Sicherheit aus, die Firewall-Puristen sogar vier Mal so viel. Dafür nehmen sie ungleich höhere Kosten durch Vorfälle in Kauf.
„Aberdeens Analyse bestätigt die vorherrschende Erkenntnis, dass alleine auf Firewalls basierende Netzwerksicherheit nicht ausreicht“, lautet das Fazit der Studie. „Network-Security-Initiativen sollten in allen Firmen einem umfassenderen Defense-In-Depth-Ansatz folgen, um Betriebssysteme, NetzwerkeNetzwerke, Anwendungen und Daten zu schützen.“ Die Studie „Network SecuritySecurity: Firewalls Alone are Not Enough” ist bei Aberdeen erhältlich. Alles zu Netzwerke auf CIO.de Alles zu Security auf CIO.de