120.000 Dollar pro Vorfall
Wie sich Security-Ausgaben rechnen
Intrusion Detection/Prevention, E-Mail-Monitoring/Filtering, Network Vulnerability Scanning – der Software-Markt gibt mittlerweile jede Menge Tools her, die Firmennetzwerke sicher machen sollen. Ketzerisch mag man sich gelegentlich fragen: Braucht man all das Zeug wirklich? Würde man nicht eventuell am günstigsten fahren mit einer guten, schlichten Firewall und sonst gar nichts? Vielleicht zahlt man dann zwar im Falle tatsächlicher Sicherheitslücken drauf, spart aber auch eine Menge an präventiven Ausgaben ein.
Die Analysten der Aberdeen Group haben sich dieser Frage in aller Ernsthaftigkeit angenommen. Sie haben einen Vergleich angestellt zwischen 27 Firmen, die ausschließlich auf die Karte Firewall setzen, und 119 Unternehmen mit einem breiteren Security-Ansatz. Als dritte Vergleichsgruppe filterte Aberdeen wie immer das Fünftel der „Klassenbesten“ heraus, die auf vorbildlich effiziente Weise ihren Laden sicher halten. Das nicht überraschende Ergebnis der Studie lautet: Es ist keine gute Idee, ausschließlich auf eine Firewall zu setzen.
In jedem Unternehmen 10,1 Sicherheitsvorfälle pro Jahr
An den Anfang der Studie setzt Aberdeen allerdings eine kleine Milchmädchenrechnung, die auf den ersten Blick das Gegenteil nahelegt. Demnach investieren die reinen Firewall-Firmen jährlich im Durchschnitt 1,49 Millionen US-Dollar in ihre IT-Sicherheit, die Klassenbesten 1,88 Millionen, die breite Masse sogar 2,28 Millionen. Die jährlichen Kosten für IT-Security-bezogene Initiativen belaufen sich in der Firewall-Gruppe durchschnittlich auf 280.000 Dollar, bei den Klassenbesten auf 790.000 Dollar, beim Rest auf 960.000 Dollar.
Absolut betrachtet geben die puren Firewall-Unternehmen also deutlich weniger für IT-Sicherheit aus als der Rest. Im Vergleich dazu erscheinen zwei andere Parameter gar nicht so schlecht wie erwartet zu sein. Schädliche Vorfälle ereigneten sich nämlich im vergangenen Jahr durchschnittlich 10,1mal pro Unternehmen. Bei den Klassenbesten ist der Vergleichswert 9,1, in der Gruppe mit einem breiteren Security-Ansatz sind es aber sogar elf Vorfälle gewesen. Man mag dazu anmerken, dass in diesen Firmen logischerweise Probleme entdeckt werden, die alleine mit einer Firewall unbekannt bleiben. Dieser Umstand bleibt aber in der Studie unberücksichtigt.