Informationssicherheit ist wichtig, kostet aber ordentlich Geld. Die IT-Risikoanalyse ermittelt zu schützende Daten und Werte und kalkuliert, welche Schutzmaßnahmen sich rechnen.
Die Anbieter von Security- und Antimalware-Produkten zeigen gerne den jugendlichen Hacker mit Kapuzenpulli als Bedrohung von IT-Systemen. In der Regel stellen aber die Mitarbeiter eines Unternehmens die größere Gefahr für die Informationssicherheit dar. Sie sind für rund 70 Prozent der Vorfälle verantwortlich, außenstehende Angreifer, die insbesondere offene Sicherheitslücken ausnutzen, nur für rund 30 Prozent. Die Norm ISO/IEC 27005 [1] zum IT-Risikomanagement zählt schlecht ausgebildete oder fahrlässige Mitarbeiter, verärgerte oder böswillige Angestellte sowie unehrliche oder gerade gekündigte Mitarbeiter zu den Gefahren.
Analyse tut not
Auch kleine bis mittlere Unternehmen sind von Spionage, Datendiebstahl und Verlust von Vertraulichkeit betroffen. Meist fehlt es am nötigen Know-how und an den finanziellen Mitteln, um sich dagegen zu wehren. Das betriebswirtschaftliche Instrument, um die Situation in den Griff zu bekommen, ist die Risikoanalyse. Sie ist das Werkzeug, um die Risiken für ein Unternehmen zu identifizieren, finanzielle Auswirkungen zu berechnen, Schwachstellen zu identifizieren, Bedrohungen einzuschätzen sowie die Auswirkungen zu bewerten, die eintreten würden, wenn jemand die bestehenden Schwachstellen und Konflikte ausnutzen würde. Ihr Zweck ist es, auch in Sachen Informationssicherheit die Kosteneffizienz sicherzustellen.
Die Analyse bezieht auch externe Dienstleister mit ein, zum Beispiel Anbieter von Penetrationstests, die Schwachstellen ausfindig machen. Die Resultate der Analyse stellen einen dringlichen, realistischen und wirtschaftlichen Grund dar, Verfahren und Gegenmaßnahmen im Unternehmen zu implementieren. Die Risikoanalyse, einmal angestoßen, ist allerdings ein Prozess, der sich fortlaufend weiterentwickeln muss.
Im Rahmen einer solchen Untersuchung steht meist der Mensch als größter Risikofaktor im Fokus. Daher gilt es zunächst, zu verstehen, was Personen bewegt, Angriffe gegen Unternehmen und Privatpersonen zu starten. Bei den so genannten Hacktivisten sind die Motive etwa politische: Sie kämpfen für die Freiheit der Bürgerinnen und Bürger. Neugierde, Anerkennung und Motivation, Machtgefühl, Langeweile, Sucht und Besessenheit können hinter den Angriffen stecken. Meist aber ist finanzielle Bereicherung das vorherrschende Motiv für viele Einbrüche in Computersysteme. Hintergründe liefert der Kasten “Die Kosten und Gewinne der Angreifer”.
Die Kosten und Gewinne der Angreifer
Den Schaden, den Firmen durch Cracker erleiden, behandelt der vorliegende Artikel. Aber auch die Angreifer selbst unterliegen einer Art Kostenstruktur. Das mag im ersten Moment überraschen, doch die Vorstellung vom einsamen Hacker, der in seiner Wohnung hockt und aus Lust am Machbaren oder aus purer Bosheit Daten stiehlt, ist eine romantische. Cracken ist heute in der Regel ein Business, bei dem aus Angebot, Nachfrage und Nebenkosten Preise entstehen. Natürlich findet das Marktgeschehen im Verborgenen statt, denn die gehandelten Dienstleistungen, Produkte und Daten sind überall illegal.
Das Sicherheitsunternehmen Kaspersky Lab hat vor einiger Zeit diesen Schwarzmarkt untersucht. So kostet die Miete eines 1000 Maschinen umfassenden Botnetzes im “Discount Bot Shop” oder bei “Bot-Seller” rund 30 US-Dollar, 5000 Bots sind leicht rabattiert für 140 Dollar zu haben. Die Geschäftsanbahnung findet per Jabber, ICQ oder in Foren statt (Abbildung 1). Die monatlichen Preise für einen so genannten Bulletproof-Hoster, der seinen Kunden keinerlei Restriktionen auferlegt, bewegen sich zwischen 20 und 120 Dollar. Wer sich während des Steuerns von Botnetzen oder bei Geldtransfers vor Nachstellungen von Strafverfolgungsbehörden unsichtbar machen will, nimmt Crypter genannte Clouddienste in Anspruch. 60 Dollar kostet beispielsweise Saddam’s Crypter auf Lebenszeit – wie lang auch immer das bei einem Service diesen Namens sein mag.

Abbildung 1: Wer an der richtigen Stelle fragt, bekommt ein Angebot zu einem Botnet, sogar Gewährleistung und Support gibt es.
Neben der Infrastruktur für Angriffe braucht der Cracker auch noch für seine Zwecke geeignete Soft-, sprich Malware. Das Remote-Administrationstool Black Shades Net beispielsweise ist ab 40 Euro zu haben. Das DDoS-Werkzeug IP Killer oder den “Stealer” Pieces of Eight etwa kann sich jedermann für 35 Euro zu Diensten machen. Wer einen Exploit gleich im Internet verteilen lassen möchte, muss ungefähr 500 Euro pro Monat aufbringen.
Den ganzen Aufwand kann sich der Kriminelle aber auch sparen, wenn er einfach verifizierte Kreditkartendaten oder erbeutete Paypal-Accounts möchte. Die kann er nämlich zu zivilen Preisen gleich fertig kaufen (Abbildung 2).
Die recht geringen Preise lassen vermuten, dass das Angebot illegaler Dienste und Software größer als die Nachfrage ist. Wer erbeutete Accounts nicht selbst verwertet, sondern weiterverkauft, kann wie gesehen auch nur wenig erzielen. Dass die unmittelbaren und die Reputationsschäden bei ihren Opfern ungleich höher sind, interessiert die Akteure des Cracker-Business nicht. (Jan Kleinert)
Die typischen Schwachstellen lassen sich in Hardware (unzureichende Wartungszyklen), Software (Schwachstellen bei der Programmierung), Netzwerk, Personal, Standort und Organisation untergliedern. Die Organisation steht bei der Risikoanalyse an erster Stelle. Unter Organisation ist hierbei zu verstehen, dass nicht nur einzelne Abteilungen in die Analyse mit einbezogen werden, sondern das komplette Unternehmen. Viele Unternehmen machen den Fehler, etwa nur die Finanzbuchhaltung einer Analyse zu unterziehen, doch auch die IT-Abteilung muss sich der Untersuchung stellen. Für die Zuständigkeiten ist der externe Prozessberater verantwortlich.
Kleine im Visier
Eine Studie von Imperva [2] unterstreicht den Trend zu Angriffen gegen kleine und mittelständische Unternehmen. Deren Sicherheitssysteme sind in der Regel weit weniger gut ausgebaut und gewartet als die der Großkonzerne. Dieses Phänomen soll 2013 weiter zunehmen. Web-basierte Angriffe laufen zudem mittlerweile weitgehend automatisiert ab, von der Identifikation der Ziele über das Finden der Schwachstellen bis hin zur Vollendung des Angriffs. Während gut gerüstete Konzerne diese Art von Gefahr relativ leicht abwehren können, ist die Lage in kleineren Unternehmen meist anders.
Schaden und Wahrscheinlichkeit
Die Identifikation der zu schützenden Vermögensgegenstände und die Erfassung des finanziellen Werts sind erste Schritte für eine effektive Risikoanalyse (siehe Kasten “Hauptziele der Analyse”). Sie stellen die vorhandenen Werte den zu implementierenden Maßnahmen gegenüber. Beispielsweise betrifft das Ausspähen eines Benutzerpassworts in der Finanzbuchhaltung große Werte, das unverschlüsselte Übertragen von sensiblen Daten ebenfalls.
Hauptziele der Analyse
Die vier Hauptziele einer Bedrohungs- und Risikoanalyse sind folgende:
- Vermögensgegenstände und deren finanziellen Wert evaluieren
- Bedrohungen identifizieren
- Quantitativ und qualitativ die Auswirkungen der Risiken ermitteln
- Die Wirtschaftlichkeit der Gegenmaßnahmen im Vergleich zu den möglichen Auswirkungen des Risikos sicherstellen
Im weiteren Verlauf sind die Bedrohungen zu erfassen. Dazu bewertet man zusätzlich die Wahrscheinlichkeit, dass ein bestimmter Schaden eintritt. Die Abschätzung lässt sich quantitativ ermitteln. Sie ist das Produkt aus S (Schadensausmaß) und E (Eintrittswahrscheinlichkeit). Der Wert für R, das Risiko, berechnet sich also mit:
R = S * E.
Bei der Bestimmung der Schadenshöhe S unterscheidet die Risikoanalyse zudem zwischen primären und sekundären Schäden. Zu den primären zählen unter anderem Schäden durch Produktionsausfälle, Wiederbeschaffungskosten und Personalkosten. Diese Art von Kosten ist recht leicht zu beziffern. Viel schwieriger wird es bei der Identifizierung sekundärer Schäden: Darunter fallen Imageverlust, Vertrauensverlust bei Kunden und Geschäftspartnern bis hin zur Insolvenz eines Unternehmens.
Zur Berechnung der Eintrittswahrscheinlichkeit dienen der geschätzte Aufwand, den ein Angreifer zum Umsetzen eines Angriffs betreiben muss, und die Höhe des Nutzens, den er davon hat. Als Beispiel: Hat ein Angreifer Kreditkartendaten gestohlen, fallen Eintrittswahrscheinlichkeit und Schadensausmaß sehr hoch aus. Die Lehrbuchformeln zur Risikoberechnung sind allerdings wenig anschaulich. Für Unternehmen, die lieber Auskünfte in Euro und Cent erhalten, lässt Symantec, Anbieter von Security- und Backup-Lösungen, jährlich eine Studie erstellen. Der Bericht “Cost of a Data Breach 2013” [3] basiert auf den Datenverlusten, die 277 Unternehmen in neun Ländern verzeichnet haben.
Unsicherheit kostet
Selbst wenn man das Interesse des Auftraggebers berücksichtigt, seine Lösungen zu verkaufen, sind die Zahlen schockierend: Jeder verlorene Datensatz koste ein deutsches Unternehmen durchschnittlich 151 Euro, ist dort zu lesen. Dabei entspricht die Einheit Datensatz jenen Kunden- und Abrechnungsdaten, die jeweils einer Person zugeordnet sind. In der Finanz-, Industrie- und Energiebranche betragen die Kosten sogar 200 Euro, bei der öffentlichen Hand nur 93. Die Tendenz ist steigend, 2011 lag der Durchschnitt noch bei 146 Euro.
Unter den möglichen Ursachen für Datenverlust und -veruntreuung schlagen laut Studie am meisten die böswilligen Angriffe aufs Budget durch. Kriminelle Insider und Social Engineering verursachen pro Datensatz 136 Euro Schaden. Handelt ein Mitarbeiter fahrlässig oder macht er einen Bedienfehler, kostet der Schaden pro Datensatz durchschnittlich 138 Euro.
Für diese Zahlen hat das beauftragte Ponemon Institute die direkten und indirekten Kosten der Datenpannen berücksichtigt. Direkte Kosten sind etwa Supportkosten und das Honorar für Computerforensiker, in die indirekten Kosten haben die Forscher den Kommunikationsaufwand sowie eine Schätzung von Auftragsverlusten durch vergraulte und abgeschreckte Kunden eingerechnet.
Onlinerechner
Die erhobenen Daten und Trends hat Ponemon für Symantec auch in einen Onlinerechner [4] für die Kosten von Datenpannen gegossen (Abbildung 3). Die kleinste Firmengröße reicht dort allerdings bis 500 Mitarbeiter, sodass die Schätzung für ein kleines Beratungs- oder Startup-Unternehmen nicht unbedingt treffend ist. Doch immerhin haben deutsche IT-Verantwortliche in einer Umfrage von 2012 [5] angeben, die in den Computersystemen gespeicherten Informationen machten 40 Prozent des Unternehmenswerts aus.

Abbildung 3: Die Befunde einer Studie zu Datenverlusten hat der Antimalware-Anbieter Symantec zur Grundlage dieses Online-Schadensrechners gemacht.
Bei der Risikoanalyse gilt als Faustformel: Denke wie ein Hacker und du weißt, wie du dich schützen musst [6]. Es ist ganz wichtig zu wissen, wie ein Angreifer vorgeht, was ihn antreibt, wie hoch die Werte im Unternehmen sind und warum ein Angreifer sich gerade für diese Werte interessiert. Nur so ist gewährleistet, dass eine effektive Risikoanalyse stattfindet. Zur weiteren Abschätzung können auch Penetrationstests dienen.
Sind alle Risiken identifiziert, lassen sich die Gegenmaßnahmen definieren. Sie müssen jedoch im Einklang mit den finanziellen Mitteln des Unternehmens stehen. Dabei ermittelt man den durch einen Vorfall zu erwartenden Gesamtschaden sowie die zu erwartenden Wiederherstellungskosten. Die Abschätzung der Wahrscheinlichkeit ist einer der schwierigsten Prozesse der Analyse. Hier können Statistiken zu Grunde liegen, aber auch die Aussagen externer Dienstleister, zu denen etwa Penetrationstester gehören, sowie die ermittelten Werte.
Matrix hilft
Die Schwierigkeit liegt jedoch darin, die vielen Faktoren zu berücksichtigen, von denen jeweils Unsicherheiten ausgehen. Hier hilft eine Matrix-basierte Methode aus der ISO 31010 [7] mit qualitativen Skalen (Abbildung 4). Für den gelben Bereich gilt das so genannte ALARP-Prinzip. Das englische Akronym steht für “As Low As Reasonably Practicable” (so niedrig, wie vernünftigerweise praktikabel). Risiken in diesem Bereich sollte man möglichst weit reduzieren, aber nur mit vertretbarem technischen und finanziellen Aufwand.

Abbildung 4: Der Risikograph setzt Eintrittswahrscheinlichkeit und Ausmaß eines Schadens in Beziehung.
Normen als Grundlage
Für jedes Unternehmen gilt es, einen maßgeschneiderten Prozess anzustoßen. Als Grundlage dienen dennoch einige Standards und Regeln. Von Bedeutung sind insbesondere ISO/IEC 27005 (Einführung ins Risikomanagement), ISO/IEC 27001 (Informationssicherheitsmanagement, [1]), ISO 31010 (Beurteilungsmethoden des Risikomanagements, [7]), der BSI-Standard 100-3 [8] sowie die SANS-Risikoliste [9] und die IT-Infrastructure Library (ITIL, [10]).
Bei der Risikobehandlung sind folgende Möglichkeiten zu unterscheiden: Risikoübernahme, Risikovermeidung, Risikoreduktion und Risikotransfer. Bei der Risikoübernahme nimmt das Unternehmen bewusst einen Schadensfall in einem bestimmten Zeitraum in Kauf, ohne jedoch Maßnahmen zu ergreifen. Bei der Risikovermeidung dagegen streicht es eine risikobehaftete Aktivität.
Die Risikoreduktion lässt sich mit Hilfe der BSI-IT-Grundschutz-Standards [11] und hier anhand der Kreuzreferenzmodelle bewerten. Ein Beispiel für Risikoreduktion wäre, alte Software gegen neue auszutauschen, weil die alte ausnutzbare Schwachstellen besitzt, für die es keine Patches mehr gibt. Risikotransfer schließlich heißt, ein Risiko teilweise oder ganz zu verlagern, mittels Versicherung oder Outsourcing. Die Wahl richtet sich nach dem Kosten-Nutzen-Verhältnis. Zudem sind Risiken nicht isoliert zu betrachten, sondern immer in der Gesamtheit.
Fazit
Bei der Risikoanalyse im Risikomanagement geht es also in erster Linie darum, die erkannten Risiken so weit zu minimieren, dass sie für die jeweilige Organisation noch akzeptabel sind. Hierbei dient die Analyse dazu, das Management in die Lage zu versetzen, die erforderlichen dringlichsten, realistischsten und wirtschaftlichsten Maßnahmen zu ergreifen, um die Auswirkungen der bestehenden Risiken möglichst weit zu reduzieren.
Risikomanagement setzt sich zusammen aus der Identifizierung, dem Messen sowie der Kontrolle von Verlusten, die in Verbindung stehen mit unbestimmten Ereignissen und Risiken. Bestandteile sind eine allumfassende Sicherheitsprüfung, Risikoanalyse, Auswahl und Evaluierung von Hilfsmaßnahmen, Kosten-Nutzen-Analysen und Managemententscheidungen sowie die Einführung von Rettungsmaßnahmen und Prüfverfahren.
Infos
- Informationen zur Normensammlung ISO/IEC 27000: http://www.iso27001security.com
- Netsecure-IT.de, “Schwarze Wolken am Horizont – Black Cloud ist Hacker-Trend 2013”: http://netsecure-it.de/content/schwarze-wolken-am-horizont-black-cloud-ist-hacker-trend-2013
- Symantec-Studie “Cost of a Data Breach 2013”: http://www.symantec.com/content/de/de/about/downloads/2013_Cost_of_a_Data_Breach_Deutsche_Ergebnisse_ENG.pdf
- Risiko-Rechner von Symantec: https://databreachcalculator.com
- Symantec, “State of Information: Germany Results 2012”: http://www.symantec.com/content/en/us/about/media/pdfs/2012-state-of-information-german.en-us.pdf
- Netsecure-IT.de, “Hackerdefinition”: http://whitepaper.netsecure-it.de/Hackerdefinition.pdf
- ISO-Norm 31010: http://www.previ.be/pdf/31010_FDIS.pdf
- BSI-Standard 100-3: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/standard_1003_pdf.pdf?__blob=publicationFile
- SANS-Risikoliste: http://www.sans.org/critical-security-controls/
- IT-Infrastructure Library (ITIL): http://www.itil.org/de/vomkennen/itil/index.php
- BSI-IT-Grundschutz-Standards: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html







