Schlagwortarchiv für: SLA

Lesedauer ‘Welche Folgen ein IT-Ausfall in Ihrem Unternehmen hat’ 7 MinutenAutor: David Roland Korb

Im Zuge der Implementierung neuer Software spüren Unternehmen – sofern das Projekt erfolgreich durchgeführt wurde – zumeist direkt einen sog. ‘Return On Investment’. Steigt beispielweise die Produktivität pro Mitarbeitendem, ist klar zu erkennen, wann sich das eingesetzte Budget amortisiert hat bzw. ab welchem Zeitpunkt der Betrieb zusätzlichen Umsatz und Gewinn erzielt.

Im Vergleich dazu sind Investitionen in die Sicherheit der IT auf den ersten Blick wenig lukrativ, da dem Investment kein direkter monetärer Mehrwert gegenübersteht. Die Betonung liegt hier allerdings klar auf dem ‘ersten Blick’.

Erfahren Sie im folgenden Beitrag, welche Kosten entstehen, wenn solche Investitionen nicht getätigt werden und warum sie deshalb einen hohen Stellenwert in Ihrer Budgetplanung haben sollten.

Welche Kosten bei einer Stunde IT-Ausfall entstehen

Im Gegensatz zu Projekten zur Umsatz- und Gewinnsteigerung kann man bei Investitionen in IT-Sicherheit keine direkten Kosten-Nutzen-Rechnungen aufstellen. Allerdings bietet eine tiefergehende Betrachtung interessante Erkenntnisse.

Hierzu ein Beispiel aus der Praxis: Wir betrachten ein klassisches Unternehmen aus dem produzierenden Gewerbe, mit einer Mitarbeiterzahl von 50 Angestellten.

Lassen Sie uns nun ermitteln, welche (hypothetischen) Ausfallkosten pro Stunde in diesem Betrieb entstehen, wenn die IT nicht mehr verfügbar ist und deshalb Computer und computergestützte Maschinen stillstehen. Hierzu überlegen wir zunächst, welcher Verlust bei einem Jahr Stillstand in der IT entstünde:

Personalkosten von 50.000,- € x 50 Mitarbeitende = 2,5 Millionen € p.a.

Mietkosten der Produktionsstätte von 15.000,- € monatlich = 180.000,- € p.a.

Betriebskosten (Versicherungen, Wartungskosten, Energie, Wärme, Marketing etc.), ca. 20% der Personal- und Mietkosten p.a. = 536.000,- € p.a.

Investitionen in Technologie, Digitalisierung und Ausrüstung, ca. 200.000,- € p.a.

Schulungen und Weiterbildung der Mitarbeitenden, ca. 50.000,- € p.a.

Entgangener Gewinn bei 4 Millionen € Jahresumsatz und 10 Prozent Gewinn = 400.000,- € p.a.

 

Ergibt eine Gesamtsumme von ca. 3,8 Millionen € theoretischem Schaden bei einem Jahr Stillstand. Legt man diese Summe auf ca. 250 Arbeitstage pro Jahr und 8 Stunden Arbeitszeit pro Tag um, ergibt das bei 2.000 Betriebsstunden einen Schaden von ca. 1.900,- € … pro Stunde!

Dabei sind folgende Kosten noch gar nicht berücksichtigt worden – obwohl diese mit hoher Wahrscheinlichkeit eintreten und erheblich ins Gewicht fallen können:

Lösegeldforderungen

Viele Angreifer verschlüsseln Daten oder drohen mit deren Veröffentlichung, wenn kein Lösegeld gezahlt wird (in der Regel 3 Prozent vom Jahresumsatz).

Kosten zur Behebung des IT-Ausfalls

Im Falle z.B. eines Ransomware-Angriffes entstehen schnell Kosten von ca. 200,- € pro Stunde, pro involviertem Spezialisten.

Vertragsstrafen

Aufgrund der Nichterfüllung von Verträgen können Vertragspartner Sanktionen geltend machen.

Bußgelder

Häufig sind bei einem Cyber-Angriff auch personenbezogene Daten betroffen. Im Falle mangelnder DSGVO-Konformität dieser Daten greifen so entsprechende Sanktionsmaßnahmen (bis zu 4% vom Vorjahresumsatz).

Rechtsberatungskosten

Mit den beiden zuvor genannten Punkten gehen in den meisten Fällen zusätzliche Rechtsberatungskosten einher.

Reputationsschaden und Marketingkosten durch IT-Ausfall

Die Auswirkungen im Falle eines Reputationsschadens lassen sich schwer beziffern. Überlegen Sie einfach einmal ganz konkret, was es für Ihr Unternehmen bedeuten würde, wenn nur einer Ihrer Großkunden die Zusammenarbeit aufgrund von Vertrauensverlust bzgl. der IT-Sicherheit in Ihrem Unternehmen beendet. Zu guter Letzt ist ein geschädigtes Image nur unter hohem Aufwand durch Marketingmaßnahmen wiederherstellbar.

 

Noch einmal: Wir sprechen von 1.900,- € pro Stunde Schaden, wenn die IT nicht verfügbar ist. Und das ohne die zuletzt genannten Punkte, die schnell zusätzlich Kosten im fünfstelligen Bereich erzeugen.

Die Praxis zeigt: Bei einem Ransomware-Vorfall dauert die Wiederherstellung des Normalbetriebes durchschnittlich 22 Tage. Das bedeutet im Beispiel oben einen Schaden von ca. 340.000,- € (ohne den Faktor X)!

Kommen wir auf den Sachverhalt vom Artikelbeginn zurück: Sind Investitionen in die Informationssicherheit tatsächlich unrentabel? Im Ergebnis muss festgehalten werden, dass diese Annahme schlichtweg falsch – und sehr gefährlich – ist. Vielmehr gibt es zahlreiche Maßnahmen zur Erhöhung der IT-Sicherheit, bei deren Kosten man eigentlich schmunzeln müsste, berücksichtigt man die Risikoreduzierung, welche mit deren Umsetzung einhergeht:

Die Erstellung eines Notfallplanes zu einem bestimmen Szenario, der dazu führt, dass der Vorfall aufgrund der strukturierten Beschreibung sehr kurzfristig beseitigt werden kann.

Schulungen, die sensibilisierte Mitarbeitende in die Lage versetzen, gefährliche E-Mails besser zu erkennen und dadurch das Risiko einer Infektion mit Ransomware massiv reduzieren.

Angemessene Backup-Strategie, insbesondere schreibgeschützte Datensicherungen und Versionen, die nicht aus dem Netzwerk erreichbar sind.

Passende SLA-Verträge, die gewährleisten, dass bei einem Systemausfall innerhalb kürzester Zeit Ersatzsysteme bereitgestellt werden.

Sichere Konfiguration der Browser

Entziehung der lokalen Admin-Rechte bei allen normalen Benutzern

Fazit – Beugen Sie einem IT-Ausfall vor, es zahlt sich aus

Die Liste lässt sich nahezu beliebig erweitern. Um zu verstehen, welche konkreten Maßnahmen zielführend und umsetzbar sind, empfiehlt es sich, interne Audits zur Bestandsaufnahme durchzuführen. Zudem sollten Sie – so die Empfehlung von Claudia Plattner, Präsidentin des BSI – bei der Festlegung ihres IT-Budgets ca. 20% fest für Maßnahmen zur Erhöhung der Cybersicherheit einplanen.

Sie haben Fragen zum Thema IT-Sicherheit? Sie benötigen Hilfe beim weiteren Vorgehen, der konkreten Definition von Maßnahmen oder der Kostenkalkulation? Wir sind als zuverlässiger Partner an Ihrer Seite und begleiten Sie auf Ihrem Weg zu höchster IT-Sicherheit. Kontaktieren Sie uns!

 

  David Roland Korb | Informationssicherheits-Berater

 

 

Weiterführende Infos: Sicherheitsanalysen aus Angreifersicht mit CRISEC| Was einen guten Notfallplan ausmacht | Infrastrukturanalysen

Foto © Adobe Stock