Was kostet Cybersicherheit mit einem ISMS? - Part 1

Vor allem für viele kleine und mittelständische Unternehmen sind die Kosten für ein ISMS eine der wichtigsten Fragen, die es zu berücksichtigen gilt, wenn man sich professionell digital absichern möchte. Aber Cybersicherheit in seiner Gesamtheit ist schwer zu greifen und doch möchte man schon vorher wissen, was für Kosten auf einen zukommen.
Leider ist Cybersicherheit relativ abstrakt, sie lässt sich nicht besonders gut in greifbare Zahlen ausdrücken. Sicherheit kostet, generiert aber keine Gewinne. Potenzielle Angriffe und Risiken sind aus Statistiken abgeleitete Werte. Lediglich mögliche Schäden können hergeleitet werden, beinhalten aber auch oft Schätzungen. Es gibt keinen absoluten Zustand der Sicherheit, es ist ein sich ständig optimierender Prozess. Erst wenn es Sicherheitsvorfälle gibt, offenbaren sich konkrete Schwachstellen oder kann der Schaden beziffert werden.
Cybersecurity ist viel harte Arbeit und idealerweise bemerkt man am Ende davon - genau nichts.
Man kann man leider keine pauschale Antwort geben, denn die Kosten hängen von sehr vielen Faktoren ab, die selbst auch erst einzeln heruntergebrochen und betrachtet werden müssen.
In diesem Artikel soll versucht werden, die verschiedenen Aspekte zu beleuchten, um zumindest eine grobe Bewertung machen zu können und beim Herunterbrechen und Evaluieren helfen können.
Tipps, Tricks und eventuelle Empfehlungen sind Erfahrungswerte aus der bisherigen Arbeit mit Kunden bzw. aus Gesprächen mit Partnern. Sie sollten keinesfalls dogmatisch hingenommen werden, sondern sind immer kritisch für den eigenen Einsatz zu hinterfragen.
Was umfasst das Thema Cybersecurity?
Cybersecurity (auf Deutsch oft synonym mit IT-Sicherheit oder Cybersicherheit) bezeichnet den Schutz von Systemen, Netzwerken, Programmen und Daten vor digitalen Angriffen.
Diese Angriffe zielen häufig darauf ab:
· Daten zu stehlen
· Systeme zu manipulieren
· Prozesse zu stören oder
· Lösegeld zu erpressen
Zunehmende Professionalisierung der Angreifer in den letzten Jahren ließ die jährlich verursachten Schäden enorm ansteigen.
Um dem etwas entgegenzusetzen, muss man das Thema aktiv managen. Dafür gibt es insbesondere eine Norm, die hierbei heraussticht: die ISO 27001.
Die ISO 27001 beschreibt den Aufbau eines ISMS und beinhaltet das Management von
• Risiken
• Datenschutz
• Informations-Sicherheit
• Richtlinien
• Business Continuity
und die Organisation der dafür benötigten Prozesse.
Überblick
Der Zweck eines ISMS (Information Security Management System) ist es, die Informationssicherheit in einer Organisation systematisch zu planen, umzusetzen, zu überwachen und kontinuierlich zu verbessern. Es geht also hauptsächlich darum, sich professionell dem Thema Cybersecurity zu nähern, diese zu implementieren und im Unternehmen zu leben.
In den meisten Fällen wird ein ISMS notwendig, wenn man bestimmte regulatorische Bestimmungen einhalten muss (z.B. KRITIS, DORA oder NIS2) oder eine sicherheitsrelevante Zertifizierung anstrebt, z.B.
Immer häufiger fragen aber auch Kunden nach der Erfüllung von Sicherheitsstandards oder in Ausschreibungen werden bestimmte Sicherheits-Nachweise, wie z.B. die ISO 27001, von allen ausführenden Unternehmen und Subunternehmen gefordert.
Bei der ISO 27001 sind z.B. eine individuell auf die Organisation abgestimmte Implementation oder nach den Vorgaben des IT-Grundschutzes des BSI möglich. Für welchen Weg man sich entscheidet, ist dann abhängig von der Branche, der Größe der Organisation, dem vorhandenen Wissen und weiteren – und kann auch einen Kostenfaktor darstellen.
Warum werden Zertifizierungen immer wichtiger?
Öffentliche Verwaltungen oder Organisationen und Unternehmen einer bestimmten Kritikalität für die öffentlichen Ordnung unterliegen in Zukunft der NIS-2. Wieder andere Unternehmen lassen sich nach einer der genannten ISO-Normen zertifizieren. Sie alle erfordern gewisse Maßnahmen zur Cybersicherheit. Dazu gehört zum einen der Aufbau eines ISMS, aber auch, dass Zulieferer bestimmte Sicherheitsmerkmale nachweisen können. Dies kann man beim Geschäftspartner entweder über einen Fragebogen zur Cybersicherheit feststellen oder der Zulieferer kann selbst ein entsprechendes Zertifikat vorweisen.
Statt individuelle Fragebögen zu erstellen, wird jetzt schon und auch in Zukunft verstärkt die Implementation der ISO 27001 (oder einer der anderen Normen) gefordert. Das ist in der Regel sehr viel einfacher, als für jeden Partner alle Fragen zur Cybersicherheit durchzugehen. Am Ende umfasst auch ein Fragebogen meist alle Aspekte, die man auch mit einem entsprechenden Zertifikat nachweisen müsste. Man überlässt daher die Prüfung (den Audit) der Cybersicherheit stattdessen lieber unabhängigen, darauf spezialisierten Prüforganisationen. Man fordert in Ausschreibungen dann nur noch den Nachweis eines entsprechenden Zertifikats zur Einhaltung der einschlägigen Norm und hat sich eine Menge Arbeit gespart.
Die Hauptfaktoren
Die wesentlichen Kosten für ein ISMS werden durch diese Faktoren bestimmt:
· Software-Lizenzen
· Eigenleistung: Aufwand zur Implementation und Pflege des ISMS
· Externe Beratung
· Zertifizierungs-Audits
Im Folgenden werden die einzelnen Punkte etwas detaillierter beleuchtet und worauf bei der Evaluation zu achten ist.
Software
Wenn man ein ISMS in der Organisation aufsetzen möchte, empfiehlt es sich, eine entsprechend spezialisierte Software zu nutzen. Hier gibt es einen großen Markt an Anbietern mit mehr oder weniger umfangreichen Features.
Im Zusammenhang mit Informationssicherheits-Management werden Sicherheitskontrollen bzw. Sicherheitsmaßnahmen als "Controls" bezeichnet. Diese Controls sind spezifische Maßnahmen oder Mechanismen, die implementiert werden, um die Informationssicherheit in einer Organisation zu gewährleisten und Risiken zu minimieren.
Das ISMS selbst kann in der einfachsten Form als Dokumenten-Management-System verstanden werden: dort wird die Implementation der Controls beschrieben und es werden die einzelnen Policies hinterlegt, die für die Organisation und deren Mitarbeiter gelten. Es gilt aber: wenn keine ISMS-Expertise in der Organisation vorhanden ist, ist es nicht empfehlenswert, selbst ein ISMS von Grund auf neu aufzubauen. Viele ISMS bringen schon ein paar gute Vorlagen mit. Diese sind aber fast immer an die aktuellen Gegebenheiten anzupassen, trotzdem ist das meist doch effektiver als eine Eigenentwicklung.
Neben den Controls gibt es aber auch viele weitere Aspekte, die ein gutes ISMS abdeckt, z.B. (ohne Anspruch auf Vollständigkeit):
Weiterhin können noch viele andere Module und Automatismen, insbesondere zur Überwachung von Sicherheits-Einstellungen, mit einem ISMS geliefert oder als Zusatz-Plugin zur Verfügung gestellt werden.
Ist dies nicht Bestandteil des ISMS, muss man sich Gedanken darüber machen, welche Tools man stattdessen einsetzt und entsprechende Lizenzgebühren einplanen.
Unter Umständen sind aber auch schon Tools in der Organisation vorhanden und können hierzu genutzt werden? Das muss individuell geprüft werden. Möglicherweise sind hier aber auch weitere Lizenzkosten notwendig, um den Zugriff für weitere oder alle Mitarbeiter bereitstellen zu können.
Für alle Tools gilt:
Selbst machen erscheint manchen verlockend, aber das
· Erfordert viel Expertise (oder Vorlagen)
· Erfordert viel Zeit für eigene Prozesse, Policies und Recherchen
Es empfiehlt sich, es auf keinen Fall selbst zu machen, wenn
• das Management wenig Zeit hat
• kein internes Know-How vorhanden ist
• man nicht technik-affin ist, um selbst spezielle Software-Lösungen zu entwickeln
Eigenleistung
Um das ISMS zu füllen und dann aktiv damit zu arbeiten, müssen interne und externe Ressourcen bereitgestellt werden. Grundsätzlich kann man hier flexibel steuern, ob man die Leistungen lieber mit eigenen Mitarbeitern erbringt oder ob man auf die Expertise externer Berater oder Beratungs-Teams setzt. Zu beachten ist, dass eine externe Beratung immer auch interne Ressourcen erfordert, um existierende Prozesse zu dokumentieren oder wenigstens zu erklären. Außerdem bringt die Einführung eines ISMS häufig auch Änderungen oder Umstrukturierungen mit sich, was häufig Auswirkungen auf aktuelle Abläufe hat. Selbst wenn man "CISO as a service" (Chief Information Security Officer als Dienstleistung eines externen Unternehmens) in Anspruch nimmt, bedeutet die Implementation von Sicherheitsmechanismen immer auch einen gewissen Aufwand für die vorhandene Belegschaft. Insbesondere benötigt die Umsetzung von Sicherheitsaspekten auch die Unterstützung vom oberen Management. Es muss also Zeit eingeplant werden, um Zusammenhänge zu verstehen, Entscheidungen zu treffen und Umsetzungen zu initiieren und zu überwachen.
Weiterhin müssen die Mitarbeiter die Sicherheitsrichtlinien kennen, verstehen und sicher anwenden können. Sie müssen entsprechend geschult werden.
Externe Beratung
Grundsätzlich gilt hier für externe Berater: je mehr Know-How intern existiert, desto weniger externe Beratung ist notwendig. Gerade in Unternehmen, deren Schwerpunkt außerhalb der IT bzw. Cybersicherheit liegt, ist es besonders empfehlenswert, beim Aufbau eines ISMS auf fachkundige Unterstützung in Anspruch zu nehmen. Nicht zu vernachlässigen ist auch der Aspekt, dass jemand von außen eine andere Sicht hineinbringen oder relativ unabhängige Positionen einnehmen kann. Gerade in kleineren Firmen mit nur einem oder sehr wenigen zentralen Ansprechpartnern für Sicherheitsfragen kann hier das Vier-Augen-Prinzip gewährleistet und nachgewiesen werden.
Externe Audits / Zertifizierung
Bei externen Audits bzw. Zertifizierungen kommt man nicht umhin, entsprechende externe Auditoren bzw. Zertifizierungsdienstleistungen zu beauftragen.
Die Kosten hierfür sind direkt abhängig von der Firmengröße, gemessen an der Anzahl der Mitarbeiter. Die ISO 27001-Zertifizierung bezieht sich auf das Informationssicherheitsmanagementsystem eines Unternehmens oder einer Organisation insgesamt. Eine Zertifizierung wird deshalb für das gesamte Unternehmen oder eine klar definierte Organisationseinheit erteilt, nicht für einzelne Standorte. Bei der Zertifizierung wird festgelegt, welche Standorte und Bereiche in den Geltungsbereich des ISMS fallen und somit von der Zertifizierung umfasst sind. Damit ergeben sich dann auch die entsprechenden Kosten für die Zertifizierung.
Benötigt man die Zertifizierung nicht oder erst später, kann man diesen Punkt etwas flexibler gestalten. Aber wenn die Investitionen in das ISMS getätigt wurden, ist dieser Schritt für alle Beteiligten eher vorteilhaft, denn er bestätigt unabhängig die korrekte Implementation. Weiterhin zu bedenken ist, dass die Zertifizierungs-Institutionen auch eine gewisse Vorlaufzeit benötigen – und das sind meist mehrere Monate. Wird dann der Nachweis einer Zertifizierung früher benötigt, ist das eher schwierig oder mit höheren Kosten verbunden. Sollte es dann auch noch Abweichungen geben, sind schnell eventuell gesetzte Fristen in Gefahr. Daher sollte man sich vorher sehr genau überlegen, ob man wirklich auf eine Zertifizierung verzichten möchte, um Kosten zu sparen.
Weitere Einfluss-Faktoren
Die Frage nach den Kosten einer Zertifizierung nach ISO 27001 ist auch deshalb pauschal nicht zu beantworten, weil noch viele weitere Faktoren bei der Preisbildung eine Rolle spielen.
Der wohl entscheidendste Faktor ist hierbei die Größe der Organisation, die zertifiziert werden soll. Dies macht sich unter anderem auch schnell bei den Lizenzkosten bemerkbar. Bei steigender Mitarbeiterzahl wächst im Normalfall auch die Komplexität der internen Prozesse.
Ein weiterer wesentlicher Faktor ist, inwiefern Cybersecurity bisher schon auf der Tagesordnung stand und von den Mitarbeitern gelebt wurde. Je weniger Richtlinien und Maßnahmen implementiert sind, desto schwieriger und einschneidender sind entsprechende Veränderungen zur Erhöhung der Cybersicherheit. Gewohnte Prozesse müssen unter Umständen umgestaltet werden, eventuell sogar neu gedacht werden.
Der notwendige Kommunikationsaufwand sollte nicht unterschätzt werden. Zusätzliche Kontrollpunkte und Dokumentationspflichten steigern selten die Effizienz und Flexibilität.
Ausblick
Im nächsten Blog-Beitrag schauen wir uns konkrete Rechenbeispiele an und erklären, was man dabei berücksichtigen muss.