computerwoche.de

Archiv

Wie sich IT-Security-Budgets sinnvoll verwenden lassen

23.05.2006
Ein US-amerikanisches Forscherteam zeigt Schwachstellen in herkömmlichen Security-Ansätzen auf.

Im Rahmen ihrer Forschungsarbeit "Economics of Information Security Investment in the Case of Simultaneous Attacks" haben drei Forscher von der Florida Atlantic University in Orlando untersucht, wie Unternehmen ihre IT-Security-Budgets sinnvoller verwenden können. Die Wissenschaftler wollten herausfinden, wie sich Schwachstellen bewerten, deren Risiken analysieren sowie das jeweilige Schadenspotenzial berechnen lassen.

Dabei unterscheidet die Forschungsarbeit zwischen verteilten Attacken - etwa via Viren, Spyware und Spam - und gezielten, von Hackern lancierten Angriffen. Was die Wissenschaftler mittels Gleichungen und Risikoanalyse herausgefunden haben, widerspricht den nahe liegenden IT-Security-Ansätzen.

Der klügste Weg bei begrenzten Mitteln

Demnach ist es nicht ratsam, gleichmäßig in den Schutz vor Bedrohungen zu investieren, wenn etwa das Schadenspotenzial der einen Angriffsgattung das einer anderen um ein Vielfaches übersteigt. "Egal, wie viel Geld für Sicherheit ausgegeben wird - verglichen mit dem potenziellen Verlust fällt das Budget immer klein aus", erläutert Derrick Huang, Assistant Professor an der Atlantic University und einer der Autoren. Die Forschungsarbeit belege, dass es bei begrenzten Mitteln der klügste Weg sein kann, mehr Geld in den Schutz vor einer bestimmten Bedrohung auszugeben.

Erkenntnis basiert auf dem Prinzip der Risikominimierung

Grundsätzlich hat sich erwiesen, dass gezielte Attacken meist teurere Folgen haben als verteilte. Die Unternehmen sollten die Schwachstellen eines Systems eruieren und - wenn es sich dabei um eine hochverwundbare Umgebung mit hohem Schadenspotenzial handelt - den Großteil ihres Sicherheitsbudgets für die Abwehr gezielter Hackerattacken verwenden.

Diese Erkenntnis basiert auf dem Prinzip der Risikominimalisierung, wobei das Risiko durch die Wahrscheinlichkeit eines Sicherheitsvorfalls sowie den zu erwartenden Verlust definiert wird. Die Wissenschaftler wollen ihre Erkenntnisse im Juni anlässlich eines Workshops an der Universität Cambridge in England präsentieren. (kf)