Im Rahmen ihrer Forschungsarbeit "Economics of Information Security Investment in the Case of Simultaneous Attacks" haben drei Forscher von der Florida Atlantic University in Orlando eine verblüffende mathematische These aufgestellt, die es Unternehmen ermöglichen soll, ihre IT-Security-Budgets sinnvoller zu verwenden. Ziel der Wissenschaftler war es, herauszufinden, wie sich Schwachstellen bewerten, deren Risiken analysieren sowie das jeweilige Schadenspotenzial berechnen lassen.
Dabei unterscheidet die Forschungsarbeit zwischen verteilten Attacken - etwa via Viren, Spyware und Spam - und gezielten, von Hackern lancierten Angriffen. Was die Wissenschaftler mittels Gleichungen und Risikoanalyse herausgefunden haben, soll den gängigen, nahe liegenden IT-Security-Ansätzen widersprechen: Demnach ist es nicht ratsam, gleichmäßig in den Schutz vor Bedrohungen zu investieren, wenn etwa das Schadenspotenzial der einen Angriffsgattung das einer anderen um ein Vielfaches übersteigt. "Egal, wie viel Geld für Sicherheit ausgegeben wird - verglichen mit dem potenziellen Verlust fällt das Budget immer klein aus", erläutert Derrick Huang, Assistant Professor an der Atlantic University und einer der Autoren. Die Forschungsarbeit belege, dass es bei begrenzten Mitteln der klügste Weg sein kann, mehr Geld in den Schutz vor einer bestimmten Bedrohung zu intensivieren.
Grundsätzlich hat sich erwiesen, dass gezielte Attacken meist teurere Folgen haben als verteilte. Nach Empfehlung der Forscher sollten Unternehmen die Schwachstellen eines Systems eruieren und - wenn es sich dabei um eine hochverwundbare Umgebung mit hohem Schadenspotenzial handelt - den Großteil ihres Sicherheitsbudgets für die Abwehr gezielter Hackerattacken verwenden.
Nach Angaben der Forscher basiert das neue Modell auf dem Prinzip der Risikominimalisierung, wobei das Risiko durch die Wahrscheinlichkeit eines Sicherheitsvorfalls sowie den zu erwartenden Verlust im Eintrittsfall definiert wird. Die Wissenschaftler wollen ihre Erkenntnisse im Juni anlässlich des "Workshop on the Economics of Information Security" an der Universität Cambridge in England präsentieren. (kf)