Cyber Security wird normalerweise mit Kosten verbunden und nicht mit Kosteneinsparungen 😉
In diesem Artikel wird aufgezeigt, dass Security durchaus nicht nur ein Kostentreiber ist. Mindestens einen Teil der Investition kann zeitnah wieder amortisiert werden.
Kosteneinsparungen dank Inventar
Bei der Übernahme eines Security-Mandates wird normalerweise zuerst ein Lagebild erstellt. Diese Gesamtübersicht ist vielfach nicht vollständig vorhanden oder veraltet.
Zum Lagebild gehört auch ein Inventar:
- ein Daten-Inventar (Klassifizierung, Zugriffsrechte, Speicherort, Verschlüsselung, …)
- ein Asset-Inventar (Hardware, Software und Lizenzen)
Dank diesem Inventar kann der „Frühlingsputz“ starten. Zuerst werden alle ungebrauchten Lizenzen gekündet und ungenutzte Instanzen abgestellt. Häufig sind dies immer noch laufende Server oder Router/Switches, obwohl der zugehörige Service schon längst migriert wurde. Zudem VMs (Virtual Machines), welche nach einem Test nie abgestellt wurden.
Ebenfalls dank dem Inventar werden veraltete Software-Versionen identifiziert. Diese Betriebssysteme, Firmwares oder Applikationen können so proaktiv aktualisiert werden. Dadurch werden nicht nur Sicherheitslecks geschlossen, sondern auch Software-Fehler behoben, welche zu einem kostspieligen Systemausfall führen können.
Zusammenfassung der Kosteneinsparungen:
- Kündigungen von ungenutzten oder doppelten Lizenzen
- Herunterfahren von ungebrauchten physikalischen oder virtuellen Instanzen
- Verhinderung oder Reduzierung der Ausfallzeiten
Um einen Sicherheitsstandard konsistent halten zu können, ist die Automatisierung ein wichtiger Schlüssel. Mehr dazu im nächsten Abschnitt.
Kosteneinsparungen dank Automatisierungen
Die Automatisierung hilft nicht nur den Sicherheitslevel zu erhöhen, sondern auch die Kosten zu senken. Konkret hier am Beispiel der Softwareentwicklung, wo automatisierte Security-Checks (Static / Dynamic Code Testing, Dependency Updates, …) in die DevOps Pipeline eingebaut werden.
Aufgrund dieses Security-Fundaments können mit wenig Mehraufwand auch Functional-Tests oder Regression-Tests implementiert werden. Dies hilft die Qualität zu steigern und die Markteinführungszeit (time-to-market) zu reduzieren. Ebenfalls können sich die Entwickler so vermehrt um Features kümmern und weniger um zeitintensive Tests.
Zusammenfassung der Kosteneinsparungen:
- Reduzierung der Markteinführungszeit von neuer Software
- Erhöhung der Softwarequalität und somit geringeren Supportkosten
- Reduktion oder Umnutzung der Entwickler-Ressourcen
Ein Security-Programm kann helfen diese Einsparungen sichtbar zu machen und systematisch anzugehen.
Security ist eine sinnvolle Investition
Spätestens bei einem Sicherheitsvorfall wird klar, dass Sicherheit nicht ein Kostenfaktor ist sondern eine weise Investition in das Überleben jeder Firma.
Die Sicherheitsvorfälle können vielfältig sein. Hier ein kleiner Auszug:
- (un)bekannte Datenabflüsse
- Systembeeinträchtigungen oder -ausfälle (Denial of Service)
- Verschlüsselung der Daten und Lösegeldforderungen (Ransomware)
Die Folgen können ein Reputationsschaden sein oder bis zur Insolvenz führen. Dies gilt es mit vernünftiger Planung und Implementierung zu verhindern, respektive auf ein vertretbares Restrisiko zu reduzieren.
Brauchen Sie einen Begleiter zum Thema Cyber Security?
Dank der Expertise im Aufbau und Betrieb von kritischen Infrastrukturen begleiten wir Sie gerne zum Thema Cyber Security.
Je nach Schwerpunkt arbeitet arc7 mit etablierten Partnern zusammen. So auch mit Protect7, einem sehr erfahrenen Partner mit dem Fokus auf Applikationssicherheit.
Gerne stellen wir Ihnen unsere Expertise und Partner-Netzwerk zur Verfügung.