Die Mindsets von CEOs und CISOs, Teil II: Datenschutzverletzungsrisiko, Investitionen in Sicherheit und Denken wie ein MBA

CEO

Im letzten Post bin ich auf die Kulturunterschiede zwischen CEOs und CISOs eingegangen. Die eine Gruppe leitet und entwickelt die Geschäftstätigkeit mit der Hilfe von Spreadsheets, um unterschiedliche Szenarien zur Generierung von Gewinnen durchzuspielen. Die andere gewährleistet rund um die Uhr den Betrieb der Infrastruktur, studiert Netzwerkdiagramme und führt dabei eine Feinabstimmung von PowerShell-Skripten durch. Sie wissen bestimmt, wer jeweils gemeint ist.

Zentraler Punkt dieser Serie ist es, die Kluft zwischen diesen zwei verschiedenen Stämmen zu überbrücken. In diesem Post werde ich Ratschläge dazu erteilen, wie CISOs und CIOs anfangen können, ihre Vorgesetzten – CFOs und CEOs – von der Notwendigkeit zu überzeugen, für Datenschutzsoftware zu zahlen. Und der erste Schritt ist, ein besseres Verständnis für die Art und Weise zu entwickeln, in der CEOs ihre Aufgaben wahrnehmen.

Sofort-MBA für CISOs

Das kulturelle Problem hat seinen Ursprung im BWL-Studium. Es gibt ohne Zweifel nicht wenige CISOs und CIOs mit einem MBA-Abschluss, aber die meisten sind zu sehr mit dem Erlernen der neuesten Pentest-Techniken oder dem Lernen für ihre nächste IT-Zertifizierung beschäftigt.

Ich kann den CISO allerdings zwei Jahre Studium und Tausende Dollar an Studiengebühren sparen. Nach einer kurzen Lektüre eines typischen MBA-Lehrplans kann ich mutig behaupten, dass alles, was Sie über übergeordnetes geschäftliches Denken wissen müssen, in einem einfachen Beispiel zusammenfassen lässt.

Gehen wir zum Beispiel von einer typischen Business-School-Aufgabe aus, bei der Sie 500.000 USD zum Investieren haben. Wenn Sie den Betrag komplett auf ein Sparkonto legen, verdienen Sie risikolos 1 % pro Jahr, also 5000 USD. Oder Sie können Anteile an ein paar Tech-Startups für 10.000 USD pro Unternehmen kaufen. Bei diesem Beispiel haben Sie eine Chance von 1:20, bzw. 5 %, in einer späteren Finanzierungsrunde Ihre Beteiligung für einen Betrag von ca. 400.000 USD wieder abzustoßen.

Welche Option ist besser?

MBA-Studenten lernen derartige größenorientierte Konzepte wie das Gesetz der großen Zahlen, und sie berechnen die durchschnittliche Rendite der vorstehenden Investition im Handumdrehen. Sie wissen, dass Sie langfristig mit den Startup-Investments besser abschneiden, sich aber kurzfristig einem ungewissen Schicksal aussetzen (oder dem Ruin des Spielers).

Bei 50 Investitionen in Startups erwerben Sie also eine Chance von 72 %, zweimal oder häufiger Erfolg zu haben und am Ende mit mindestens 800.000 USD mitzunehmen. Andererseits werden Sie in 28 % aller Fälle die gesamte Investitionssumme von 500.000 USD verlieren. Langfristig werden die Erlöse die Verluste decken und sogar einen Gewinner geben – einen erwarteten Erlös von 1 Million USD und damit einen Gewinn von 500.000 USD.

Was hat das damit zu tun, Führungskräfte von einer Investition in Datenschutzsoftware zu überzeugen?

Nehmen wir mal an, der CEO hat ein Spreadsheet (glauben Sie mir, sie oder er hat eins!), das eine Prognose der Erlöse und Kosten für die nächsten Jahre darstellt. Sie hat den unterschiedlichen Szenarien natürlich jeweils eigene Gewichtungen oder Wahrscheinlichkeiten zugewiesen und für jeden Fall ein durchschnittliches Ergebnis berechnet.

Und jetzt kommt die schlechte Nachricht für CIOs und CISOs: Die üblichen IT-Berichte, Diagramme und Statistiken sind zwar unverzichtbar, um sich über den aktuellen Sicherheitszustand des Unternehmens zu informieren, sie sind aber in ihrer Grundform nicht nützlich für einen CEO. Wenn Sie ihm oder ihr eine Grafik mit der Anzahl der Bots, zeigen, die jede Stunde ihre Ports abtasten, wird die Reaktion in einem „Ja – und?“ bestehen.

Bei der Begründung für eine Investition in neue Datenschutzsoftware will der CEO wissen, welchen Einfluss diese Software auf die Prognosen in seinem oder ihrem Spreadsheet hat.

Um eine leitende Führungskraft und/oder den Vorstand zu überzeugen, muss der CISO nachweisen, dass ein Datenschutzverstoß mit einer nicht zu vernachlässigenden Wahrscheinlichkeit auftreten kann und signifikante Kosten einschließlich Rechtsanwaltshonorare, Bußgelder, Massenklagen und Kundenabwanderung verursacht. Und dann erklären, wie die gewünschte Sicherheitssoftware sich letztendlich selbst finanziert, indem Sie einen Schutz gegen diese Datenschutzverletzungen bietet und damit die Geschäftsplanung gegen Abweichungen schützt.

Datenschutzverletzungen und Risiko

Ein solches Problem ist beim Fällen von geschäftlichen Entscheidungen nicht einzigartig. Einige der Idee und Hilfsmittel, die ich im Folgenden besprechen werden, sind CIOs möglicherweise neu. Für jeden, der schon einmal mit sehr einfacher Modellkonstruktion Erfahrung gesammelt hat, sind sie jedoch sehr leicht zu erlernen und anzuwenden.

Einleitend möchte ich mich beim Cyentia Institute bedanken und das FAIR Institute hervorheben. Man kann zwar an diesen Problemen alleine herumkauen, wie ich das getan habe, die systematische Methode von FAIR für Darstellungen, mit der sich die Aufmerksamkeit eines jeden CEO gewinnen lässt, ist aber sehr hilfreich.

Für die ewigen Skeptiker, die das alles für Ratespiele und zu viel Mathematik halten, gibt es mehr aus der realen Welt gewonnene Datensätze, als sie für möglich halten dürften. Und die von mir besprochenen Methoden sind genauer, als sich nur auf reine Intuition zu verlassen.

Der Ansatz von FAIR zwingt Sie dazu, sich mit zwei Bereichen intensiv zu beschäftigen: der Höhe der Kosten einer Datenschutzverletzung und der Häufigkeit, mit der diese Angriffe auftreten. Damit können Sie einen begründeten Schätzwert der durchschnittlichen Kosten für den Umgang mit Datenschutzverletzungen über einen gegebenen Zeitraum errechnen.

Nehmen wir den ersten Teil, die Kosten einer Datenschutzverletzung. Leider handelt es sich dabei nicht um eine einfache Zahl. Es ist eher eine Wahrscheinlichkeitsverteilung – sagen wir, 10 % der Vorfälle kosten weniger als 10.000 USD, 15 % weniger als 30.000 USD usw. Diese Verteilung wird auch als mit dem schönen Begriff der Verlustüberschreitungswahrscheinlichkeit bezeichnet. In der echten Welt erstellen Versicherungsgesellschaften diese Verteilungsdiagramme, um Pkw- oder Hausratsversicherungen für ihre Risikopools zu berechnen.

Können Sie eine Überschreitungswahrscheinlichkeit für Ihren Fall ausarbeiten?

Sie müssen vielleicht etwas in den Daten wühlen und einfache Modelle erstellen. Allerdings gibt es insbesondere für den Gesundheitssektor eine unglaubliche Fülle von Daten dank des HIPAA.

Ich konnte die HIPAA-Berichte der letzten zwei Jahre nehmen und mithilfe der Regressionsformel von Jay Jacob für Datenschutzverletzungen die Verluste berechnen. Die Verlustverteilung ergibt sich aus einer aufsteigenden Sortierung der Kosten und Berechnung der entsprechenden Prozentzahlen. Mein Ansatz ergibt nicht ganz genau die Verlustüberschreitung, dazu kommen wir aber später.

CEO

Verlustverteilung auf Basis von ca. 300 Datenpunkten von 2016 bis 2018 (Quelle: HIPAA)

Es lohnt sich, sich damit näher zu beschäftigen. Beachten Sie, wie die Vorfälle sich am Ursprung drängen, während im höheren Bereich eine geringere Anzahl zu finden ist, allerdings mit enormen Kosten: Es geht jeweils um zweistellige Millionenbeträge, einmal fallen sogar mehr als 100 Millionen USD an. Ich erahne ein „fettes Ende“!

Bei einer Plausibilitätsprüfung meines Datenbestands habe ich die Durchschnittskosten einer Datenschutzverletzung im Gesundheitsbereich mit ca. 4,2 Millionen USD berechnet. Das entspricht in etwa den Zahlen, die Ponemon für Datenschutzverletzungen angibt – Sie können das im Bericht aus dem Jahr 2018 nachschlagen. Ich könnte diese Kurve noch weiter analysieren, wir wollen es aber gut sein lassen.

Kurz gesagt: Wenn Sie ein Krankenhausbetreiber oder eine Versicherungsgesellschaft sind und Opfer einer Datenschutzverletzung werden, gibt es eine kleine Chance, dass es Sie wirklich hart trifft!

Das sind genau die Informationen, die ein Krankenhaus-CEO haben will. Allerdings müssen Sie, um eine wirklich nützliche Aussage zu erhalten, die Wahrscheinlichkeit dafür abschätzen, dass es in Ihrem Unternehmen überhaupt zu einer Datenschutzverletzung kommt.

Wir werden einige Aspekte davon noch einmal beim nächsten Mal aufgreifen und dann eine umfassendere Argumentation dafür ausarbeiten, um CEOs und Vorstände für den Kauf von Datenschutzsoftware an Bord zu holen.

Wenn Sie Hausaufgaben machen möchten, gehen Sie die informativen und seltsam beruhigenden RSA-Präsentationen von Evan Wheeler über das Management von Cyberrisiken durch. Das ist ein großes Thema mit vielen Variablen und Unbekannten, aber Evan zerlegt das Problem mit der FAIR-Methode in leichter verdauliche Happen. Vielen Dank, Evan!