CVE-Scores helfen bei der Priorisierung von Sicherheitsupdates. Konkrete Kostenanalyse zeigt: Untätigkeit kostet Schweizer Unternehmen mehr als Prävention.
Es ist Dienstag Morgen, 11:00 Uhr. Microsoft hat wieder neue Patches veröffentlicht – der monatliche Patch Tuesday. Ihr IT-Verantwortlicher steht vor 47 verfügbaren Updates und fragt sich: Welche sind wirklich kritisch? Hier kommen CVE-Scores ins Spiel – ein Bewertungssystem, das den Unterschied zwischen einem entspannten Mittwoch und einem IT-Notfall ausmachen kann.
Das versteckte Preisschild: Was Untätigkeit kostet
Wenn Unternehmen Sicherheitsupdates aufschieben, entstehen versteckte Kosten. Ein erfolgreicher Cyberangriff kostet Schweizer Firmen durchschnittlich CHF 120’000. Diese Zahl stammt nicht aus der Luft – sie basiert auf Ausfallzeiten, Datenwiederherstellung und Reputationsschäden.
Ein konkretes Beispiel: Eine Zürcher Treuhandfirma mit 25 Mitarbeitern verschiebt Windows-Updates um drei Monate. Ein Ransomware-Angriff nutzt eine bekannte Sicherheitslücke aus. Resultat:
- Systemausfall: 3 Tage × 25 Mitarbeiter × CHF 400 Tageslohn = CHF 30’000
- Datenwiederherstellung durch Spezialisten: CHF 15’000
- Lösegeldzahlung (oft unvermeidbar): CHF 25’000
- Verlorene Aufträge durch Reputationsschäden: CHF 50’000
- Gesamtschaden: CHF 120’000
CVE-Scores entschlüsselt: Die 10-Punkte-Skala verstehen
Das Common Vulnerability Scoring System (CVSS) bewertet Sicherheitslücken von 0 bis 10. Microsoft nutzt diese Scores für ihre Sicherheitsupdates:
- 0.0-3.9: Niedrig (kann warten)
- 4.0-6.9: Mittel (innerhalb eines Monats)
- 7.0-8.9: Hoch (innerhalb einer Woche)
- 9.0-10.0: Kritisch (sofort patchen)
Ein Beispiel aus der Praxis: Die berüchtigte Windows-Lücke CVE-2017-0144 erhielt einen Score von 8.1. Unternehmen, die diesen Patch ignorierten, wurden später von WannaCry getroffen.
Die Investition: Was professionelle Update-Verwaltung kostet
Die Alternative zu chaotischem Update-Management ist ein strukturierter Ansatz:
Interne Lösung:
- Zentrales Update-Management: CHF 2’000 Setup
- Zeitaufwand: 6 Stunden/Monat × CHF 180/h = CHF 1080 monatlich
Externe IT-Betreuung:
- Managed Security Services: CHF 800-2’000 monatlich
- Patch-Management inklusive CVE-Bewertung: CHF 400 monatlich
ROI-Rechnung: Wann sich die Investition lohnt
Die Mathematik ist eindeutig. Bei einem durchschnittlichen Schadensfall von CHF 120’000 und jährlichen Präventionskosten von maximal CHF >24’000.
Selbst wenn nur alle fünf Jahre ein Sicherheitsvorfall verhindert wird, amortisiert sich die Investition bereits im ersten Jahr. Berücksichtigt man die reduzierten Versicherungsprämien für Cyberrisiken (oft 10-20% Rabatt bei nachweislichem Patch-Management), verbessert sich die Rechnung zusätzlich.
Praxistipp: Der 24-Stunden-Test
Erstellen Sie einen einfachen Test für Ihr Unternehmen: Können Sie innerhalb von 24 Stunden sagen, welche Ihrer Systeme ein kritisches Windows-Update benötigen? Falls nein, ist das Risiko bereits zu hoch.
Moderne Tools können CVE-Scores automatisch auswerten und Updates nach Priorität sortieren.
Der nächste Schritt: Professionelle Unterstützung
Sicherheitsupdates sind kein Luxus – sie sind eine Investition in die Geschäftskontinuität. Die Kosten für Prävention sind planbar, die Kosten eines Cyberangriffs sind es nicht.
Möchten Sie wissen, wie gut Ihr aktuelles Update-Management funktioniert? Unser IT-Sicherheitscheck analysiert Ihre Systeme und zeigt konkrete Verbesserungsmöglichkeiten auf – inklusive CVE-Bewertung Ihrer aktuellen Sicherheitslücken.
