A stochastic Gordon-Loeb model for optimal cybersecurity investment under clustered attacks

Each language version is independently generated for its own context, not a direct translation.

Stellen Sie sich vor, Sie sind der Sicherheitschef eines großen Schlosses. Ihr Feind sind nicht Ritter mit Schwertern, sondern unsichtbare Hacker, die versuchen, Ihre Mauern zu durchbrechen.

Dieses wissenschaftliche Papier ist im Grunde ein neuer, intelligenter Bauplan, wie Sie Ihr Geld am besten in Sicherheit investieren sollten, um das Schloss zu schützen. Hier ist die Geschichte dahinter, einfach erklärt:

1. Das alte Problem: Der statische Plan

Früher (in den klassischen Modellen) dachten die Experten so: „Okay, wir wissen, dass Hacker kommen. Wir kaufen also einmal eine dicke Mauer und hoffen, das reicht."
Das Problem dabei: Hacker arbeiten nicht wie ein Uhrwerk. Manchmal passiert nichts, und dann kommt plötzlich eine ganze Flut von Angriffen auf einmal – wie ein Sturm, der aus dem Nichts aufzieht. Wenn Sie nur eine statische Mauer haben, sind Sie in diesem Sturm oft unvorbereitet.

2. Die neue Idee: Der „Selbstverstärkende Sturm" (Hawkes-Prozess)

Die Autoren dieses Papiers haben ein neues Werkzeug entwickelt, um das Verhalten von Hackern besser zu verstehen. Sie nennen es einen Hawkes-Prozess.

Stellen Sie sich das wie eine Lawine oder eine Feuerstelle vor:

Wenn ein Hacker angreift und scheitert, ist das noch nicht schlimm.
Aber wenn er einen Erfolg hat oder eine Schwachstelle findet, lockt das sofort weitere Hacker an. Es ist wie ein Feuer: Ein Funke entzündet einen kleinen Brand, der sofort weitere Funken anzieht und zu einem großen Feuersturm wird.
In der Sprache der Wissenschaft bedeutet das: Cyberangriffe kommen oft in Clustern (Bündeln). Ein Angriff macht einen weiteren Angriff wahrscheinlicher.

Das alte Modell hat das ignoriert. Das neue Modell sagt: „Achtung! Wenn gerade ein Angriff stattfindet, müssen wir sofort alarmiert sein, weil gleich noch zehn weitere kommen könnten!"

3. Die Lösung: Ein flexibler Sicherheitsgürtel

Anstatt eine feste Mauer zu bauen, schlägt das Papier vor, einen intelligenten, flexiblen Sicherheitsgürtel zu tragen.

Der Gürtel ist nicht statisch: Er kann sich ausdehnen und zusammenziehen.
Die Reaktion: Wenn der „Sturm" (die Anzahl der Angriffe) ruhig ist, sparen Sie Geld und investieren nur wenig. Aber sobald der Sturm losbricht (viele Angriffe in kurzer Zeit), schaltet Ihr System automatisch auf „Vollgas". Sie investieren sofort mehr Geld in Sicherheit, um die Mauern zu verstärken, bevor die nächste Welle kommt.
Der Clou: Das Modell berechnet genau, wann sich dieser Einsatz lohnt. Es ist wie ein Wettervorhersage-System für Hacker: Wenn die Wahrscheinlichkeit für einen Sturm steigt, bauen Sie sofort einen besseren Schutz auf.

4. Warum das besser ist als die alten Methoden

Die Autoren haben ihre neue Methode mit zwei alten Methoden verglichen:

Die statische Methode: Man investiert jeden Tag gleich viel, egal was passiert. (Das ist wie ein Wachmann, der immer gleich schnell läuft, egal ob ein Dieb vor der Tür steht oder nicht).
Die einfache Zufalls-Methode (Poisson): Man geht davon aus, dass Angriffe zufällig und unabhängig voneinander kommen (wie Regentropfen, die gleichmäßig fallen).

Das Ergebnis:
Die neue, adaptive Methode ist deutlich besser!

Wenn Hacker in Gruppen angreifen (was in der Realität oft passiert), sparen Sie mit der neuen Methode viel Geld, weil Sie nicht immer teuer investieren, sondern nur dann, wenn es wirklich brennt.
Gleichzeitig schützen Sie sich viel besser vor den großen Katastrophen, weil Sie in den kritischen Momenten sofort reagieren.

5. Was das für Versicherungen bedeutet

Das Papier hat auch eine interessante Seite für Versicherer:
Wenn Sie als Unternehmen gut in diese intelligente Sicherheit investieren, sind Sie weniger gefährdet. Das ist wie ein Selbstschutz.

Für Sie: Sie zahlen weniger für Schäden.
Für die Versicherung: Da das Risiko sinkt, können sie Ihnen auch eine günstigere Cyber-Versicherung anbieten. Es ist ein Gewinn für alle: Wer sich gut schützt, zahlt weniger.

Zusammenfassung in einem Satz

Statt stur jeden Monat das gleiche Geld für Sicherheit auszugeben, sagt dieses Papier: Hören Sie genau hin, wann die Hacker lauter werden, und investieren Sie dann sofort mehr, um den Sturm abzuwehren – das spart Geld und schützt besser.

Each language version is independently generated for its own context, not a direct translation.

Hier ist eine detaillierte technische Zusammenfassung des vorliegenden Papers auf Deutsch:

Titel: Ein stochastisches Gordon-Loeb-Modell für optimale Cybersecurity-Investitionen unter gebündelten Angriffen

Autoren: Giorgia Callegaro, Claudio Fontana, Caroline Hillairet, Beatrice Ongarato.

1. Problemstellung

Cyber-Risiken stellen eine der größten Quellen für operative Risiken in Organisationen dar. Traditionelle Modelle zur Optimierung von Cybersecurity-Investitionen, wie das klassische Gordon-Loeb-Modell (2002), sind statisch und gehen von einer konstanten Wahrscheinlichkeit für Cyberangriffe aus. Sie vernachlässigen jedoch zwei kritische empirische Beobachtungen:

Dynamik und Clusterbildung: Cyberangriffe treten oft in Wellen oder "Bursts" auf (z. B. nach der Entdeckung einer Schwachstelle oder durch die Ausbreitung von Malware). Ein Angriff erhöht die Wahrscheinlichkeit weiterer Angriffe kurz darauf (Selbsterregung).
Zeitliche Anpassungsfähigkeit: Investitionsentscheidungen sollten nicht statisch sein, sondern sich in Echtzeit an die sich ändernde Bedrohungslage anpassen.

Das Ziel dieser Arbeit ist die Entwicklung eines kontinuierlichen, stochastischen Modells, das diese Cluster-Effekte berücksichtigt und eine adaptive Investitionsstrategie ableitet, die den erwarteten Netto-Nutzen maximiert.

2. Methodik und Modellierung

Das Paper erweitert das Gordon-Loeb-Modell in einen dynamischen, stochastischen Rahmen.

A. Modellierung der Angriffe (Hawkes-Prozess)

Anstatt eines Poisson-Prozesses (der keine Gedächtnisfunktion hat) wird die Ankunftsrate von Cyberangriffen durch einen Hawkes-Prozess $N_t$ modelliert.

Die Intensität $\lambda_t$ ist stochastisch und folgt der Dynamik:
$d\lambda_t = \xi(\alpha - \lambda_t)dt + \beta dN_t$
Selbsterregung: Jeder Angriff ( $dN_t$ ) erhöht die Intensität $\lambda_t$ um den Faktor $\beta$ , die dann exponentiell mit der Rate $\xi$ abklingt. Dies erfasst die empirisch beobachtete Clusterbildung.
Vulnerabilität: Die Wahrscheinlichkeit eines erfolgreichen Bruchs hängt von der aktuellen Sicherheitsstufe $H_t$ ab, beschrieben durch eine Sicherheitsverletzungswahrscheinlichkeitsfunktion $S(H_t, v)$ , die die Annahmen des Gordon-Loeb-Modells erfüllt (konvex, abnehmende Grenzerträge).

B. Investitionsdynamik und Verschleiß

Die Sicherheitsstufe $H_t$ entwickelt sich gemäß einer Differentialgleichung, die Investitionen $z_t$ und technologischen Verschleiß (Depreciation) $\rho$ berücksichtigt:
$dH_t = (z_t - \rho H_t)dt$
Investitionskosten werden durch eine nichtlineare Kostenfunktion modelliert ( $\delta z_t + \gamma z_t^2/2$ ), um unregelmäßige, hochkonzentrierte Investitionen zu bestrafen und glattere Strategien zu fördern.

C. Optimierungsproblem

Das Problem wird als zweidimensionales stochastisches Optimalsteuerungsproblem formuliert.

Zustandsvariablen: Die stochastische Intensität $\lambda_t$ und die Sicherheitsstufe $H_t$ .
Zielfunktion: Maximierung des erwarteten Netto-Nutzens über einen Zeithorizont $[0, T]$ , bestehend aus der Reduktion erwarteter Verluste minus Investitionskosten plus einem Restnutzen der Sicherheitsstufe am Ende des Horizonts.
Lösungsmethode: Das Problem wird mittels Dynamischer Programmierung gelöst. Der Wertefunktion $V(t, \lambda, h)$ genügt einer Hamilton-Jacobi-Bellman (HJB) partiellen Integro-Differentialgleichung (PIDE).

D. Numerische Lösung

Da keine analytische Lösung existiert, wird ein Method-of-Lines-Verfahren verwendet:

Diskretisierung des Zustandsraums $(\lambda, h)$ .
Lösung des resultierenden Systems von gewöhnlichen Differentialgleichungen (ODEs) mittels eines impliziten Runge-Kutta-Verfahrens (Radau IIA).
Berechnung der optimalen Steuerstrategie $z^*_t$ basierend auf dem Gradienten der Wertefunktion.

3. Wichtige Beiträge

Erweiterung des Gordon-Loeb-Modells: Erstmalige Integration eines Hawkes-Prozesses in ein dynamisches Investitionsmodell für Cybersecurity. Dies ermöglicht die explizite Modellierung von Angriffsklustern.
Adaptive Echtzeit-Strategie: Herleitung einer optimalen Investitionsrate $z^*_t$ , die in Echtzeit auf die aktuelle Intensität $\lambda_t$ reagiert. Im Gegensatz zu statischen Modellen kann die Strategie bei einem Anstieg der Bedrohungslage (hohe $\lambda_t$ ) sofort die Investition erhöhen.
Vergleich mit Benchmark-Modellen:
- Gegenüberstellung mit statischen Konstantstrategien.
- Gegenüberstellung mit Poisson-Modellen (sowohl mit gleicher Basisintensität als auch mit gleicher erwarteter Gesamtanzahl an Angriffen).
Versicherungsimplikationen: Analyse der Auswirkungen der optimalen Prävention auf Cyber-Versicherungsprämien unter Verwendung des Standardabweichungsprinzips.

4. Ergebnisse der numerischen Analyse

Die Simulationen basieren auf realistischen Parametern (ca. 60 Angriffe pro Jahr, Verschleißrate $\rho=0.2$ ).

Einfluss der Clusterbildung ( $\xi$ ): Bei stärkerer Clusterbildung (kleineres $\xi$ ) sind sowohl der erwartete Nutzen als auch die optimalen Investitionsraten signifikant höher. Organisationen müssen proaktiver investieren, um das Risiko kumulativer Verluste durch Angriffsreihen zu minimieren.
Überlegenheit der dynamischen Strategie:
- Die adaptive Hawkes-basierte Strategie übertrifft die beste konstante Investitionsstrategie um ca. 9–15% (abhängig vom aktuellen Sicherheitsniveau).
- Der Vorteil ist besonders groß bei niedrigen Sicherheitsniveaus und hohen Bedrohungen.
Vergleich mit Poisson-Modellen:
- Selbst wenn ein Poisson-Modell so kalibriert ist, dass es die gleiche erwartete Anzahl an Angriffen hat wie der Hawkes-Prozess, führt es zu suboptimalen Entscheidungen.
- Der Hawkes-Ansatz erkennt die Gefahr von "Angriffswellen" und erhöht die Investition, wenn die Intensität $\lambda_t$ kurzfristig stark ansteigt. Das Poisson-Modell reagiert nicht auf diese lokalen Spitzen.
- Die relative Gewinnsteigerung durch die Berücksichtigung der Clusterdynamik liegt bei ca. 0,04% bis 11,4% gegenüber Poisson-Benchmarks, wobei der Vorteil in Hochrisikosituationen (hohe $\lambda$ ) zunimmt.
Anpassungsverhalten: Die optimale Strategie zeigt ein klares "Reagieren": Wenn $\lambda_t$ einen Schwellenwert überschreitet (z. B. während eines Clusters), steigt die Investitionsrate $z^*_t$ drastisch an, um die Sicherheitsstufe zu erhöhen, bevor weitere Angriffe eintreffen.

5. Bedeutung und Implikationen

Für Risikomanager: Die Ergebnisse unterstreichen, dass statische Budgetplanungen oder Modelle, die von unabhängigen Angriffen ausgehen, ineffizient sind. Investitionen müssen dynamisch an die aktuelle Bedrohungslage angepasst werden. Die Berücksichtigung von Cluster-Effekten ist entscheidend für eine kosteneffiziente Risikominderung.
Für die Cyber-Versicherung:
- Cybersecurity-Investitionen wirken als Selbstversicherung.
- Das Paper quantifiziert, dass eine optimale dynamische Präventionsstrategie die erwarteten Verluste um ca. 65% und die Verlustvolatilität um ca. 53–57% reduziert.
- Dies führt zu einer signifikanten Senkung der Versicherungsprämien (um ca. 63% im Vergleich zu keiner Investition).
- Die Modelle bieten eine quantitative Grundlage für die Differenzierung von Prämien basierend auf dem Präventionsniveau der Versicherungsnehmer (z. B. durch Audits oder Cyber-Scores).

Fazit: Die Arbeit liefert ein robustes mathematisches Framework, das die Realität von Cyber-Risiken (Clusterbildung, Dynamik) besser abbildet als bestehende Modelle. Sie demonstriert, dass adaptive, datengestützte Investitionsstrategien nicht nur den Schutz verbessern, sondern auch erhebliche ökonomische Vorteile und niedrigere Versicherungskosten bieten.