HMD 248, 43. Jahrgang, April 2006

Kosten & Nutzen von IT-Sicherheit

IT-Sicherheit: Systematik, aktuelle Probleme und Kosten-Nutzen-Betrachtungen

Hannes P. Lubich

Zusammenfassung

IT-Sicherheit ist für die Nutzung zuverlässiger, gut verfügbarer und vertrauenswürdiger IT-Systeme unerlässlich geworden. Da jedoch die Messung der erreichten IT-Sicherheit heute noch in den Kinderschuhen steckt, werden die ständig steigenden Aufwände dafür kaum hinterfragt, sondern - oft zähne-knirschend - im Sinne einer lästigen, aber unvermeidlichen Versicherungsprämie im IT-Budget beurteilt. Entscheidungsträger und Budgetverantwortliche werden zunehmend misstrauisch gegenüber den weiter steigenden Kosten und fragen sich, ob bereits zu viel für die ggf. falsche Art von IT-Sicherheit ausgegeben wird. Umgekehrt sind sich viele IT-Sicherheitsverantwortliche schmerzlich bewusst, dass sie ihre Aufwendungen und damit ihre unternehmensinterne Existenz angesichts statistisch weniger Schäden nur unzureichend rechtfertigen können - insbesondere das Ausbleiben von Schäden kann oft nicht glaubhaft auf die Effektivität der Investitionen in die IT-Sicherheit zurückgeführt werden. Der Beitrag stellt mögliche Maßnahmen zur Kostendämpfung bzw. Kostenrechtfertigung vor.

Inhaltsübersicht

  1. IT-Sicherheit - Systematik und Begriffe
  2. Aktuelle Problemstellungen
    1. IT-Sicherheit als Innovationsverhinderer
    2. Unzureichende Messung der Qualität der IT-Sicherheit
    3. Erhöhte Komplexität durch IT-Sicherheit
  3. Kosten der IT-Sicherheit
    1. Was treibt die Kostenkurve?
    2. Informationssicherheit: Präventive Kosten
    3. Informationssicherheit: Retrospektive Kosten
  4. Ermittlung der Kosten für IT-Sicherheit
    1. Berechnungsansätze: Versicherungsrechnung
    2. Berechnungsansätze: ROSI
    3. Empirische Kostenschätzungen
    4. Erfahrungswerte
  5. Maßnahmen zur Kostenoptimierung
    1. Kostendämpfende Maßnahmen
    2. Kostenrechtfertigende Maßnahmen
  6. Wege zu guter IT-Sicherheits-Governance
  7. Schlussfolgerungen
  8. Literatur