HMD 248, 43. Jahrgang, April 2006

Kosten & Nutzen von IT-Sicherheit

Über die Ökonomie der IT-Sicherheit

Betrachtungen zum Thema "Return on Security Investment"

Dirk Schadt

Zusammenfassung

In der Vergangenheit wurden Investitionen in die IT- Sicherheit oft als "Versicherungsprämie" zum Schutz vor Schäden und Missbrauch der Computersysteme betrachtet. Mittlerweile fließt aber nicht nur die exakte Kalkulation der Kosten, sondern auch eine Abwägung des Nutzens dieser Investitionen in Wirtschaftlichkeitsbetrachtungen ein. Neben der Methode "Return on Security Investment" (ROSI) der Universität Idaho beginnen sich dafür mittlerweile auch praktikablere Verfahren zu etablieren. Die Risikomatrix sowie die Technik der Simulation sind zwei brauchbare Alternativen zu ROSI bei der Risikoanalyse.

Bei der Umsetzung wirtschaftlicher IT-Sicherheitsmaßnahmen treten typische Probleme auf, die insbesondere durch die Dynamik der technischen und organisatorischen Entwicklung evoziert werden. Aber auch Fragen der Prüfung und der Sensibilisierung von Mitarbeitern sind zu klären. Letztlich ist eine professionelle Behandlung des sensiblen Themas "Sicherheit" gefordert, die ja eine Frage der Beherrschung des Unternehmens, seiner Organisation und seiner Infrastruktur darstellt.

Denn eines bleibt auch nach der besten Wirtschaftlichkeitsbetrachtung gewiss: Sicherheit lässt sich nicht fair abrechnen.

Inhaltsübersicht

  1. Einleitung
  2. Ursachen für Mängel in der IT-Sicherheit
  3. Die Organisation der IT-Sicherheit
    1. Refinanzierung der Investitionen in IT-Sicherheit
    2. Die Abrechnungsproblematik
    3. IT-Sicherheit - eine Aufgabe der Organisation
    4. Das Zonenmodell - eine flexible Basis
  4. Wirtschaftlichkeitsbetrachtungen
    1. Der Return on Invest
    2. Kosten senkende Sicherheitsmaßnahmen
    3. Beispiel: Selbstverwaltung der User Accounts
    4. Beispiel: Single-Sign-on (SSO)
    5. Risikominimierung: Geldwerter Vorteil fraglich
    6. ROSI: Return on Security Investment
    7. Die Schwächen von ROSI
  5. Brauchbare Alternativen bei der Risikoanalyse
    1. Die Risikomatrix
    2. Die Technik der Simulation
  6. Probleme der Praxis
  7. Prüfung und Umsetzung der Sicherheitsmaßnahmen
  8. Fazit
  9. Literatur