HMD 248, 43. Jahrgang, April 2006

Kosten & Nutzen von IT-Sicherheit

Haben Sicherheitsinvestitionen eine Rendite?

Sven Müßig

Zusammenfassung

Unternehmen mit Verbindung zum Internet sind einer großen Anzahl von Sicherheitsrisiken ausgesetzt. Investitionen in Sicherheit müssen aber heutzutage - genau wie andere Investitionen - ihren Nutzen aufzeigen. Die dazu verwendbaren Methoden, mit denen Sicherheitsstärke in Abhängigkeit zu Umsatzgenerierung, der Strategie eines Unternehmens oder wettbewerblichen Vorteilen gesetzt werden kann, sind jedoch noch nicht praxistauglich. Viele der Methoden basieren auf der Schätzung von Eintrittswahrscheinlichkeiten und Schadenskosten von Sicherheitsrisiken, sind zu komplex oder nur für Spezialfälle gültig. Aus diesem Grund wird Sicherheit häufig immer noch als purer Kostenfaktor und Hemmnis gesehen und nicht als Chance und Möglichkeit, um Wettbewerbsvorteile zu erlangen. Zusammenfassend lässt sich empfehlen, Risikomanagement als Instrument der Kostenkontrolle zu verwenden und mit Hilfe von ROSI-Methoden (Return on Security Investment) die Auswahl der geeigneten Sicherheitsmaßnahmen zu unterstützen.

Inhaltsübersicht

  1. Sicherheit und Unternehmen
    1. Sicherheit
    2. Messbarkeit von Sicherheit
    3. Risikomanagement
  2. Aktuelle Ansätze zum Messen von Sicherheit
    1. Risikovermeidung und -akzeptierung
    2. Ökonomische Konzepte
    3. Annual Loss Expectancy
    4. Return on Investment
    5. Szenarioanalyse
    6. Sicherheitsstärke
    7. Haftung
    8. Versicherungen
  3. Praxisansätze
  4. Literatur