Kein Unternehmen und auch keine Behörde kann es sich mehr leisten, Daten ungeschützt zu lassen. Allerdings sind die Kosten, die dieser Schutz verursacht, für die meisten Sicherheitsverantwortlichen nicht leicht zu verargumentieren. Jeder weiß zwar, dass diese Ausgaben notwendig sind, allerdings kann niemand so wirklich die Kosten für ein entsprechendes Sicherheitsmanagement im Voraus beziffern, noch im Nachhinein feststellen, ob sich die Ausgaben dafür amortisiert haben. Angesichts knapper werdender Budgets und einer allgegenwärtigen Kosten-Nutzen-Rechnung in der IT, wird immer öfter die Frage nach der Wirtschaftlichkeit von Sicherheitsmaßnahmen offen gestellt.
In dieser Arbeit werden Wirtschaftlichkeitsaspekte des IT-Sicherheitsmanagements auf Basis ALE/RoSI aufgezeigt. Ausgehend von einer Analyse des Themas wird anhand eines konkreten Zahlenbeispiels aus dem IT-Security-Bereich dargestellt, wie sich ein IT-Sicherheitsmanagement in eine Kosten-/Nutzenrechnung integrieren und sich dessen Rentabilität belegen lässt. Im Anschluss daran folgen eine Bewertung der verwendeten Methode sowie ein Ausblick auf weitere mögliche Vorgehensweisen.
Inhaltsverzeichnis
1 Einführung
2 IT-Sicherheitsmanagement
2.1 Begriffsverständnis und Einordnung
2.2 Bedeutung
2.3 Nutzen
3 Wirtschaftlichkeitsaspekte
3.1 Allgemeine Betrachtung
3.2 Die Quantifizierungsproblematik
3.3 Annual Loss Expectancy (ALE)
3.4 Weiterentwicklung des ALE
3.5 Return on Security Investment (RoSI)
3.6 RoSI – Bewertung
4 Fazit
Zielsetzung und Themen
Die Arbeit verfolgt das Ziel, die Wirtschaftlichkeitsaspekte des IT-Sicherheitsmanagements zu untersuchen und methodisch greifbar zu machen. Im Kern steht die Forschungsfrage, wie durch quantitative Modelle wie die Annual Loss Expectancy (ALE) und den Return on Security Investment (RoSI) der ökonomische Nutzen von Sicherheitsinvestitionen objektiv belegt werden kann, um von rein intuitiven Entscheidungen zu einer fundierten betriebswirtschaftlichen Bewertung zu gelangen.
- Grundlagen des IT-Sicherheitsmanagements und dessen strategische Bedeutung.
- Herausforderungen bei der Quantifizierung von Sicherheitsrisiken und Kosten.
- Berechnungsmethodik der Annual Loss Expectancy (ALE) zur monetären Risikobewertung.
- Anwendung des Return on Security Investment (RoSI) zur Effizienzanalyse von Schutzmaßnahmen.
- Kritische Würdigung der mathematischen Modelle in der praktischen Unternehmensanwendung.
Auszug aus dem Buch
3.1 Allgemeine Betrachtung
Ein besonderer Aspekt, der bei Wirtschaftlichkeitsbetrachtungen von IT Sicherheitsmaßnahmen berücksichtigt werden muss, ist die Tatsache, dass die Risikominimierung nicht linear mit dem Investment steigt. Die folgende Abbildung verdeutlicht dies:
Hieraus kann geschlussfolgert werden, dass das Pareto-Prinzip (80/20-Regel) auch für die IT Sicherheit gilt. Anders gesagt: mit 20% der möglichen IT Sicherheitsmaßnahmen können 80% Schutz erreicht werden - mit relativ geringem Aufwand kann also ein vernünftiger Grundschutz hergestellt werden. Unter Einbeziehung von IT Sicherheitsstandards wie bspw. der ISO 27001 ist auch Hofmann der Ansicht, dass sich IT-Sicherheitsmanagement mit weniger Ressourcenaufwand etablieren und aufrechterhalten lässt.
Ein weiterer Schluss, welcher aus obiger Darstellung gezogen werden kann: Investitionen über diesen Grundschutz hinaus sind im Verhältnis zur dadurch gewonnenen Sicherheit unverhältnismäßig höher. Die Maßnahmen werden gar unwirtschaftlich, wenn sie den Punkt P überschreiten, da der in Summe auftretende Schaden kleiner als die zu dessen Verhinderung eingesetzten Mittel sind. Dennoch kann dieses Investment erforderlich sein, z.B. durch gesetzliche Notwendigkeiten, Gründe im militärischen Bereich, zum Schutz der Gesellschaft, zum Schutz von Leib und Leben, aus Angst oder aus übertriebenem Sicherheitsgefühl.
Unabhängig von den folgenden Berechnungsmöglichkeiten und Beispielen muss jedoch klar sein, dass ein hundertprozentiges Maß an Sicherheit nur theoretisch existiert, da die ihr zugrunde liegende Komplexität niemals gänzlich beherrschbar ist. Der Aufwand für die Steigerung der Sicherheit nimmt, wenn man alle möglichen Ereignisse berücksichtigen möchte, exponentiell zu, aber die Sicherheit selbst nähert sich lediglich asymptotisch an 100% an - egal, wie hoch das eingesetzte Budget ist. Das Ziel muss daher sein, das Restrisiko auf ein akzeptables Niveau zu senken.
Zusammenfassung der Kapitel
1 Einführung: Die Einleitung beleuchtet die Notwendigkeit von IT-Sicherheitsmanagement in der vernetzten Welt und stellt die Herausforderung dar, Sicherheitsausgaben wirtschaftlich zu begründen.
2 IT-Sicherheitsmanagement: Dieses Kapitel definiert den Begriff, ordnet das Management in die Unternehmensstrukturen ein und erläutert dessen zentrale Bedeutung sowie Nutzenpotentiale.
3 Wirtschaftlichkeitsaspekte: Der Hauptteil analysiert das Verhältnis von Sicherheitsrisiken zu Investitionen und führt quantifizierende Berechnungsmodelle wie ALE und RoSI anhand von Praxisbeispielen ein.
4 Fazit: Die Schlussbetrachtung resümiert, dass mathematische Modelle eine wertvolle Unterstützung für objektive Investitionsentscheidungen bieten, aber dennoch strategisch und mit Augenmaß eingesetzt werden müssen.
Schlüsselwörter
IT-Sicherheitsmanagement, Wirtschaftlichkeit, Risikominimierung, Annual Loss Expectancy, ALE, Return on Security Investment, RoSI, Informationssicherheit, Kosten-Nutzen-Analyse, Pareto-Prinzip, ISO 27001, Sicherheitsrisiko, Investitionsentscheidung, Quantifizierung, Schadensereignis.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit untersucht die Herausforderung, die Wirtschaftlichkeit von Investitionen in das IT-Sicherheitsmanagement zu bewerten und durch objektive Zahlen belegbar zu machen.
Was sind die zentralen Themenfelder?
Die zentralen Felder sind die strategische Bedeutung der IT-Sicherheit, die mathematische Risikobewertung durch Kennzahlen sowie der Kosten-Nutzen-Vergleich von Sicherheitsinvestitionen.
Welches primäre Ziel verfolgt die Arbeit?
Das Ziel ist es, Methoden aufzuzeigen, mit denen Sicherheitsverantwortliche den Return on Investment (RoSI) von IT-Sicherheitsmaßnahmen kalkulieren können, anstatt sich nur auf subjektive Einschätzungen zu verlassen.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit nutzt die Analyse und Anwendung quantitativer betriebswirtschaftlicher Kennzahlen (ALE und RoSI), illustriert durch konkrete Rechenbeispiele und einen Vergleich mit Benchmarks.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil befasst sich detailliert mit der Quantifizierungsproblematik, den Formeln zur Berechnung der jährlichen Schadenserwartung sowie der Bewertung des RoSI und seiner Vor- und Nachteile.
Welche Schlüsselwörter charakterisieren die Arbeit am besten?
Die wichtigsten Begriffe sind IT-Sicherheitsmanagement, Wirtschaftlichkeit, ALE, RoSI und die Quantifizierung von Sicherheitsrisiken.
Warum ist das Pareto-Prinzip für die IT-Sicherheit relevant?
Es verdeutlicht, dass bereits mit etwa 20 Prozent des Aufwands 80 Prozent des Sicherheitsniveaus erreicht werden können, was einen effizienten Grundschutz ermöglicht.
Was unterscheidet den RoSI-Ansatz von der einfachen Risikoanalyse?
Im Gegensatz zu rein risikobasierten Modellen kalkuliert der RoSI explizit die Kosten der Sicherheitsmaßnahmen ein, um deren Rentabilität und Effizienz messbar zu machen.
Welche Schwächen der quantitativen Modelle werden kritisiert?
Die Hauptkritik besteht darin, dass die Berechnungen oft auf groben Schätzungen beruhen und es keinen universellen Standard für die Bewertung finanzieller IT-Risiken gibt.
- Quote paper
- Eduard Fuchs (Author), 2010, Wirtschaftlichkeitsaspekte von IT-Sicherheitsmanagement, Munich, GRIN Verlag, https://www.grin.com/document/150058
