:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Security und Return on Investment Return on Security Investment (RoSI) als Entscheidungshilfe
IT-Sicherheit ist kein Selbstzweck, sondern entscheidend für den Geschäftserfolg. Der Return on Security Investment (RoSI) dient als Entscheidungshilfe bei Investitionen für die IT-Security. Doch nicht immer ist sie sinnvoll. Welche Probleme und Chancen sind zu bewerten?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Betrachtet man die Ausgaben für IT-Security unter betriebswirtschaftlichen Gesichtspunkten, so fällt es nicht ganz leicht einen Return on Investment (RoI) für Security-Investitionen zu errechnen. Zweifellos ist ein Sicherheitsbudget unerlässlich, doch welcher direkt bestimmbarer Nutzen entsteht dabei?
Das Problem liegt darin begründet, dass Security-Investitionen durch die Vermeidung von Schäden definiert werden, die Kennzahl des ROI jedoch nur zur Bestimmung eines unmittelbar geschaffenen Nutzens dient. Dies hat zur Folge, dass der Return on Security Investment (RoI) anders ermittelt werden muss.
Klassischer RoI und IT-Security
Mit dem RoI wird in der Betriebswirtschaftslehre eine Rentabilitätskennzahl für eine Investition beschrieben, die bei der Entscheidung helfen soll, ob es ökonomisch sinnvoll ist, sie überhaupt zu tätigten oder wie sich eine Investition bezüglich des Ertrags über die Zeit entwickelt hat. Demnach wird für die Berechnung des RoI der Ertrag (Nutzen der Investition) mit den Kosten der Anschaffung in Relation gesetzt.
Diese Definition des RoI funktioniert aber nur bei Investitionen, die positive monetäre Ergebnisse erwirtschaften, zum Beispiel wie Kosteneinsparungen oder Ertragssteigerungen. Investitionen für die IT-Security erhöhen weder direkt die Erträge, noch sorgen sie für eine sofortige Amortisation. Hier geht es vielmehr um ein geplantes Risiko-Management, das zur Schadenverhütung und Risikominderung beiträgt.
Die Kennzahl RoSI zielt dagegen darauf ab, festzustellen, wie hoch der Schaden sein könnte, der durch die IT-Security-Investition zu vermeiden wäre.
Wichtige Voraussetzungen
Zunächst einmal sollte der Security-Management-Prozess praktikabel sein und umsetzbare Ergebnisse liefern. Des Weiteren muss das verwendete Zahlenmaterial die Realität abbilden und möglichst einfach zu ermitteln sein.
Da für den RoSI-Koeffizienten mögliche Bedrohungen ins Kalkül gezogen werden müssen, sollten die Schätzungen möglichst genau ausfallen, damit er zu einer belastbaren Kennzahl wird, die sich für die IT-Security-Planung verwenden lässt. Dabei muss der Aufwand für die Sammlung der erforderlichen Daten natürlich dem angestrebten Nutzen entsprechen.
So ist es unablässig, die jeweiligen Sicherheitsrisiken genau zu verstehen und jeden Unternehmenswert, den die Maßnahme schützen soll, gut einzuschätzen. In diesem Zusammenhang hilft es nicht, die Daten von anderen Unternehmen zu übernehmen, ohne genau zu wissen, ob sie dem Geschäft oder den damit verbunden Risiken angemessen sind.
Probleme bei Risikoeinschätzungen
Bei der Identifizierung und Abwägung von Risiken müssen folgende Problemstellungen beachtet werden:
Die Erfassung von Risiken gestaltet sich schwierig, Daten sind nicht oder nur unvollständig vorhanden, dies macht Simulationen notwendig.
Die Entwicklung von Technik und Geschäftsprozessen verlaufen konträr zu den langfristigen Risikobetrachtungen.
Kommunikation und Psychologie der Betroffenen werden falsch eingeschätzt.
Das Management nimmt „IT-Security“ nicht ernst genug.
Die Arbeitsschritte „Prüfung“ und „Umsetzung“ werden häufig vertauscht.
Wichtige Sicherheitsfragen werden zu spät gestellt, da die Antworten unbequem sein könnten.
Nur eine neutrale Herangehensweise an die jeweiligen Risikofaktoren und deren objektiven Bewertung kann bei IT-Security-Investitionen gewährleisten, dass die Entscheidung, ob diese getätigt werden sollten oder nicht, richtig ist. Das heißt, in jedem Risiko-Modell müssen die Dimensionen Nutzwert und Risiko identifiziert und gegenübergestellt werden.
Dafür sollte das Unternehmen für möglichst realistische Ergebnisse im Kollektiv und bereichsübergreifend Entscheidungen treffen. Hierbei ist zu beachten, dass es sich bei diesen Daten meist um Erfahrungswerte und Simulations-Rechnungen handelt, die nicht zwingend der Realität entsprechen.
RoSI – eine quantitative Risikoanalyse
Im Gegensatz zum RoI basiert der RoSI auf der Einschätzung der spezifischen Risiken, die durch eine Investition in die Sicherheit neutralisiert werden sollen. Für die Berechnung der RoSI-Kennzahl müssen folgende Parameter betrachtet werden:
Die jährliche Verlusterwartung (Annualized Loss Expectancy, ALE). Damit ist der gesamte monetäre Verlust pro Jahr gemeint, der sich aus einem spezifischen Risiko ergibt, wenn eine Maßnahme nicht finanziert wird. Die ALE errechnet sich aus SLE x ARO.
Die Verlusterwartung im Einzelfall (Single Loss Expectancy, SLE). Dafür müssen die Daten und andere IT-Ressourcen zunächst inventarisiert werden. In der Folge werden die direkten Kosten (technische Untersuchungen, Strafen) und die indirekten Kosten (Geschäftsausfallzeiten, erhöhte Kundenabwanderungsrate) für Schäden bzw. Verluste aufaddiert.
Die jährliche Eintrittsrate (Annualized Rate of Occurrence, ARO). Dafür muss geschätzt werden, wie häufig innerhalb eines Jahres ein Störfall oder eine Bedrohung eintritt. Oftmals kann diese Zahl aus den Dokumentationen bisheriger Security-Vorfälle entnommen werden. Das heißt, bei einer Bedrohung innerhalb der letzten zehn Jahren beträgt die ARO 0,1. Treten die Bedrohungen hingegen rund zehn Mal in einem Jahr auf, ist die ARO zehn.
Die Minderungsquote (Mitigation Ratio) beschreibt den Prozentsatz der Risiken, die von der geplanten Investition abgedeckt wären. Dieser Prozentsatz beruht ebenfalls auf einer Einschätzung. Hier sollte auf einen selbst gewählten Bewertungs-Algorithmus zurückgegriffen werden. Obgleich dieser ungenau sein kann, besteht die Möglichkeit, zumindest im Zeitverlauf auf eine wiederholbare und konsistente Weise den relativen Wert verschiedener Investitionen zu vergleichen.
Der RoSI in Prozent der quantitativen Risikoanalyse errechnet sich nun folglich aus: ALE x Migitation Ratio - Cost of Solution : Cost of Solution.
(ID:46495011)
:quality(80)/p7i.vogel.de/wcms/2b/99/2b99e468e90b69a21d593494f2206725/0113872607.jpeg "Warum sollten Unternehmen in Backup für SaaS-Daten investieren und warum gerade jetzt? (Bild: jackykids - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")