Suchen

IT-Security und Return on Investment Return on Security Investment (RoSI) als Entscheidungshilfe

| Autor / Redakteur: Dipl. Betriebswirt Otto Geißler / Peter Schmitz

IT-Sicherheit ist kein Selbstzweck, sondern entscheidend für den Geschäftserfolg. Der Return on Security Investment (RoSI) dient als Entscheidungshilfe bei Investitionen für die IT-Security. Doch nicht immer ist sie sinnvoll. Welche Probleme und Chancen sind zu bewerten?

Die RoSI-Kennzahl sollte vor der zu tätigenden Investition errechnet und regelmäßig für bestehende Investitionen evaluiert werden.
Die RoSI-Kennzahl sollte vor der zu tätigenden Investition errechnet und regelmäßig für bestehende Investitionen evaluiert werden.
(Bild: gemeinfrei / Pixabay )

Betrachtet man die Ausgaben für IT-Security unter betriebswirtschaftlichen Gesichtspunkten, so fällt es nicht ganz leicht einen Return on Investment (RoI) für Security-Investitionen zu errechnen. Zweifellos ist ein Sicherheitsbudget unerlässlich, doch welcher direkt bestimmbarer Nutzen entsteht dabei?

Das Problem liegt darin begründet, dass Security-Investitionen durch die Vermeidung von Schäden definiert werden, die Kennzahl des ROI jedoch nur zur Bestimmung eines unmittelbar geschaffenen Nutzens dient. Dies hat zur Folge, dass der Return on Security Investment (RoI) anders ermittelt werden muss.

Klassischer RoI und IT-Security

Mit dem RoI wird in der Betriebswirtschaftslehre eine Rentabilitätskennzahl für eine Investition beschrieben, die bei der Entscheidung helfen soll, ob es ökonomisch sinnvoll ist, sie überhaupt zu tätigten oder wie sich eine Investition bezüglich des Ertrags über die Zeit entwickelt hat. Demnach wird für die Berechnung des RoI der Ertrag (Nutzen der Investition) mit den Kosten der Anschaffung in Relation gesetzt.

Diese Definition des RoI funktioniert aber nur bei Investitionen, die positive monetäre Ergebnisse erwirtschaften, zum Beispiel wie Kosteneinsparungen oder Ertragssteigerungen. Investitionen für die IT-Security erhöhen weder direkt die Erträge, noch sorgen sie für eine sofortige Amortisation. Hier geht es vielmehr um ein geplantes Risiko-Management, das zur Schadenverhütung und Risikominderung beiträgt.

Die Kennzahl RoSI zielt dagegen darauf ab, festzustellen, wie hoch der Schaden sein könnte, der durch die IT-Security-Investition zu vermeiden wäre.

Wichtige Voraussetzungen

Zunächst einmal sollte der Security-Management-Prozess praktikabel sein und umsetzbare Ergebnisse liefern. Des Weiteren muss das verwendete Zahlenmaterial die Realität abbilden und möglichst einfach zu ermitteln sein.

Da für den RoSI-Koeffizienten mögliche Bedrohungen ins Kalkül gezogen werden müssen, sollten die Schätzungen möglichst genau ausfallen, damit er zu einer belastbaren Kennzahl wird, die sich für die IT-Security-Planung verwenden lässt. Dabei muss der Aufwand für die Sammlung der erforderlichen Daten natürlich dem angestrebten Nutzen entsprechen.

So ist es unablässig, die jeweiligen Sicherheitsrisiken genau zu verstehen und jeden Unternehmenswert, den die Maßnahme schützen soll, gut einzuschätzen. In diesem Zusammenhang hilft es nicht, die Daten von anderen Unternehmen zu übernehmen, ohne genau zu wissen, ob sie dem Geschäft oder den damit verbunden Risiken angemessen sind.

Probleme bei Risikoeinschätzungen

Bei der Identifizierung und Abwägung von Risiken müssen folgende Problemstellungen beachtet werden:

Die Erfassung von Risiken gestaltet sich schwierig, Daten sind nicht oder nur unvollständig vorhanden, dies macht Simulationen notwendig.

Die Entwicklung von Technik und Geschäftsprozessen verlaufen konträr zu den langfristigen Risikobetrachtungen.

Kommunikation und Psychologie der Betroffenen werden falsch eingeschätzt.

Das Management nimmt „IT-Security“ nicht ernst genug.

Die Arbeitsschritte „Prüfung“ und „Umsetzung“ werden häufig vertauscht.

Wichtige Sicherheitsfragen werden zu spät gestellt, da die Antworten unbequem sein könnten.

Nur eine neutrale Herangehensweise an die jeweiligen Risikofaktoren und deren objektiven Bewertung kann bei IT-Security-Investitionen gewährleisten, dass die Entscheidung, ob diese getätigt werden sollten oder nicht, richtig ist. Das heißt, in jedem Risiko-Modell müssen die Dimensionen Nutzwert und Risiko identifiziert und gegenübergestellt werden.

Dafür sollte das Unternehmen für möglichst realistische Ergebnisse im Kollektiv und bereichsübergreifend Entscheidungen treffen. Hierbei ist zu beachten, dass es sich bei diesen Daten meist um Erfahrungswerte und Simulations-Rechnungen handelt, die nicht zwingend der Realität entsprechen.

RoSI – eine quantitative Risikoanalyse

Im Gegensatz zum RoI basiert der RoSI auf der Einschätzung der spezifischen Risiken, die durch eine Investition in die Sicherheit neutralisiert werden sollen. Für die Berechnung der RoSI-Kennzahl müssen folgende Parameter betrachtet werden:

Die jährliche Verlusterwartung (Annualized Loss Expectancy, ALE). Damit ist der gesamte monetäre Verlust pro Jahr gemeint, der sich aus einem spezifischen Risiko ergibt, wenn eine Maßnahme nicht finanziert wird. Die ALE errechnet sich aus SLE x ARO.

Die Verlusterwartung im Einzelfall (Single Loss Expectancy, SLE). Dafür müssen die Daten und andere IT-Ressourcen zunächst inventarisiert werden. In der Folge werden die direkten Kosten (technische Untersuchungen, Strafen) und die indirekten Kosten (Geschäftsausfallzeiten, erhöhte Kundenabwanderungsrate) für Schäden bzw. Verluste aufaddiert.

Die jährliche Eintrittsrate (Annualized Rate of Occurrence, ARO). Dafür muss geschätzt werden, wie häufig innerhalb eines Jahres ein Störfall oder eine Bedrohung eintritt. Oftmals kann diese Zahl aus den Dokumentationen bisheriger Security-Vorfälle entnommen werden. Das heißt, bei einer Bedrohung innerhalb der letzten zehn Jahren beträgt die ARO 0,1. Treten die Bedrohungen hingegen rund zehn Mal in einem Jahr auf, ist die ARO zehn.

Die Minderungsquote (Mitigation Ratio) beschreibt den Prozentsatz der Risiken, die von der geplanten Investition abgedeckt wären. Dieser Prozentsatz beruht ebenfalls auf einer Einschätzung. Hier sollte auf einen selbst gewählten Bewertungs-Algorithmus zurückgegriffen werden. Obgleich dieser ungenau sein kann, besteht die Möglichkeit, zumindest im Zeitverlauf auf eine wiederholbare und konsistente Weise den relativen Wert verschiedener Investitionen zu vergleichen.

Der RoSI in Prozent der quantitativen Risikoanalyse errechnet sich nun folglich aus: ALE x Migitation Ratio - Cost of Solution : Cost of Solution.

(ID:46495011)

Über den Autor