Die Gefahr massiver wirtschaftlicher Schäden in Folge von IT-Risiken erhöhen den Handlungsdruck, durch aktives IT-Sicherheitsmanagement Schäden verhindern und das Restrisiko minimieren. Die Verantwortung beschränkt sich keineswegs auf die jeweiligen IT-Fachabteilungen. Vielmehr gilt: Sicherheit ist Chefsache.

Das Thema IT-Security, verlangt Aufgrund seiner Brisanz nach strategischen Entscheidungen auf höchster Managementebene, schließlich geht es um wichtige Informationen und Daten. Unternehmen müssen im Bereich der IT-Security eine langfristige Strategie verfolgen, die an den Geschäftszielen ausgerichtet ist.
RoSI (Return on Security Investment) ist ein praktikables Verfahren das eine Rentabilitätsberechnung ermöglicht, und damit die notwendigen Argumentationsgrundlagen schafft, Vergleiche ermöglicht, Unternehmen bei der Investitionsentscheidungen unterstützt alle qualitative und quantitative Aspekte dokumentiert und letztendlich von den leidigen Diskussion entlastet.

IT- Systeme werden anhand ihres Sicherheitsbedarfs in drei Klassen aufgeteilt. Jede Klasse hat eine eigene „Methode“ um den RoSI zu berechnen.

- Kleiner bzw. mittlerer Schutzbedarf Grundschutzhandbuch (deutscher „Best-Practice“)
- Hoher Schutzbedarf Qualitative Risikoanalyse mittels Simulationskonzepten
- Sehr hoher Schutzbedarf Quantitative Risikoanalyse mittels ALE- Berechnung

RoSI bedeutet, dass bei der Betrachtung aller Kosten (auch die, die durch Schäden verursacht werden) aufgezeigt werden kann, ob und wann ein Investment in IT-Sicherheitsmaßnahmen zur einem Return on Investment führt oder nicht. Diese Kosten beschreiben alle Aufwendungen, die notwendig sind, um bei einem aufgetretenen Schaden wieder den ursprünglichen Zustand herzustellen. Sie werden in die Gesamtkosten der geschäftlichen Tätigkeiten mit einbezogen. Unabhängig vom finanziellen Schaden ist zu betrachten wie groß ist der Image-Schaden des Unternehmens gegenüber den Kunden.
IT-Manager, die ihre Projekte im Unternehmen darstellen müssen, sind für jedes Zahlenargument dankbar, da sei es logisch, dass das Thema Return on Investment auch auf die IT-Sicherheit ausgeweitet wird. Es gehört zum Handwerkszeug jedes IT-Beraters, den Kunden zu belegen, dass sich ihre Investitionen rechnen. Um RoSI-Rechnungen nach dem Muster der University of Idaho anstellen zu können, müssen alle sicherheitsrelevanten Daten dokumentiert und interpretiert werden. Nur so lassen sich Anforderungen, Kosten und Nutzen verlässlich darstellen. Nach bisheriger Erfahrung ist ein Investitionsvolumen von fünf Prozent der zu erwartenden Schadenhöhe notwendig. Dies gelte für einmalige Investitionen. Bei den Schadenszenarien ist generell jedoch auch zu beachten, wie sich die Schäden negativ auf die Bilanz oder das Image auswirken.
Kosten-Nutzen-Rechnungen von IT-Sicherheitsausgaben seien dort am weitesten verbreitet, wo die IT zur Kernkompetenz gehört. Gefordert sei einfach der optimale Schutz. Vor jeder RoSI-Berechnung müssen die Levels von Risiko und Sicherheit definiert werden. Ein aktives Risk-Management könne solchen Berechnungen zusätzlich eine stärkere Basis verschaffen. Sicherheit ist eine auf Erfahrungen begründete Annahme, von gewissen Bedrohungen nicht vorrangig getroffen zu werden. Fast alle Firmen haben Angst vor einem längeren Ausfall ihres Computernetzes, haben trotzdem sinkende IT-Budgets. Ein Grund: IT-Sicherheit wird meist nur auf der Ausgabenseite verbucht. Der wirtschaftliche Return on Security-Investment (RoSI) wird kaum berechnet und nur die wenigsten Betriebe sehen einen Zusammenhang zwischen Gewinn und IT-Sicherheit.
Die globale Arbeitsweise im Netzverbund mit übergreifenden Teams und die stetige Veränderungen der Organisation, Abläufen und Technologien führt zur Erhöhung der Aufwände und Komplexität. Ziel der IT-Sicherheit ist es, die Vertraulichkeit und Integrität des geistigen Eigentums in Form der Daten zu schützen und deren notwendige Verfügbarkeit zu gewährleisten.

Durch einen zielorientierten Ansatz können dabei die vorhandenen Risiken an den für das Unternehmen kritischen Stellen aufgezeigt und entsprechende Handlungsgrundsätze gegeben werden.

Sicherheit muss handhabbar sein
- durch Transparenz für Administration
- Sicherheitslösungen müssen zusammenpassen
- Informationen müssen an einer Stelle zusammenlaufen, Konsolidierung
- An der richtigen Stelle in die Sicherheit investieren
- Welche Prozesse sind betroffen?
- Die Sicherheit an Stellen mit hoher Priorität verbessern
- Pragmatischer Ansatz im Störungsfall, Zeit als Kostenfaktor
- Sicherheit ist eine andauernde Herausforderung
- Sensibilisierung der Mitarbeiter anhand regelmäßige Workshops
- Klare Verantwortlichkeiten schaffen regelmäßige Kontrollen
- Qualitative und quantitative Vorgaben des Managements

Besseres IT-Management durch strategische Analysen: Ausgangspunkt der Betrachtung sind die Kernprozesse, welche die Wertschöpfung des Unternehmens und seine Einzigartigkeit am Markt definieren. Moderne Geschäftsprozesse und Produktionsprozesse haben viele interne und externe Abhängigkeiten und sind von vielfältigen Ausfallrisiken bedroht. Mit Hilfe der Business Impact Analyse können Wirkungen von Krisenszenarien auf die Geschäftsprozesse analysiert und kritische Infrastrukturen sowie deren Abhängigkeiten untereinander aufgezeigt werden.

Anhand von Business Impact Maps unterstützen IT-Consulting Spezialisten, wie die Firma Globalpers GmbH, mit Sitz in Markt Inderdorf, Unternehmen bei der Analyse von unternehmenswichtigen Geschäftsprozessen und Infrastrukturen. Die Ergebnisse der Business Impact Analyse sind wichtige Informationen für die Ausarbeitung von Maßnahmenkataloge zur Förderung der Unternehmenssicherheit und liefern wichtige Vorgaben für die zukünftige Strategie des Unternehmens.

Leider wird IT- Sicherheit oft als notwendiges Übel betrachtet. Daher muss der Einführung von RoSI eine strategische Entscheidung zugrunde liegen. Wenn wir in der Lage sind, Schaden nicht nur zu qualifizieren, sondern zu quantifizieren, dann können wir, wie aufgezeigt wurde, ein Return of Security Investment – RoSI berechnen.

Wo du sicher bist, setze Fragezeichen.
Zitat Wieslaw Brudzinski (1920)

Diesen Artikel weiterempfehlen: