IT-Kosten contra Gefahren aus dem Netz
Angesichts immer wiederkehrender Wurm- und Virenwarnungen fällt Firmenchefs ein Bekenntnis zur IT-Sicherheit leicht.
„Doch in Zeiten sinkender IT-Budgets fällt niemand mehr auf der Basis von Unsicherheit und Angst eine Investitionsentscheidung“, sagte Barbara Meyer von TC-Trustcenter anlässlich
der Netsikom-Fachkonferenz zur IT-Sicherheit in Köln.
Die Frage ist nicht, wie hoch das Risiko ist, sondern wie wirtschaftlich eine Investition in IT-Sicherheit ist. Seit etwa einem halben Jahr argumentiert Meyer nicht mehr mit Gefahren, sondern mit Wirtschaftlichkeit. Angelehnt an die Return-on-Investment-Rechnung (ROI) kalkuliert sie mit der Return-on-Security-Investment-Rechnung (ROSI) mögliche Vor- und Nachteile.
ROSI stellt Entwicklungs-, System- und Organisationskosten möglichen Erträgen gegenüber, die erst durch ein mehr an IT-Sicherheit ermöglicht werden. Höhere Umsätze können beispielsweise durch eine verbesserte Verfügbarkeit der Systeme, durch Transaktionshäufigkeit, durch neue Geschäftsmöglichkeiten, aber auch durch einen erhöhte Kundenbindung erzielt werden. Kosten können hingegen etwa beim First-Level-Support, der Arbeit der Systemadministratoren und beim Systemmanagement eingespart werden. Schließlich können auch Kosten im Marketing, der Öffentlichkeitsarbeit oder in der Rechtsabteilung vermieden werden, die entstehen, wenn ein Dienst nicht zuverlässig läuft.
Drohende Schäden müssen Firmen danach bewerten, wie abhängig ihre Geschäftsprozesse von der Verfügbarkeit einzelner Komponenten sind. Auch die Schadensdauer spielt hierbei eine wichtige Rolle. Wie wahrscheinlich der Schadensfall ist, richtet sich etwa nach den Vorsorgemaßnahmen wie einem Backup-Verfahren. Auch Benchmark-Zahlen helfen bei der Abschätzung: Beim Umstieg einer Onlinehandel-Firma von Kreditkarte auf Bankensignaturkarte, muss sie die Verluste aus Kreditkartenbetrug berücksichtigen. So fanden 2001 allein in Deutschland 50 000 einschlägige Betrugsfälle statt, die Schäden zwischen 21 Mio. € und 102 Mio. € verursachten. Eine Bankensignaturkarte hätte dies verhindert.
Die Einführung eines zertifikatsbasierten Mitarbeiterausweises beispielsweise bietet mehr Sicherheit durch eine prozessorientierte Steuerung aller Zugriffsrechte. Immerhin werden etwa 80 % der IT-Schäden laut einer Studie der Unternehmensberatung Pricewaterhouse-Coopers nicht durch Viren oder Hacker ausgelöst, sondern durch interne Diebstähle und Manipulationen der eigenen Mitarbeiter. Entsprechend der Befugnis einzelner Mitarbeiter können Firmen auch Einkaufsabläufe festlegen und automatisieren. Die Kosten für eine einzelne konventionelle Beschaffung über die gesamte Prozesskette hinweg lagen etwa bei Gruner + Jahr 2001 zwischen 40 € und 200 €, durch E-Procurement sanken sie auf 15 € bis 25 €.
Laut Infonetics Research Inc. ergeben sich beim Einsatz virtueller privater Netzwerke (VPNs) auf Basis von Public-Key-Infrastrukturen sogar Kostenvorteile zwischen 20 % und 47 %. Durch unternehmensweite Wissensmanagementsysteme und Meta-Directories können immense Produktivitätszuwächse erreicht werden.
Für IT-Entscheider dient ROSI in erster Linie unternehmensintern als Argumentationshilfe, wenn es um die Bewertung eines konkreten Projekts geht. Dennoch birgt ROSI auch Nachteile, da viele Zahlen auf Schätzungen beruhen. Viele Vorteile werden zudem nicht direkt Cashflow-wirksam und strategische Argumente für IT-Sicherheit werden eher vernachlässigt.
C. SCHULZKI-HADDOUTI
Ein Beitrag von:
