IT-Sicherheit 28.02.2003, 18:24 Uhr

IT-Kosten contra Gefahren aus dem Netz

Angesichts immer wiederkehrender Wurm- und Virenwarnungen fällt Firmenchefs ein Bekenntnis zur IT-Sicherheit leicht.

„Doch in Zeiten sinkender IT-Budgets fällt niemand mehr auf der Basis von Unsicherheit und Angst eine Investitionsentscheidung“, sagte Barbara Meyer von TC-Trustcenter anlässlich
der Netsikom-Fachkonferenz zur IT-Sicherheit in Köln.
Die Frage ist nicht, wie hoch das Risiko ist, sondern wie wirtschaftlich eine Investition in IT-Sicherheit ist. Seit etwa einem halben Jahr argumentiert Meyer nicht mehr mit Gefahren, sondern mit Wirtschaftlichkeit. Angelehnt an die Return-on-Investment-Rechnung (ROI) kalkuliert sie mit der Return-on-Security-Investment-Rechnung (ROSI) mögliche Vor- und Nachteile.
ROSI stellt Entwicklungs-, System- und Organisationskosten möglichen Erträgen gegenüber, die erst durch ein mehr an IT-Sicherheit ermöglicht werden. Höhere Umsätze können beispielsweise durch eine verbesserte Verfügbarkeit der Systeme, durch Transaktionshäufigkeit, durch neue Geschäftsmöglichkeiten, aber auch durch einen erhöhte Kundenbindung erzielt werden. Kosten können hingegen etwa beim First-Level-Support, der Arbeit der Systemadministratoren und beim Systemmanagement eingespart werden. Schließlich können auch Kosten im Marketing, der Öffentlichkeitsarbeit oder in der Rechtsabteilung vermieden werden, die entstehen, wenn ein Dienst nicht zuverlässig läuft.
Drohende Schäden müssen Firmen danach bewerten, wie abhängig ihre Geschäftsprozesse von der Verfügbarkeit einzelner Komponenten sind. Auch die Schadensdauer spielt hierbei eine wichtige Rolle. Wie wahrscheinlich der Schadensfall ist, richtet sich etwa nach den Vorsorgemaßnahmen wie einem Backup-Verfahren. Auch Benchmark-Zahlen helfen bei der Abschätzung: Beim Umstieg einer Onlinehandel-Firma von Kreditkarte auf Bankensignaturkarte, muss sie die Verluste aus Kreditkartenbetrug berücksichtigen. So fanden 2001 allein in Deutschland 50 000 einschlägige Betrugsfälle statt, die Schäden zwischen 21 Mio. € und 102 Mio. € verursachten. Eine Bankensignaturkarte hätte dies verhindert.
Die Einführung eines zertifikatsbasierten Mitarbeiterausweises beispielsweise bietet mehr Sicherheit durch eine prozessorientierte Steuerung aller Zugriffsrechte. Immerhin werden etwa 80 % der IT-Schäden laut einer Studie der Unternehmensberatung Pricewaterhouse-Coopers nicht durch Viren oder Hacker ausgelöst, sondern durch interne Diebstähle und Manipulationen der eigenen Mitarbeiter. Entsprechend der Befugnis einzelner Mitarbeiter können Firmen auch Einkaufsabläufe festlegen und automatisieren. Die Kosten für eine einzelne konventionelle Beschaffung über die gesamte Prozesskette hinweg lagen etwa bei Gruner + Jahr 2001 zwischen 40 € und 200 €, durch E-Procurement sanken sie auf 15 € bis 25 €.
Laut Infonetics Research Inc. ergeben sich beim Einsatz virtueller privater Netzwerke (VPNs) auf Basis von Public-Key-Infrastrukturen sogar Kostenvorteile zwischen 20 % und 47 %. Durch unternehmensweite Wissensmanagementsysteme und Meta-Directories können immense Produktivitätszuwächse erreicht werden.
Für IT-Entscheider dient ROSI in erster Linie unternehmensintern als Argumentationshilfe, wenn es um die Bewertung eines konkreten Projekts geht. Dennoch birgt ROSI auch Nachteile, da viele Zahlen auf Schätzungen beruhen. Viele Vorteile werden zudem nicht direkt Cashflow-wirksam und strategische Argumente für IT-Sicherheit werden eher vernachlässigt.
  C. SCHULZKI-HADDOUTI

Ein Beitrag von:

  • Christiane Schulzki-Haddouti

    Freie Journalistin und Buchautorin in Bonn. Scherpunktthemen: Bürgerrechte, Informationsfreiheit, Datenschutz und Medienethik.

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

OneSubsea GmbH-Firmenlogo
OneSubsea GmbH Ingenieur Automatisierungstechnik (m/w/d) Celle
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen-Firmenlogo
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen Development Engineer Embedded Software (m/w/d) Schwieberdingen
Advantest-Firmenlogo
Advantest R&D Engineer Software (m/f/d) Böblingen
Advantest-Firmenlogo
Advantest Center of Expertise – Application Consultant (m/f/d) Böblingen
Lachmann & Rink-Firmenlogo
Lachmann & Rink Softwareentwickler (m/w/d) Frontend / Backend Freudenberg, Dortmund
Lachmann & Rink-Firmenlogo
Lachmann & Rink Softwareentwickler (m/w/d) Embedded Systems Freudenberg, Dortmund
Reiser Simulation and Training GmbH-Firmenlogo
Reiser Simulation and Training GmbH Softwareentwickler C/C++ (m/w/x) Berg
ALTEN GmbH-Firmenlogo
ALTEN GmbH Softwareentwickler (m/w/d) C/C++ München, Ingolstadt, Manching
HFH · Hamburger Fern-Hochschule-Firmenlogo
HFH · Hamburger Fern-Hochschule Wissenschaftlicher Mitarbeiter (w/m/d) im Bereich Wirtschaftsinformatik Hamburg
Blickfeld GmbH-Firmenlogo
Blickfeld GmbH Field Application Engineer (m/f/d) Smart City München

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.