IT-Sicherheit 28.02.2003, 18:24 Uhr

IT-Kosten contra Gefahren aus dem Netz

Angesichts immer wiederkehrender Wurm- und Virenwarnungen fällt Firmenchefs ein Bekenntnis zur IT-Sicherheit leicht.

„Doch in Zeiten sinkender IT-Budgets fällt niemand mehr auf der Basis von Unsicherheit und Angst eine Investitionsentscheidung“, sagte Barbara Meyer von TC-Trustcenter anlässlich
der Netsikom-Fachkonferenz zur IT-Sicherheit in Köln.
Die Frage ist nicht, wie hoch das Risiko ist, sondern wie wirtschaftlich eine Investition in IT-Sicherheit ist. Seit etwa einem halben Jahr argumentiert Meyer nicht mehr mit Gefahren, sondern mit Wirtschaftlichkeit. Angelehnt an die Return-on-Investment-Rechnung (ROI) kalkuliert sie mit der Return-on-Security-Investment-Rechnung (ROSI) mögliche Vor- und Nachteile.
ROSI stellt Entwicklungs-, System- und Organisationskosten möglichen Erträgen gegenüber, die erst durch ein mehr an IT-Sicherheit ermöglicht werden. Höhere Umsätze können beispielsweise durch eine verbesserte Verfügbarkeit der Systeme, durch Transaktionshäufigkeit, durch neue Geschäftsmöglichkeiten, aber auch durch einen erhöhte Kundenbindung erzielt werden. Kosten können hingegen etwa beim First-Level-Support, der Arbeit der Systemadministratoren und beim Systemmanagement eingespart werden. Schließlich können auch Kosten im Marketing, der Öffentlichkeitsarbeit oder in der Rechtsabteilung vermieden werden, die entstehen, wenn ein Dienst nicht zuverlässig läuft.
Drohende Schäden müssen Firmen danach bewerten, wie abhängig ihre Geschäftsprozesse von der Verfügbarkeit einzelner Komponenten sind. Auch die Schadensdauer spielt hierbei eine wichtige Rolle. Wie wahrscheinlich der Schadensfall ist, richtet sich etwa nach den Vorsorgemaßnahmen wie einem Backup-Verfahren. Auch Benchmark-Zahlen helfen bei der Abschätzung: Beim Umstieg einer Onlinehandel-Firma von Kreditkarte auf Bankensignaturkarte, muss sie die Verluste aus Kreditkartenbetrug berücksichtigen. So fanden 2001 allein in Deutschland 50 000 einschlägige Betrugsfälle statt, die Schäden zwischen 21 Mio. € und 102 Mio. € verursachten. Eine Bankensignaturkarte hätte dies verhindert.
Die Einführung eines zertifikatsbasierten Mitarbeiterausweises beispielsweise bietet mehr Sicherheit durch eine prozessorientierte Steuerung aller Zugriffsrechte. Immerhin werden etwa 80 % der IT-Schäden laut einer Studie der Unternehmensberatung Pricewaterhouse-Coopers nicht durch Viren oder Hacker ausgelöst, sondern durch interne Diebstähle und Manipulationen der eigenen Mitarbeiter. Entsprechend der Befugnis einzelner Mitarbeiter können Firmen auch Einkaufsabläufe festlegen und automatisieren. Die Kosten für eine einzelne konventionelle Beschaffung über die gesamte Prozesskette hinweg lagen etwa bei Gruner + Jahr 2001 zwischen 40 € und 200 €, durch E-Procurement sanken sie auf 15 € bis 25 €.
Laut Infonetics Research Inc. ergeben sich beim Einsatz virtueller privater Netzwerke (VPNs) auf Basis von Public-Key-Infrastrukturen sogar Kostenvorteile zwischen 20 % und 47 %. Durch unternehmensweite Wissensmanagementsysteme und Meta-Directories können immense Produktivitätszuwächse erreicht werden.
Für IT-Entscheider dient ROSI in erster Linie unternehmensintern als Argumentationshilfe, wenn es um die Bewertung eines konkreten Projekts geht. Dennoch birgt ROSI auch Nachteile, da viele Zahlen auf Schätzungen beruhen. Viele Vorteile werden zudem nicht direkt Cashflow-wirksam und strategische Argumente für IT-Sicherheit werden eher vernachlässigt.
  C. SCHULZKI-HADDOUTI

Ein Beitrag von:

  • Christiane Schulzki-Haddouti

    Freie Journalistin und Buchautorin in Bonn. Scherpunktthemen: Bürgerrechte, Informationsfreiheit, Datenschutz und Medienethik.

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

Murrelektronik GmbH-Firmenlogo
Murrelektronik GmbH Applikationsingenieur / -Techniker (m/w/d) Oppenweiler
über D. Kremer Consulting-Firmenlogo
über D. Kremer Consulting Softwareentwickler / Software Developer (g*) Großraum Bielefeld/Herford
Dynamic Engineering GmbH-Firmenlogo
Dynamic Engineering GmbH Software Entwickler (m/w/d) Embedded Systeme München
Hexagon DEU02 GmbH-Firmenlogo
Hexagon DEU02 GmbH Software-Projekt- und Anwendungsingenieur (m/w/d) Köln
WAFIOS AG-Firmenlogo
WAFIOS AG Elektro- und Softwareentwickler (m/w/d) Reutlingen
KWS Berlin GmbH-Firmenlogo
KWS Berlin GmbH SPS-Entwickler / Softwareentwickler für Steuerungssysteme (m/w/d) Einbeck
RTB GmbH & Co. KG-Firmenlogo
RTB GmbH & Co. KG Senior-Entwicklungs-Ingenieur/in Embedded-Software (m/w/d) Bad Lippspringe, Kamen
SKF GmbH-Firmenlogo
SKF GmbH Fertigungsingenieur (m/w/d) Betriebstechnik (OT) / Digitalisierung Schweinfurt
B. Braun Melsungen AG-Firmenlogo
B. Braun Melsungen AG Applikationsingenieur (w/m/d) MES Melsungen
Excellence AG-Firmenlogo
Excellence AG Embedded Software Entwickler C/C++ (m/w/d) Düsseldorf

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.