Kosten & Nutzen von IT-Sicherheit

Zusammenfassung

IT-Sicherheit ist für die Nutzung zuverlässiger, gut verfügbarer und vertrauenswürdiger IT-Systeme unerlässlich geworden. Da jedoch die Messung der erreichten IT-Sicherheit heute noch in den Kinderschuhen steckt, werden die ständig steigenden Aufwände dafür kaum hinterfragt, sondern - oft zähne-knirschend - im Sinne einer lästigen, aber unvermeidlichen Versicherungsprämie im IT-Budget beurteilt. Entscheidungsträger und Budgetverantwortliche werden zunehmend misstrauisch gegenüber den weiter steigenden Kosten und fragen sich, ob bereits zu viel für die ggf. falsche Art von IT-Sicherheit ausgegeben wird. Umgekehrt sind sich viele IT-Sicherheitsverantwortliche schmerzlich bewusst, dass sie ihre Aufwendungen und damit ihre unternehmensinterne Existenz angesichts statistisch weniger Schäden nur unzureichend rechtfertigen können - insbesondere das Ausbleiben von Schäden kann oft nicht glaubhaft auf die Effektivität der Investitionen in die IT-Sicherheit zurückgeführt werden. Der Beitrag stellt mögliche Maßnahmen zur Kostendämpfung bzw. Kostenrechtfertigung vor.

Inhaltsübersicht

1. IT-Sicherheit - Systematik und Begriffe
2. Aktuelle Problemstellungen
   1. IT-Sicherheit als Innovationsverhinderer
   2. Unzureichende Messung der Qualität der IT-Sicherheit
   3. Erhöhte Komplexität durch IT-Sicherheit
3. Kosten der IT-Sicherheit
   1. Was treibt die Kostenkurve?
   2. Informationssicherheit: Präventive Kosten
   3. Informationssicherheit: Retrospektive Kosten
4. Ermittlung der Kosten für IT-Sicherheit
   1. Berechnungsansätze: Versicherungsrechnung
   2. Berechnungsansätze: ROSI
   3. Empirische Kostenschätzungen
   4. Erfahrungswerte
5. Maßnahmen zur Kostenoptimierung
   1. Kostendämpfende Maßnahmen
   2. Kostenrechtfertigende Maßnahmen
6. Wege zu guter IT-Sicherheits-Governance
7. Schlussfolgerungen
8. Literatur