HMD Praxis der Wirtschaftsinformatik

ISSN 1436-3011

02.09.2010


Home
Suche
HMD aktuell
Aktuelle Ausgabe
40 Jahre HMD
Vorschau
Buchbesprechungen
HMD-Glossar
Veranstaltungskalender
HMD beziehen
HMD Probeabo
HMD Abo
HMD Einzelheft
Bezugsbedingungen
HMD archiv
HMD Info
Mehr über HMD
Herausgebergremium
Gastherausgeber
Mediadaten
Redaktion /' Verlag
Impressum
Autoren/ Gutachter
Autorenrichtlinien
Autorenfragebogen
Gutachter für die HMD
Beurteilungsbogen

Kosten & Nutzen von IT-Sicherheit
[Zurück zum Inhaltsverzeichnis -
- Feedback an den Herausgeber]

Über die Ökonomie der IT-Sicherheit
Betrachtungen zum Thema "Return on Security Investment"

Dirk Schadt

Zusammenfassung

In der Vergangenheit wurden Investitionen in die IT- Sicherheit oft als "Versicherungsprämie" zum Schutz vor Schäden und Missbrauch der Computersysteme betrachtet. Mittlerweile fließt aber nicht nur die exakte Kalkulation der Kosten, sondern auch eine Abwägung des Nutzens dieser Investitionen in Wirtschaftlichkeitsbetrachtungen ein. Neben der Methode "Return on Security Investment" (ROSI) der Universität Idaho beginnen sich dafür mittlerweile auch praktikablere Verfahren zu etablieren. Die Risikomatrix sowie die Technik der Simulation sind zwei brauchbare Alternativen zu ROSI bei der Risikoanalyse.

Bei der Umsetzung wirtschaftlicher IT-Sicherheitsmaßnahmen treten typische Probleme auf, die insbesondere durch die Dynamik der technischen und organisatorischen Entwicklung evoziert werden. Aber auch Fragen der Prüfung und der Sensibilisierung von Mitarbeitern sind zu klären. Letztlich ist eine professionelle Behandlung des sensiblen Themas "Sicherheit" gefordert, die ja eine Frage der Beherrschung des Unternehmens, seiner Organisation und seiner Infrastruktur darstellt.

Denn eines bleibt auch nach der besten Wirtschaftlichkeitsbetrachtung gewiss: Sicherheit lässt sich nicht fair abrechnen.

Inhaltsübersicht

  1. Einleitung
  2. Ursachen für Mängel in der IT-Sicherheit
  3. Die Organisation der IT-Sicherheit
    1. Refinanzierung der Investitionen in IT-Sicherheit
    2. Die Abrechnungsproblematik
    3. IT-Sicherheit - eine Aufgabe der Organisation
    4. Das Zonenmodell - eine flexible Basis
  4. Wirtschaftlichkeitsbetrachtungen
    1. Der Return on Invest
    2. Kosten senkende Sicherheitsmaßnahmen
    3. Beispiel: Selbstverwaltung der User Accounts
    4. Beispiel: Single-Sign-on (SSO)
    5. Risikominimierung: Geldwerter Vorteil fraglich
    6. ROSI: Return on Security Investment
    7. Die Schwächen von ROSI
  5. Brauchbare Alternativen bei der Risikoanalyse
    1. Die Risikomatrix
    2. Die Technik der Simulation
  6. Probleme der Praxis
  7. Prüfung und Umsetzung der Sicherheitsmaßnahmen
  8. Fazit
  9. Literatur

HMD, Heft 248, April 2006

hosted by dpunkt.verlag