Wirtschaftlichkeitsaspekte von IT-Sicherheitsmanagement


Studienarbeit, 2010

20 Seiten, Note: 1,0


Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einführung

2 IT-Sicherheitsmanagement
2.1 Begriffsverständnis und Einordnung
2.2 Bedeutung
2.3 Nutzen

3 Wirtschaftlichkeitsaspekte
3.1 Allgemeine Betrachtung
3.2 Die Quantifizierungsproblematik
3.3 Annual Loss Expectancy (ALE)
3.4 Weiterentwicklung des ALE
3.5 Return on Security Investment (RoSI)
3.6 RoSI – Bewertung

4 Fazit

Glossar

Literaturverzeichnis

Erklärung

Abbildungsverzeichnis

Abbildung 1 - IT-Sicherheitsmanagement-Prozess als Plan-Do-Check-Act-Kreislauf

Abbildung 2 - Zusammenhang zwischen IT Sicherheitsrisiken, -maßnahmen und -in­vestment

Abbildung 3 - ALE unter Berücksichtigung der Kosten einer IT Sicherheits- maßnahme

Abbildung 4 - Return on Security Investment

Tabellenverzeichnis

Tabelle 1 - Modellrechnung auf Basis der Versicherungsrechnung

Tabelle 2 - Berechnungsmöglichkeiten für ALE

Tabelle 3 - Modifizierte Eintrittswahrscheinlichkeit mARO

Tabelle 4 - ALE bei Einsatz einer Antivirus-Lösung

Tabelle 5 - ALE bei Durchführung einer Sensibilisierungskampagne

Tabelle 6 - Einsparungen (Savings) durch die jeweiligen Sicherheitsmaßnahmen

Tabelle 7 - ALE unter Berücksichtigung der Sicherheitsmaßnahmen

Tabelle 8 - Berechnung des RoSI

Tabelle 9 - Effizienz-Vergleich der beiden Sicherheitsmaßnahmen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einführung

Seit Anbeginn der Zeit versucht der Mensch, seine Besitztümer abzusichern. Er versuchte dies mit Burgen, Festungen und sogar Bunkern zu erreichen. Hatte der Feind keine direkte Zutrittsmöglichkeit, wähnte der Besitzer sich und sein Hab und Gut in Sicherheit.

Heutzutage ist die Information das höchste Gut, und um den Schutz dieser Informationen ist eine komplette Industrie entstanden. Das liegt daran, dass Informationen für Unternehmen und Behörden teilweise von existenzieller Bedeutung sind. In unserer vernetzten Welt jedoch, zu Zeiten des Internets, schrumpfen selbst größte Entfernungen auf die Distanz eines Mausklicks; in gleicher Weise stellen physische Grenzen wie Mauern, verschlossene Türen und selbst ausgefeilte Zutrittskontrollsysteme keine wirklichen Grenzen für moderne Bedrohungen wie Viren, Würmer, Trojaner und Hacker mehr dar. Um diesen Gefahren begegnen zu können, braucht es eines anderen Ansatzes; ein rein technischer Ansatz reicht hier nicht aus. Für ein angemessenes Sicherheitsniveau ist ein gemeinsames Vorgehen aller Beteiligten erforderlich. Voraussetzung dafür ist eine systematische Vorgehensweise, welche auch Planungs-, Lenkungs- und Kontrollaufgaben beinhaltet. All diesen Aufgaben stellt sich das IT-Sicherheitsmanagement eines Unternehmens[1].

Keine Firma und auch keine Behörde kann es sich mehr leisten, Daten ungeschützt zu lassen. Allerdings sind die Kosten, die dieser Schutz verursacht, für die meisten Sicherheitsverantwortlichen nicht leicht zu verargumentieren. Jeder weiß zwar, dass diese Ausgaben notwendig sind, allerdings kann niemand so wirklich die Kosten für ein entsprechendes Sicherheitsmanagement im Voraus beziffern, noch im Nachhinein feststellen, ob sich die Ausgaben dafür amortisiert haben. Angesichts knapper werdender Budgets und einer allgegenwärtigen Kosten-Nutzen-Rechnung in der IT, wird immer öfter die Frage nach der Wirtschaftlichkeit von Sicherheitsmaßnahmen offen gestellt.

Auf den folgenden Seiten werden Wirtschaftlichkeitsaspekte des IT-Sicherheitsmanagements aufgezeigt. Ausgehend von einer Analyse des Themas wird anhand eines konkreten Zahlenbeispiels aus dem IT-Security-Bereich dargestellt, wie sich ein IT-Sicherheitsmanagement in eine Kosten-/Nutzenrechnung integrieren und sich dessen Rentabilität belegen lässt. Im Anschluss daran folgen eine Bewertung der verwendeten Methode sowie ein Ausblick auf weitere mögliche Vorgehensweisen.

2 IT-Sicherheitsmanagement

2.1 Begriffsverständnis und Einordnung

IT-Sicherheitsmanagement ist ein Teil des IT Managements, berichtet jedoch aufgrund konkurrierender Ziele ähnlich wie das Qualitätsmanagement direkt an die Geschäftsleitung[2]. Wie in der Einführung bereits angerissen, umfasst es in einem privaten oder öffentlichen Unternehmen die Planung, Steuerung und Kontrolle der Sicherheit entlang der jeweiligen Unternehmensstrategie. Das Ziel ist der Erhalt von Verfügbarkeit, Integrität und Vertraulichkeit wichtiger Informationen[3]. Federrath definiert es folgendermaßen:

„IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik (IT) realisierten Produktions- und Geschäftsprozesse in Unternehmen und Organisationen systematisch gegen beabsichtigte Angriffe (Security) und unbeabsichtigte Ereignisse (Safety) zu schützen.“ [4]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 - IT-Sicherheitsmanagement-Prozess als Plan-Do-Check-Act-Kreislauf.

Die Zielsetzung erfolgt dabei auf Managementebene in Form von Leitlinien, aus welchen konkrete Sicherheitsanforderungen an die Informationssysteme abgeleitet werden[5]. Dabei ist nach Hofmann IT-Sicherheitsmanagement ein kontinuierlicher Prozess, der die IT Sicherheit innerhalb einer Organisation gewährleisten soll[6]. Dieser Prozess wird u.a. auch beim ISO 27001-Standard als Plan-Do-Check-Act-Kreislauf abgebildet, ähnlich wie in folgender Abbildung[7]:

2.2 Bedeutung

In heutigen Unternehmen sind fast sämtliche Geschäftsprozesse von IT abhängig. Steigende Vernetzung (lokal und global), wachsende Komplexität, Öffnung der Systeme (Remote Access zur Fernwartung, Internet, etc.) und eine weite IT Durchdringung in allen Wirtschaftsbereichen haben eine steigende Abhängigkeit von der IT zur Folge – bei gleichzeitig steigender Angreifbarkeit[8]. Dies belegen z.B. die Statistiken von CERT: so ist die Zahl der Sicherheitslücken von 1090 im Jahr 2000 auf 7236 im Jahr 2007 angestiegen – Tendenz weiter steigend[9]. Nach Lubich hat hier in den letzten 20 Jahren auch eine substantielle Verlagerung der intellektuellen Leistung des Erkennens und Ausnutzens von Sicherheitsschwachstellen stattgefunden; so sieht man sich heute einer sehr großen Anzahl von potentiellen Angreifern gegenüber, welche die für jedermann verfügbaren, komplexen Angriffswerkzeuge nur noch nach Handbuch einsetzen - dies jedoch flächendeckend, rund um die Uhr[10].

Bei der Relevanzbetrachtung sollte nicht übersehen werden, dass teilweise neue Wertschöpfungsketten, Geschäftsmodelle (SCM, ERP, CRM), Mobile Computing (Handys, PDAs, SmartPhones), etc. schwerpunktmäßig auf Informationstechnologie beruhen und ohne funktionierende IT Security nicht denkbar wären[11].

Nicht zuletzt ergeben sich auch zumindest implizit aus gesetzlicher Hinsicht Anforderungen an das IT-Sicherheitsmanagement[12]. Nennenswerte Beispiele hierfür sind aus Bankensicht Basel II, für an US Börsen notierte Unternehmen der Sarbanes-Oxley-Act (SOX), für Aktiengesellschaften das KonTraG und für die Versicherungswirtschaft die z. Z. von der EU unter dem Begriff Solvency II entwickelte Richtlinie.

2.3 Nutzen

Entgegen der vielfach vorherrschenden Meinung kann gutes IT-Sicherheitsmanagement nicht nur zur Vermeidung von Schäden beitragen, sondern auch aktiv Kosten reduzieren, wobei einige Nutzenaspekte bereits im vorangehenden Kapitel 2.2 erläutert wurden. Darüber hinaus gibt es durchaus konkrete wirtschaftliche Vorteile, die sich aus einem professionellen IT-Sicherheitsmanagement ergeben können, aber ertragsseitig teilweise nicht immer eindeutig bestimmen lassen:

Vermeidung von Image-Schäden

Die negativen Folgen eines Imageschadens lassen sich sehr schwer monetär beziffern. Stellvertretend sei hier nur auf die Datenskandale der Telekom (Missbrauch von Millionen Kundendatensätzen aufgrund fahrlässigen Datenschutzes[13]), bei SchülerVZ (1,6 Mill. Nutzer-Daten wurden über eine Sicherheitslücke ausgelesen) sowie des Buchhandels-Grossisten Libri (Diebstahl von mehr als 20.000 Kunden- und Rechnungsdaten) verwiesen[14] - alles aktuelle Vorfälle aus dem Jahr 2009.

Wettbewerbsvorteile bspw. durch ISO 27001-Zertifizierung[15]

Bei öffentlichen oder privatwirtschaftlichen Vergabeverfahren ist oftmals eine entsprechende Zertifizierung Voraussetzung, um überhaupt an der Vergabe teilnehmen zu können. Ohne ein nachweisführendes IT-Sicherheitsmanagement fehlt die Möglichkeit, sich für solche Aufträge zu bewerben - was eins zu eins entgangenem Umsatz gleichkommt.

Automation im Identitätsmanagement

Eine Senkung der Prozess- und/oder Personalkosten ermöglicht eine relativ einfache Rentabilitätsbetrachtung. Beispiele[16] hierfür sind die Einführung einer Single-Sign-On-Lösung bei einer Schweizer Bank (UBS AG), welche dadurch ein Einsparpotenzial von 2,4 Millionen € pro Jahr realisieren konnte, sowie in der Automobilindustrie die Einführung der digitalen Signatur für Motorsteuergeräte zur Verhinderung von Manipulationen (sog. „Chip-Tuning“), welche durch stärkeren Verschleiß zu erhöhtem Wartungs­aufwand in der Garantiezeit und insgesamt geringerer Produkthaltbarkeit führen.

3 Wirtschaftlichkeitsaspekte

3.1 Allgemeine Betrachtung

Ein besonderer Aspekt[17], der bei Wirtschaftlichkeitsbetrachtungen von IT Sicherheitsmaßnahmen berücksichtigt werden muss, ist die Tatsache, dass die Risikominimierung nicht linear mit dem Investment steigt. Die folgende Abbildung verdeutlicht dies:

Abbildung 2 - Zusammenhang zwischen IT Sicherheitsrisiken, -maßnahmen und -in­vest­ment[18]

Abbildung in dieser Leseprobe nicht enthalten

[...]


[1] Vgl. (BSI, 2008)

[2] Vgl. (Mörike, 2004 S. 107)

[3] Vgl. (Krcmar, 2010 S. 563)

[4] (Federrath, 2008 S. 4)

[5] Vgl. (Krcmar, 2010 S. 564)

[6] Vgl. (Hofmann, 2007 S. 236)

[7] In Anlehnung an (Peter, 2004 S. 8), und (Krcmar, 2010 S. 581)

[8] Vgl. hierzu (Hofmann, 2007 S. 233 f.), sowie (Biere, 2006)

[9] Vgl. (CERT, 2009)

[10] Vgl. (Mörike, 2004 S. 10)

[11] Vgl. (Peter, 2004)

[12] Vergleiche auch für die folgenden Beispiele (Hofmann, 2007 S. 236 ff.)

[13] Vgl. (Röhrig, 2009)

[14] Vergleiche für die letzten beiden Beispiele (DPA, 2009)

[15] Vgl. (Hofmann, 2007 S. 241 und 261 f.)

[16] Entnommen aus Gadatsch/Uebelacker in (Mörike, 2006 S. 46 f.)

[17] Folgende Ausführungen lehnen sich teilweise an Pohlmann in (Mörike, 2006 S. 28 f.) an.

[18] Eigene Darstellung in Anlehnung an (Pohlmann, 2004 S. 3), Windemann, et al. in (Mörike, 2006 S. 54), Jerger/Mitev in (Mörike, 2006 S. 82) und (Federrath, 2008 S. 16).

Ende der Leseprobe aus 20 Seiten

Details

Titel
Wirtschaftlichkeitsaspekte von IT-Sicherheitsmanagement
Hochschule
Hochschule für angewandte Wissenschaften Ingolstadt  (Fakultät Wirtschaftswissenschaften)
Veranstaltung
IT Sicherheitsmanagement
Note
1,0
Autor
Jahr
2010
Seiten
20
Katalognummer
V150058
ISBN (eBook)
9783640624553
ISBN (Buch)
9783640624850
Dateigröße
594 KB
Sprache
Deutsch
Anmerkungen
Arbeit wurde im Rahmen des berufsbegleitenden MBA-Studiengangs "IT-Management" erstellt.
Schlagworte
IT-Sicherheitsmanagement, ALE, RoSI, IT-Sicherheit, Wirtschaftlichkeit, IT-Security
Arbeit zitieren
Eduard Fuchs (Autor), 2010, Wirtschaftlichkeitsaspekte von IT-Sicherheitsmanagement, München, GRIN Verlag, https://www.grin.com/document/150058

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Wirtschaftlichkeitsaspekte von IT-Sicherheitsmanagement



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden