Date: | 19.02.2009 |
Duration: | 10:00-17:00 |
Location: |
Fraunhofer-Institut für Graphische Datenverarbeitung IGD
Fraunhoferstr. 5 64283 Darmstadt |
Im Jahre 1979 hat das NIST (USA) in der bekannten FIPS 65 Publikation erste Ideen zur Diskussion der IT-Risiken und deren finanziellen Auswirkungen veröffentlicht. Diese Ideen wurden in den darauf folgenden Jahren in der Industrie und Wissenschaft vielfach umgesetzt, verfeinert und weiterentwickelt. Dabei wurde von Beginn an die Kostenbetrachtung der IT-Sicherheit bzw. Informationssicherheit höchst kontrovers diskutiert. Viele Beiträge in der Literatur verweisen in einer Return on Security Investment (ROSI) Betrachtung auf die Kalkulation des Aufwands zur Absicherung, also die Verteidigungsmassnahmen. Es wird ein möglicher Ertragsverlust der Organisation dem Schutz für die Assets der IT gegenüber gestellt. Im Ergebnis wird dann eine Abschätzung zwischen den Kosten einer erfolgreichen Attacke und den Absicherungskosten vorgenommen. Viele Unternehmen orientieren sich heute nach diesem Ansatz.
Andere Überlegungen in der Literatur beschäftigen sich mit dem Ertragsverlust, der als Produktivitätsverlust, z.B. Nicht-Verfügbarkeit eines Fileservers, beziffert wird und eine bestimmte Anzahl von Mitarbeitern nicht tätig sein können. Weiterhin werden Meinungen in der Literatur vertreten, die Ausführen, dass noch kein geeignetes Zahlenmaterial für ein Leistungsvergleich (Benchmark) für derartige Abschätzungen vorliegt. Die Betrachtung des Ertragsverlust zielt auf die Erhöhung der Betriebskosten und auf den Einfluss der Geschäftsprozesse ab und markiert einen weiteren Punkt in der ROSI Diskussion. Teilweise wird in der Literatur auch die Meinungen vertreten, dass eine Kostenbetrachtung nach ROSI überhaupt nicht erfolgversprechend sein kann.
Waren die Anfänge der ROSI Forschungsaktivitäten mehr auf technische Aspekte und deren Schadenauswirkungen konzentriert, so sind diese in den letzten Jahren mehr und mehr durch ökonomische Fragestellungen erweitert worden. Gorden und Loeb argumentieren z.B., dass bei allen bisherigen Ansätzen die Diskontinuierung des eingesetzten Kapitals völlig außer Acht gelassen wurde. Sie empfehlen einen erweiterten ROSI-Ansatz, indem der interne Zinsfuß oder die Kapitalwertemethode einzubeziehen sei. Ein Verhältnis zwischen Umsatz, Einsparungen und Risikovarianz bezogen auf die Investitionen wird z.B. von Purser favorisiert.
Unternehmen, die sich nach modernen Managementsystemen zur Informationssicherheit ausrichten, wie z.B. der ISO/IEC 27001:2005 (Original), verfolgen das vordergründige Ziel ihre Wertschöpfungskette absichern zu wollen. Entsprechend wird mit den Investitionen i.d.R. nur das eine Ziel verfolgt: Umsätze zu sichern indem ein adäquater Risikoumgang praktiziert wird. Jedoch muss sich die Investition des Risikoumgangs in einer adäquaten Absicherung der Wertschöpfungskette widerspiegeln, da sonst die Investitionen verfehlt sind und für das betreffende Unternehmen keinen Nutzen bringen. Mit anderen Worten, ein Sicherheitsmanagement ist ein Risikomanagement nach ISO 27001 und ein Risikomanagement entspricht einem Kostenmanagement. Somit sind Risiken unmittelbar mit Kosten verknüpft und erfordern eine detaillierte Betrachtung. Hierzu äußerte sich Bruce Schneier in seinem Essay am 15.09.2008:
"ROI" as used in a security context is inaccurate. Security is not an investment that provides a return, like a new factory or a financial instrument. It's an expense that, hopefully, pays for itself in cost savings. Security is about loss prevention, not about earnings. The term just doesn't make sense in this context.
Welche Entwicklungen sich in der Theorie und Praxis als zweckmäßig erwiesen haben werden von dem CAST Workshop "Enterprise Security" aus unterschiedlichen Blickwinkeln beleuchtet. Es werden Best-Practice Verfahren diskutiert, unterschiedliche industrielle Ansätze verfolgt als auch neueste akademische Untersuchungen zur Diskussion gestellt.
If you have any questions please contact:
Dr. Wolfgang Böhmer
Phone: +49 (0) 151-16733424
Email: wolfgang.boehmer@cast-forum.de
Simone Zimmermann
CAST e.V.
Tel.: +49 6151 869-230
Email: simone.zimmermanncast-forum.de