Norbert Pohlmann (Institut für Internet-Sicherheit):,
“Pareto-Prinzip für IT-Sicherheit”,
move modere verwaltung,
Mai 2004 Pareto-Prinzip für IT-Sicherheit
IT-Schutzmaßnahmen sind kein Selbstzweck. Mit Hilfe von IT-Schutzmaßnahmen kann das Risiko bei der Nutzung von IT-System reduziert werden. In diesem Artikel werden die Kosten der IT-Schutzmaßnahmen aus unterschiedlichen Blickwinkeln betrachtet. Da eine IT-Schutzmaßnahme eine Investition für die Zukunft ist, sollten die Kosten-Nutzen-Aspekte schon bei der Planung besonders berücksichtigt werden. Die Aufgabe von IT-Systemen ist es, die Geschäftsprozesse zu verbessern und dadurch Kosten zu reduzieren oder den Umsatz zu steigern und letztlich mehr Profit zur erzielen. Alles dient dem Zweck der Bestandssicherung und Gewinnmaximierung. Dies kann erreicht werden, indem die Aufgaben
– vereinfacht oder beschleunigt (z.B. E-Mail als Kommunikationsmittel),
– Abläufe störungsfreier oder flexibler gestaltet (z.B. keine Medienbruch, Verwendung von mobilen Geräten – arbeiten von zu Hause oder von unterwegs),
– Mitarbeiter von Routineaufgaben entlastet (z.B. kein Medienbruch, EDV – System für die Verwaltung, nicht immer alles neue mit Excel),
– Mitarbeiter bei komplexen Aufgaben unterstützt werden (z.B. CAD – Systeme, Statische Berechnungen) und
– die globale wirtschaftliche Ausdehnung einfach ermöglicht wird (z.B. die Nutzung des Internets oder Angebote über Web International verfügbar machen oder E-Mail als Kommunikationsmedium nutzen oder Videokonferenz nutzen, um mit internationalen Geschäftspartnern Absprachen zu treffen).
Das Ziel einer geschäftlichen Tätigkeit ist in diesem Sinne, dass IT-Systeme wirtschaftlich sein müssen!.
Dies kann durch unterschiedliche Prinzipien erreicht werden: Minimax-Prinzip
Bei gleichbleibendem Output (Umsatz), den Input (Kosten) minimieren (Kostenorientierung)
– Durch weniger Kosten wird mehr Profit erzielt. Maximin-Prinzip
Bei gleichbleibendem Input (Kosten), den Output (Umsatz) maximieren (Produktivitäts- und Umsatzorientierung)
– Durch mehr Umsatz bei gleichen Kosten wird mehr Profit erzielt. Optimax-Prinzip
Gleichzeitige Minimierung des Inputs (Kosten) und Maximierung des Outputs (Umsatz).
– Kosten reduzieren bei gleichzeitiger Umsatzsteigerung ist der Traum jedes Unternehmensleiters und steigert den Profit. Diese Prinzipien haben nichts mit IT-Sicherheit zu tun, sie stellen wirtschaftliche Ziele einer unternehmerischen Tätigkeit da. Dabei kann die Bewertung der Wirtschaftlichkeit nach den folgenden Aspekten durchgeführt werden: Nach Kostenaspekten:
– Total Cost of Ownership
– Kosten für Anschaffung, Schulung, Installation, Betrieb, Wartung und Ersatz von ITSystemen und IT-Sicherheitsmaßnahmen
– Entspricht der Kapitalwert-Methode (Was kostet ein Investment in der Summe aller Aspekte, die berücksichtigt werden müssen?) Nach Nutzenaspekten:
– ROI = Return on Investments
– Nutzen den Kosten gegenübergestellt (Was nützt ein Investment bezüglich Kostenminimierung und/oder Umsatzsteigerung, wann hat sich eine Investition amortisiert, d.h. die Anschaffungskosten für eine Investition werden durch den mit der Investition erwirtschafteten Ertrag gedeckt? Je schneller eine Deckung erzielt wird, um so schneller kann ein Gewinn, z.B. durch das Investment von ITSicherheitsmaßnahmen, generiert werden.) Die Bedrohungen sind für alle Organisationen und Unternehmen gleich. Der Unterschied liegt in der Verwundbarkeit, wenn ein Schaden auftritt. Durch die oft geringen finanziellen Reserven und Möglichkeiten Geld zu beschaffen, ist die Verwundbarkeit bei klein- und mittelständischen Unternehmen (KMUs) oft ungleich höher als bei sehr großen Unternehmen. Die größte Gefahr für den Mittelstand ist das fehlende Bewusstsein für die Notwendigkeit der IT-Sicherheit. Aber gerade die vielen geschäftsführenden Gesellschafter, deren Existenz unmittelbar mit dem Geschäftserfolg verknüpft ist, sollten hier wachsam sein. Von daher gilt gerade im Mittelstand: IT-Security ist Chefsache! Nach einer Information Week Studie von 10/2002 basieren 82 % der IT-Entscheidungen auf einer ROI-Analyse. In wirtschaftlich schlechten Zeiten, wird nur investiert, wenn für Investment ein Nachweis erbracht werden kann, der aufzeigt, dass dadurch schnell ein höherer Profit erzielt werden kann. Das Problem bei der IT-Sicherheit ist, dass dieser Nachweis sehr schwierig ist. Das Thema Cyber-Sicherheit ist immer noch neu für viele Unternehmen und besonders für viele Chefetagen. … kostenlos downloaden | 
