Norbert Pohlmann(Institut für Internet-Sicherheit):,
“Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen?”,
Im Journal Kosten & Nutzen von IT-Sicherheit,
Hrsg.: M. Mörike, S. Teufel,
HMD – Praxis der Wirtschaftsinformatik,
dpunkt Verlag,
April 2006 IT-Sicherheitsmaßnahmen sind kein Selbstzweck. Mit Hilfe von IT-Sicherheitsmaßnahmen kann das Risiko bei der Nutzung von IT-Systemen erheblich reduziert und damit ein Schaden verhindert werden.
In diesem Artikel sollen die Kosten und der Nutzen der IT-Sicherheitsmaßnahmen betrachtet und bewertet werden. Da eine IT-Sicherheitsmaßnahme eine Investition für die Zukunft ist, sollten die KostenNutzen-Aspekte schon bei der Planung von IT-Sicherheitsmaßnahmen besonders berücksichtigt werden.
Die Aufgabe von IT-Systemen ist es, die Geschäftsprozesse in Unternehmen zu optimieren und dadurch Kosten zu reduzieren oder den Umsatz zu steigern und letztlich mehr Profit zur erzielen. Alles dient dem Zweck der Bestandssicherung und Gewinnmaximierung. Dies kann z.B. dadurch erreicht werden, dass die Aufgaben vereinfacht oder beschleunigt werden, z.B. durch die Nutzung der E-Mail-Anwendung als ein einfaches und schnelles Kommunikationsmittel. Abläufe können mit der Hilfe von IT-Systemen störungsfreier oder flexibler gestaltet werden, z.B. keine Medienbruch mehr, die Verwendung von mobilen Geräten (Notebooks, PDAs, usw.) und damit das Arbeiten von zu Hause oder von unterwegs. Mitarbeiter können von Routineaufgaben entlastet und bei komplexen Aufgaben unterstützt werden, z.B. durch die Nutzung von CAD – Systemen. Die globale wirtschaftliche Ausdehnung kann mit der Hilfe von IT-Systemen einfach ermöglicht werden, z.B. durch die Nutzung des Internets, Angebote übers Web international verfügbar machen, E-Mail als Kommunikationsmedium nutzen oder Videokonferenzen nutzen, um mit internationalen Geschäftspartnern Absprachen zu treffen. Was für sämtliche Geschäftsbereiche eines Unternehmens gilt, gilt auch für den Einsatz von IT-Systemen: sie müssen wirtschaftlich sein. Diese Wirtschaftlichkeit kann durch unterschiedliche Wirtschaftlichkeitsprinzipien erreicht werden:
Das Minimierungsprinzip hat als Schwerpunkt, dass bei einem gesetzten Ziel minimaler Aufwand betrieben werden soll. Wenn das Ziel ein bestimmter Gewinn ist, müssen bei gleichem Umsatz die Kosten gesenkt werden. Somit soll das Ziel Gewinn (Profit) durch den minimalen Mittelverbrauch (Kosten/Input) erreicht werden.
Das Maximierungsprinzip bedeutet, dass mit gegebenen Mitteln ein maximales Ziel erreicht werden soll. Der Gewinn ist dabei eine individuell wählbare Zielvorstellung und soll mit den gegebenen Mitteln
maximiert werden. Die Mittel (Kosten/Input) sind also vorgegeben, der Umsatz (Output) ist jedoch ein Ziel, das bezüglich des Profits optimiert werden soll.
Das generelle Extremumprinzip ist so zu verstehen, dass Mitteleinsatz und Ergebnis so aufeinander abgestimmt sind, dass der durch sie definierte Prozess, gemessen an problemindividuellen Kriterien, optimal wird. Hierbei strebt keine Größe nach einem bestimmten Ergebnis oder Ziel, sondern Kosten und Umsatz stehen in einer variablen Wechselwirkung zu einander. Um den Prozess des Wirtschaftens zu optimieren, müssen Arbeitsschritte einer ständigen Qualitätskontrolle unterliegen. Diese unterschiedlichen Wirtschaftlichkeitsprinzipien haben nichts mit IT-Sicherheit zu tun, sie stellen wirtschaftliche Ziele einer unternehmerischen Tätigkeit da. Dabei kann die Bewertung der Wirtschaftlichkeit nach den folgenden Aspekten durchgeführt werden:
Nach Kostenaspekten: Total Cost of Ownership
Total Cost of Ownership bedeutet die Kosten für Anschaffung, Schulung, Installation, Betrieb, Wartung und Ersatz von IT-Systemen und IT-Sicherheitsmaßnahmen zu errechnen. Diese entspricht der
Kapitalwert-Methode, d.h. was kostet ein Investment in der Summe aller Aspekte, die berücksichtigt werden müssen? Dieser Wert kann mit den Kosten, die z.B. durch einen erfolgten oder geschätzten Schaden und dessen sofortige, mittelfristige und langfristige finanziellen Auswirkungen, verglichen werden.
Nach Nutzenaspekten: ROI = Return on Investments
Hier wird der Nutzen den Kosten gegenübergestellt. Was nützt ein Investment bezüglich Kostenminimierung und/oder Umsatzsteigerung? Wann hat sich eine Investition amortisiert, d.h. die Anschaffungskosten für eine Investition durch den mit der Investition erwirtschafteten Ertrag gedeckt? Je schneller eine Deckung erzielt wird, umso schneller kann ein Gewinn, z.B. durch das Investment von IT-Sicherheitsmaßnahmen, generiert werden.
…
kostenlos downloaden | 
