Return on Security Investment (RoSI) - Prof. Dr. Norbert Pohlmann

Was ist Return on Security Investment?

Return on Security Investment (RoSI) Berechnung ist eine Methode, mit der der Nutzenaspekt von Cyber-Sicherheitsmaßnahmen aufgezeigt werden kann. RoSI bedeutet, dass bei der Betrachtung aller Kosten (auch die, die durch Schäden eines Angriffes verursacht werden) aufgezeigt werden kann, ob und wann ein Investment in Cyber-Sicherheitsmaßnahmen zu einem Return on Investment führt oder nicht.

Recovery Costs – R (Kosten der wahrscheinlichen Schäden)

Diese Kosten beschreiben alle Aufwendungen, die notwendig sind, um nach einem aufgetretenen Schaden den ursprünglichen Zustand wiederherzustellen. Sie werden in die Gesamtkosten der geschäftlichen Tätigkeiten mit einbezogen. Die Recovery Costs hängen von dem tatsächlichen Eintritt von Schäden ab, müssen aber aus Erfahrungswerten für die Zukunft abgeschätzt werden.

Savings – S (Reduzierung der Kosten der wahrscheinlichen Schäden)

Hierbei handelt es sich um die Kosten, die durch die Einführung von Cyber-Sicherheitsmechanismen (Tools) gespart werden, weil sie mit einer sehr hohen Wahrscheinlichkeit einen Angriff erfolgreich verhindern. Auch diese Kosten müssen abgeschätzt werden.

Tool Costs – T (Kosten für Cyber-Sicherheitsmaßnahmen)

Dies sind die vollständigen Kosten (Total Cost of Ownership – TCO) für die Cyber-Sicherheitsmaßnahmen, die potenzielle Angriffe mit einer hohen Wahrscheinlichkeit verhindern sollen.

Annual Loss Expenditure – ALE (verbleibende Kosten)

Das sind die verbleibenden Kosten (Schaden ) nach einem Investment in Cyber-Sicherheitsmaßnahmen.

Return on Security Investment – RoSI (gesparte Kosten, erzielter Profit)

Einsparungen der Recovery Cost (Schäden), die durch das Investment in Cyber-Sicherheitsmaßnahmen erzielt wurden.
Solange T (Tools), die Total Cost of Ownership der Cyber-Sicherheitsmaßnahmen, kleiner sind als S (Savings), die Reduzierung der Kosten, ist RoSI positiv.

RoSI – Formel und Zusammenhänge

R − (R − S + T) = RoSI = S − T

Beispielberechnung RoSI: Notebookverluste

In diesem Beispiel soll anhand der Verluste von Notebooks und der Investition in eine passende Cyber-Sicherheitsmaßnahme, die die Daten auf den Notebooks schützt, exemplarisch eine Berechnung des Return on Security Investment (RoSI) durchgeführt werden.

Als erstes wird diskutiert, wie wahrscheinlich der Verlust oder der Diebstahl eines Notebooks ist, und welcher Schaden dabei auftreten kann.

Wie hoch ist die Wahrscheinlichkeit des Verlusts eines Notebooks?

Jeder, der die Verantwortung für Notebooks im Unternehmen hat, weiß wie viele Notebooks jährlich aus nachvollziehbaren und nicht nachvollziehbaren Gründen verschwinden. Dennoch ist die offene Kommunikation darüber in den Unternehmen unüblich. Die meisten bekommen ein neues Notebook ohne lange Analysen darüber durchzuführen, warum und wie das alte Notebook abhandengekommen ist. Da die meisten sowieso alle zwei bis drei Jahre ein neues Notebook bekommen, geht die Verlustrate gerade in großen Unternehmen und Organisationen oft in der Masse der neuen Notebooks unter.

Wenn aber die unterschiedlichen vorliegenden Studien über verlorene oder gestohlene Notebooks analysiert werden, so zeigt sich, dass im Schnitt 6 % der Notebooks jährlich gestohlen werden oder verlorengehen (Eintrittswahrscheinlichkeit).

Wie hoch ist der Schaden, wenn ein Notebook gestohlen wird?

Hier wird auch der Schaden betrachtet, wenn die Daten, die auf einem Notebook gespeichert sind, von Dritten missbräuchlich verwendet werden.
Auch den Schaden, der auftritt, wenn ein Notebook zum Beispiel durch die Konkurrenz gestohlen wird, kann der Nutzer des Notebooks am besten bemessen. Die Schwierigkeit, die hier auftritt, ist, dass der Schaden oft nicht genau analysiert werden kann, sondern durch Reduktion des Umsatzes und des Gewinns nur schwer zu beziffern ist. Wenn betrachtet wird, dass die meisten Notebooks eines Unternehmens von der Unternehmensleitung, den Vertriebsleuten und den wichtigsten Entwicklern verwendet werden, diese mit ihrem Notebook auf Reisen gehen oder von zu Hause aus arbeiten, wo die Eintrittswahrscheinlichkeit höher ist und hier oft alle wichtigen Unternehmensinformationen wie zum Beispiel Preiskalkulationen, Entwicklungsdaten, Finanzanalysen, Lieferanten Einkaufspreise, Kundendaten, usw. gespeichert sind, fällt es nicht schwer zu erkennen, dass der mögliche Schaden sehr groß sein kann.

Wenn die unterschiedlichen Studien (Computer Security Institut – Crime&Security Survey, Security Issues and Trends, …) über die Schäden von verlorenen Notebooks analysiert werden, kommt als Ergebnis raus, dass im Schnitt der Schaden pro gestohlenem Notebook über EUR 10.000 liegt. Dies ist nur der Schaden, der durch missbräuchliche Verwendung der Daten entsteht, der Verlust der Hardware, Software und Wiederherstellung eines Ersatzgeräts muss noch zusätzlich betrachtet werden (EUR 2000 bis 3000).

Kosten für IT-Sicherheitsmaßnahmen

IT-Sicherheitsmaßnahme zum Schutz der Informationen, die auf einem Notebook gespeichert sind
Um die Kosten abzuschätzen, die notwendig sind, um ein Notebook angemessen zu schützen, wird angenommen, dass ein Festplattenverschlüsselungsprodukt verwendet wird. Das Festplattenverschlüsselungsprodukt arbeitet mit einer Boot-Authentifikation , das heißt, der Nutzer muss sich beim Hochfahren des Notebooks erst über die Eingabe eines Passwort s authentisieren. Alle Daten auf dem Notebook sind auf der Festplatte nur in verschlüsselter Form vorhanden. Nachdem sich der Nutzer authentisiert hat, werden durch diese Cyber-Sicherheitsmaßnahme die Daten, die verwendet werden, jeweils für die Verarbeitung entschlüsselt und in verschlüsselter Form wieder auf der Festplatte gespeichert. Wenn ein Dieb dieses Notebook stiehlt, kann er zum Beispiel durch den Ausbau der Festplatte an die Daten gelangen. Da diese aber verschlüsselt sind, kann der Dieb sie nicht für sich verwenden, und daher mit den Informationen auf dem Notebook keinen Schaden für den Besitzer, das Unternehmen, anrichten.

Der Schaden für den Nutzer, für das Unternehmen, bleibt bei dem Verlust des Notebooks einschließlich der installierten Software (2000 bis 3000 EUR) und der Wiederbeschaffung und Fertigstellung eines neuen Notebooks begrenzt.

Die Anschaffung einer solchen Cyber-Sicherheitsmaßnahme kostet ca. 110 EUR, das heißt, im Schnitt ca. 4 % des Anschaffungspreises eines Notebooks.

Berechnung der Return on Security Investment (RoSI)

Als Beispiel wird ein Unternehmen angenommen, bei dem 500 Mitarbeiter ein Notebook besitzen, auf dem sich für die Arbeit schützenswerte, wertvolle Daten befinden.

Annahmen:

• Schaden durch den Verlust der gespeicherten Daten pro gestohlenem Notebook = EUR 10.000
• Die Anzahl der Notebooks, die jedes Jahr gestohlen werden, wird mit 6 % = 30 Notebooks angenommen (Eintrittswahrscheinlichkeit). Tool Costs – T (Kosten für das Festplattenverschlüsselungsprodukt).
• Einmalige Lizenzkosten: 500 * EUR 110 = EUR 55.000
• Für die weiteren Kosten von Installation, Rollout und Verwaltung wird im ersten Jahr EUR 10.000 und in den folgenden Jahren EUR 5000 angenommen. Savings – S (vermiedener Schaden).
• 30 Notebooks * EUR 10.000 = EUR 300.000 (Schaden)

Hier wird nur der Schaden durch die missbräuchliche Verwendung der gespeicherten Daten betrachtet.

Hier zeigt sich, dass schon im ersten Jahr ein ROI von EUR 235.000 erzielt werden kann. Nach vier Jahren liegt der ROI bei EUR 1.120.000. Die RoSI-Berechung zeigt deutlich, dass das Investment T in Festplattenverschlüsselung kleiner ist als der verhinderte Schaden S, der durch die missbräuchliche Verwendung der gespeicherten Daten auftreten würde.

Weitere Informationen zum Begriff “Return on Security Investment (RoSI)”:

„Wirtschaftlichkeitsbetrachtung von IT-Sicherheitsmechanismen“

„Wirtschaftlichkeitsbetrachtung von IT-Sicherheitsmechanismen (II)“

„Pareto-Prinzip für IT-Sicherheit“

„Ex schola pro vita – Studien- und Fortbildungsangebote zur Cybersicherheit“

„Sandnet: Network Traffic Analysis of Malicious Software“

„Trusted Network Connect Vertrauenswürdige Netzwerkverbindungen“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Diskussion über die aktuelle Cyber-Sicherheitslage – politisch, technisch, rechtlich“

„Cyber-Sicherheitslage – Cyber-Sicherheitsstrategien“

„IT-Sicherheitspolitik“

„Cybersicherheitsstrategien in der veränderten Situation“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„Marktplatz IT-Sicherheit: IT-Notfall“

„Marktplatz IT-Sicherheit: IT-Sicherheitstools“

„Marktplatz IT-Sicherheit: Selbstlernangebot“

„Vertrauenswürdigkeits-Plattform“

Summary

Article Name

Return on Security Investment (RoSI)

Description

Return on Security Investment (RoSI) Berechnung ist eine Methode, mit der der Nutzenaspekt von Cyber-Sicherheitsmaßnahmen aufgezeigt werden kann. RoSI hat das Ziel darzustellen, ob und wann ein Investment in Sicherheitsmaßnahmen zu einem Return on Investment führt oder nicht.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo