Return on Security Investment

Ist RoSI berechenbar?

06.05.2002 von Roland Keller
US-Forscher behaupten, dass sich nun auch in Sachen IT-Sicherheit der Return on Investment (RoI) exakt beziffern lässt. Praktikern sind die Ergebnisse jedoch nicht aussagekräftig genug, um Finanzverantwortliche zu überzeugen.

Das RoSi (Return on Security Investment) -Modell der University of Idaho wirkt im ersten Moment überzeugend: Man nehme die Kosten für die IT-Sicherheit, prüfe, wie effektiv die Sicherheit tatsächlich war, und stelle dem gegenüber, welche Verluste eingetreten wären, wenn es keine Sicherheitsinvestitionen gegeben hätte. In Zahlen: 40000 Dollar Investment, das für 85 Prozent Sicherheit sorgt, bringen bei einem Risiko von 100000 Dollar eine Einsparung von 45000 Dollar. Darüber hinaus hat die Carnegie Mellon University (CMU) mit empirischen Daten der amerikanischen CERT-Organisation (www.cert.org) eine Regressionsanalyse entwickelt, bei der zwei Kurven das Verhältnis zwischen Sicherheitsaufwendungen und dem Grad der erzielten Sicherheit darstellen sollen.

Beide Untersuchungen haben RoSI in den USA zu erster Popularität verholfen. Schließlich benötigen CIOs nicht nur in kritischen Zeiten Argumente, um Ausgaben für Sicherheit zu legitimieren. Doch eine Lovestory mit der jungen Dame scheint noch nicht in Sicht: Zu akademisch und praxisfern seien die Modelle, lautet die Kritik.

Wackelige Berechnungsbasis

Der CEO des amerikanischen Unternehmens Cyberguardian, Javier Lorenzo, sieht den Knackpunkt der Berechnungen darin, festzustellen, wie hoch die verhinderten oder verhinderbaren Schäden tatsächlich sind. In jedem Unternehmen gebe es zahlreiche Variablen, die in die Rechnung einfließen müssen. Netzwerk-Tracking allein reiche nicht, um ein differenziertes Szenario abzudecken, das von interner Sabotage bis hin zum Hack von außen reicht.

Auch Klaus Vitt von T-Com, der Mittelstands- und Privatkundentochter der Deutschen Telekom, erliegt nicht gleich dem Charme von RoSI. "Eine Kosten-Ertrags-Rechnung für das Gesamtunternehmen beim Thema Sicherheit halte ich für schwierig, da verlässliche Daten nur mit einem enormen Aufwand zu ermitteln und bei verhinderten Schäden nur schwer zu interpretieren sind", erklärt der Bereichsvorstand für Information und Prozessmanagement. Von RoSI-Prognosen hält er ebenfalls wenig, da sich die Szenarien ständig verändern. "Stattdessen führen wir Einzelfallrechnungen durch."

Auf verlorenem Posten steht RoSI indes nicht, meint Werner Roß, Marketing-Manager bei der IBM-Software-Group Tivoli: "IT-Manager, die ihre Projekte im Unternehmen darstellen müssen, sind für jedes Zahlenargument dankbar." Die Anforderungen bei der Verteidigung von Sicherheitsinvestitionen würden deutlich steigen. Da sei es logisch, dass das Thema Return on Investment auch auf die IT-Sicherheit ausgeweitet wird. Roß zufolge gehört es zum Handwerkszeug jedes Beraters, den Kunden zu belegen, dass sich ihre Investitionen rechnen. Feste Rechenregeln gebe es allerdings nicht; das Verfahren sei vom Einzelfall abhängig.

Um RoSI-Rechnungen nach dem Muster der University of Idaho anstellen zu können, müssen alle sicherheitsrelevanten Daten dokumentiert und interpretiert werden. Nur so lassen sich Anforderungen, Kosten und Nutzen verlässlich darstellen. Roß nennt folgende Faustregel: Je größer ein Kunde, desto eher seien Kosten-Nutzen-Rechnungen für Security-Ausgaben üblich. Prämienberechnungen reichen nicht

Risikoberechnungen, wie sie IT-Versicherungen durchführen, das betont Sicherheitsexperte Klaus Wagner, könnten zwar eine Hilfe sein, um Risiken einzuschätzen. Doch letztlich müsse jedes Unternehmen seinen Bedarf an Sicherheit individuell einschätzen und ihn technisch sowie organisatorisch abdecken, sagt der Abteilungsdirektor IT-Management bei Gerling Risiko Consulting. Denn ohne eine Grundsicherheit im IT-Bereich seien Versicherer nicht bereit, Risiken abzudecken.

Allerdings, räumt Wagner ein, helfen bei Kosten-Nutzen-Rechnungen im Unternehmen die klassischen Prämienberechnungen der Versicherer nicht weiter. Denn hier werden die Risiken durch die Masse der Versicherten über den Prämientopf abgedeckt. Die Kernfrage sei, wie sich hohe Sicherheitskosten durchsetzen lassen. Nach seiner Erfahrung akzeptieren Controller Sicherheitsmaßnahmen mit einem Investitionsvolumen von einem Prozent der zu erwartenden Schadenhöhe ohne große Vorbehalte. "Volumina von mehr als zehn Prozent der zu erwartenden Schadenhöhe sind dagegen kaum durchzusetzen." Dies gelte für einmalige Investitionen. Bei den laufenden Kosten dagegen verschöben sich die Aktzeptanzgrenzen deutlich nach unten. Messgröße sei dann der Anteil am IT-Budget. Und zehn Prozent für laufende Security-Ausgaben gelten nach seiner Beobachtung branchenübergreifend als akzeptabler Wert.

Bei Schadenszenarien empfiehlt Wagner jedoch, genau nachzurechnen, ob sich die Schäden tatsächlich negativ auf die Bilanz auswirken. Er stelle oft fest, dass Risiken falsch eingeschätzt werden. Nur wenige Unternehmen, so seine überraschende Diagnose, seien wirklich von Hacker- und Virenangriffen bedroht. Zudem ließen sich die Probleme oft ohne Überstunden und zusätzliche Kosten durch die IT-Abteilungen beheben. Wesentlich größer sei die Gefahr interner Diebstähle oder Manipulationen.

Wer sichere Transaktionsmethoden anbietet, kann damit durchaus sein E-Business stärken, was bisher allerdings kaum durch Untersuchungen belegt wurde. Die Frage ist, wie derlei Größen in RoSI-Rechnungen ein-gebunden werden können. Wagner meint, in der Praxis spielten RoSI-Erwägungen eine geringere Rolle als das Argument, durch ein hohes Sicherheitsniveau lasse sich die Wettbewerbskraft stärken.

Kosten-Nutzen-Rechnungen von IT-Sicherheitsausgaben seien dort am weitesten verbreitet, wo die IT zur Kernkompetenz gehört, so Norbert Pohlmann vom Sicherheitsausstatter Utimaco. Thorsten Klohn, IT-Chef bei Credit-reform in Düsseldorf, bestätigt: "Unser Geschäft sind Daten; der Sicherheitsbedarf ist deshalb ähnlich hoch wie bei Banken." Somit gebe es in seinem Haus keinen Druck, für Etatverhandlungen eine RoSI-Rechnung aufzustellen. Gefordert sei einfach der optimale Schutz.

Den Verzicht auf RoI-Rechnungen von IT-Security bedeute das freilich nicht. Grenzkostenrechnungen, so Klohn, zeigten oft, dass auch mit hohen Kostensprüngen relativ wenig zusätzliche Sicherheit erreichbar sei. Die Schmerzgrenze werde da häufig überschritten.
Je früher, desto ertragreicher

Vor jeder RoSI-Berechnung , sagt Pohlmann von Utimaco, müssten die Levels von Risiko und Sicherheit definiert werden. Ein aktives Risk-Management könne solchen Berechnungen zusätzlich eine stärkere Basis verschaffen. Risikofachleute wie Wagner warnen allerdings davor, sich hierbei allein auf historische Daten zu verlassen. Zwar könne man möglicherweise den Ertrag zurückliegender Investitionen genauer bestimmen; doch das Bedrohungsszenario in der Informationstechnik hält er für viel zu dynamisch, um verlässliche Prognosen treffen zu können.

Kein Verlass also auf RoSI? Immerhin gibt es Forschungen, denen zufolge IT-Sicherheitsinvestitionen umso kostengünstiger sind, je früher sie realisiert werden. Zu diesem Ergebnis kommen die Sloan School of Management am Massachusetts Institute of Technology (MIT), die Stanford University und die US-Unternehmensberatung Stake. Eine Umfrage unter 500 US-Unternehmen ergab einen RoSI-Wert von 21 Prozent, wenn bereits beim Design von IT-Systemen die Security mitgeplant wurde. Der Ertrag ging dagegen auf 15 beziehungsweise 12 Prozent zurück, wenn erst bei der Implementierung und in der Testphase an die Sicherheit gedacht wurde. Wer sich gar erst in der Praxis um die Sicherheit der Software kümmerte, musste der Studie zufolge sechsmal höhere Kosten tragen.

Ob sich Methoden und Technologien der IT-Security mit der RoSI-Elle messen lassen, ist offen. Wie so oft ist es der Faktor Mensch, der sich den Berechnungen entzieht. Die tatsächlichen Kosten von Sicherheitssystemen hingen aber auch von der Akzeptanz durch die Mitarbeiter ab, gibt Security-Experte Pohlmann zu bedenken. Es könne günstiger sein, teure biometrische Zugangskontrollen für Rechner und Räume einzuführen, statt vergessliche Mitarbeiter ständig mit neuen Passwörtern oder Lesekarten zu versorgen. Statt komplizierter Rechnungen also einfach "Kiss" - Keep IT-Security simple and stupid.