Zahlen für die Sicherheit

Return on Security Invest: Sicherheit als lohnende Investition

Datum
28. Februar 2017
Autor

Egal, wie sinnvoll Maßnahmen zur Erhaltung und Verbesserung der Informationssicherheit sein mögen, für die Umsetzung braucht es Zeit und Geld. Oder beides. Um Ressourcen zu bekommen, müssen Sie als Sicherheitsverantwortlicher begründen können, weshalb sich der Einsatz auszahlt.

Eine Kennzahl, um zu bewerten, ob sich eine Ausgabe lohnen wird oder gelohnt hat, ist der Return on Investment. Diese betriebswirtschaftliche Kennzahl, kurz ROI, quantifiziert die Rendite einer unternehmerischen Tätigkeit.

ROI für Sicherheitsmaßnahmen

Im Zusammenhang mit Sicherheitsmaßnahmen spricht man vom Return on Security Invest, kurz RoSI. Beim RoSI stehen dem Kapitaleinsatz reduzierte Kosten gegenüber, weil Sicherheitsmaßnahmen in aller Regel keinen Gewinn erwirtschaften. Vielmehr reduzieren sie Risiken. So sorgen sie dafür, dass Kosten vermieden werden.

Einfache Theorie …

Der ROI berechnet sich als Quotient von Gewinn und eingesetztem Kapital. Sie setzen eine Maßnahme für 1000 EUR um und sparen 200 EUR. Das ergibt einen ROI von 20 Prozent.

Aber wie berechnen Sie die Kosten, die Sie durch die Risikoreduktion senken wollen? Zur Berechnung der theoretischen Kosteneinsparung benötigen wir einige grundlegende Größen aus dem Risikomanagement:

Single Loss Expectancy

Die einmalige Schadenserwartung (Single Loss Expectancy, SLE) beschreibt den erwarteten Schaden eines einmalig eingetretenen Risikos. Die Kosten, um einen Virus oder Trojaner zu entfernen und verloren (oder verschlüsselte) Daten wiederherzustellen, könnten beispielsweise 10.000 EUR betragen.

Annual Rate of Occurance

Die jährliche Eintrittswahrscheinlichkeit (Annual Rate of Occurance, ARO) gibt an, mit welcher Wahrscheinlichkeit ein Risiko innerhalb eines Jahres eintritt. Ohne Schutzmaßnahmen könnten zum Beispiel 20 Viren im Jahr die Rechner eines Unternehmens angreifen.

Annual Loss Expectancy

Die jährliche Schadenserwartung (Annual Loss Expectancy, ALE) ist das Produkt von SLE und ARO. Also ALE = SLE x ARO. In unserem Rechenbeispiel erwarten wir einen jährlichen Schaden durch Viren von 10.000 EUR x 20 = 200.000 EUR.

Cost of Solution

Der gesunde Menschenverstand sagt uns, dass diese Kosten zu hoch sind und es Zeit wird, in Antivirensoftware zu investieren. Die Lösung kostet Geld (Cost of Solution), in unserem Beispiel 30.000 EUR im Jahr.

Modified Annual Loss Expectancy

Nehmen wir an, die Virensoftware kann 18 von 20 Vireninfektionen verhindern. Die angepasste jährliche Schadenserwartung (modified ALE, mALE) beträgt 10.000 EUR x 2 = 20.000 EUR.

Der vollständige RoSI

Die Kosteneinsparung entspricht der jährlichen Schadenserwartung abzüglich der angepassten jährlichen Schadenserwartung, sowie der Kosten der Lösung. Der RoSI berechnet sich wie folgt:

Return on Security Invest

RoSI = (ALE – mALE – Cost of Solution) / (Cost of Solution)

Die Rechnung für unser Beispiel:

(200.000 EUR – 20.000 EUR – 30.000 = EUR) / 30.000 EUR = 500%

… schwierige Praxis

In unserem Beispiel beträgt die Rendite sensationelle 500 Prozent. Eine lohnende Investition, wie sie der gesunde Menschenverstand ebenfalls empfohlen hätte. Fällt die Rendite tiefer aus, wird die Entscheidung schwieriger. Liegt die erwarte Rendite nur bei 10 Prozent, gäbe es vielleicht andere Maßnahmen, die lohnender wären. Oder andere unternehmerische Vorhaben, die mehr Rendite versprechen.

Traue keiner Statistik …

Die Kosten der Lösung ermitteln mag bereits schwierig sein. Sollen die Gesamtbetriebskosten (Total Cost of Ownership, TCO) zu Grunde gelegt werden? Was passiert mit den Fixkosten („Eh-da-Kosten“, EDA)? Verlusterwartung und Eintrittswahrscheinlichkeit sind viel unsicherer.

Berechnung der Schadenserwartung

Ein Anhaltspunkt für die Berechnung des zu erwartenden Schadens kann der Sachwert der Assets sein, unter Berücksichtigung der Betroffenheit von Ereignissen. Eine Lagerhalle im Wert von 20 Millionen EUR brennt beispielsweise nur zu einem Viertel ab. SLE gleich 5 Millionen EUR.

Die Kosten für die Beseitigung des Schadens sollten auch berücksichtigt werden. Die Hardware der Computer wird als Folge eines Virenbefalls (in der Regel) nicht beschädigt. Damit sie wieder sicher genutzt werden kann, muss die IT-Abteilung jedoch einen gewissen Aufwand leisten. Möglicherweise müssen auch externe Spezialisten zur Unterstützung beigezogen werden.

Egal, ob Produktionsstraße oder Webshop, ein Ausfall bedeutet Umsatzverlust.

Informationen wie Strategien oder Konstruktionspläne können einem Mitbewerber einen Vorteil verschaffen. Der entstandene Schaden kann beträchtlich sein, ist aber nur schwer quantifizierbar.

Reputationsverluste werden häufig als Konsequenz von Cyberangriffen angeführt, sind aber kaum zu berechnen. Der Verkauf von Yahoo an Verizon ist eines der seltenen Beispiele, wo der Schaden genau ausgewiesen wurde. Verizon schätzt, das als Folge des Hacks von 500 Millionen Yahoo-Konten der Dienst in Zukunft weniger genutzt wird. Das Kerngeschäft soll darum 375 Millionen US-Dollar weniger wert sein als in der ursprünglichen Kaufofferte.

Nicht zu unterschätzen sind außerdem Bußgelder. Verstöße gegen das BDSG oder das IT-SiG und die darin formulierten Meldepflichten können mit Bußgeldern bis zu 100.000 EUR bestraft werden. ((Update vom 20. Juni 2017: Auch die EU-Datenschutz-Grundverordnung schreibt Sanktionen (siehe Artikel 83 und 84) vor. Die strafrechtlichen Sanktionen sollen von den einzelnen Mitgliedsstaaten selber festgelegt werden. Die EU-DSGVO sieht Bußgelder bis zu 20 Milliionen Euro oder vier Prozent des gesamten weltweit erwirtschafteten Jahresumsatzes im Vorjahr vor.))

Viele dieser Faktoren hängen von der persönlichen Einschätzung ab. Der Leiter der IT-Abteilung wird für den kurzfristigen Ausfall von Kommunikationseinrichtungen einen geringeren Schaden erwarten als der Rechtsanwalt, der deswegen Fristen in einer wichtigen Rechtssache versäumt.

Anstelle hypothetischer Abschätzungen hat sich der Blick in die Vergangenheit bewährt. Was haben Sie im letzten ähnlichen Fall getan? Wie hoch war der finanzielle Schaden?

Eintrittswahrscheinlichkeiten

Schwierig wird es, Schadenshöhen abzuschätzen, wenn keine Erfahrungswerte vorliegen. Manche Ereignisse treten glücklicherweise sehr selten ein. Die Eintrittswahrscheinlichkeit sinnvoll zu schätzen ist darum außerordentlich schwierig. Wo keine konkreten eigenen Erfahrungen vorliegen, können Statistiken helfen.

Fazit

Die vorgestellte Methodik für die Berechnung der Wirtschaftlichkeit von Sicherheitsmaßnahmen schafft die Grundlagen für ein gemeinsames Verständnis. Die Faktoren werden systematisch betrachtet und benannt.

Die Faktoren Eintrittswahrscheinlichkeit und Schadenserwartung bleiben erläuterungsbedürftige Annahmen. Ein konsistenter und für alle Beteiligten gangbarer Weg könnte sein, unternehmensinterne Richtlinien zur Berechnung von Schadenserwartungen und eine Aufstellung der Eintrittswahrscheinlichkeiten zu definieren.

In ihrer Studie aus dem Jahr 2002 beschäftigen sich die Ökonomen Lawrence Gordon und Martin Loeb mit der Ökonomie von Investitionen in Informationssicherheit. Die beiden kommen zum Schluss, dass optimale Investitionen nicht proportional mit der Ausnutzbarkeit von Schwachstellen steigen.

Die selbe Studie trifft außerdem eine der seltenen konkreten Aussagen: „Die optimalen Ausgaben für die Informationssicherheit übersteigen niemals 37 Prozent des erwarteten Verlustes aus einer Sicherheitsverletzung (und liegen in der Regel deutlich unter 37 Prozent). Daher wäre der optimale Betrag für die Informationssicherheit typischerweise weit weniger als der erwartete Verlust aus einer Sicherheitsverletzung.“

Ein Managementsystem für Informationssicherheit ist eine sinnvolle Investition, weil das ISMS die solide Basis ist, um Infrastrukturen, Prozesse sowie Informationen umfassend und strukturiert zu schützen.