Skip to main content
Top

Hint

Swipe to navigate through the chapters of this book

2017 | OriginalPaper | Chapter

11. Kosten/Nutzen-Relationen der Risiko-Behandlung

Author : Hans-Peter Königs

Published in: IT-Risikomanagement mit System

Publisher: Springer Fachmedien Wiesbaden

share
SHARE

Überblick

In diesem Buch soll das Risikomanagement vor allem aus den Perspektiven der Governance und der Compliance auf die Vorgehensweisen rund um die Risiken der Informationstechnologien und Informationen heruntergebrochen werden. Wie in Abschn. 5.​5.​1 ausgeführt, erwarten die Anspruchsgruppen von der Governance eines Unternehmens, dass das Unternehmen Nutzen generiert unter gleichzeitiger Optimierung der Risiken und der Optimierung der dafür notwendigen Ressourcen. Das heute praktizierte Risikomanagement der Informationssicherheit zielt vor allem auf die Verhinderung von Risiko-Ereignissen und der Verminderung grosser Schäden ab. Inwieweit daraus ein Nutzen für das Unternehmen generiert wird ist mit den gebräuchlichen Methoden schwer zu beantworten. Jedoch sind die Fragen der Nutzengenerierung bei der Finanzierung der meist aufwendigen und kostenintensiven Sicherheitsmassnahmen notwendig. In diesem Kapitel werden daher einige der heute angewandten Lösungsansätze zur möglichen Optimierung von Informationssicherheits-Risiken unter gleichzeitiger Optimierung der Ressourcen diskutiert. Das heute oft angewandte Verfahren einer „Return on Security Investments“-Berechnung (ROSI) ist in einigen Aspekten fragwürdig, wie aus den Ausführungen dieses Kapitels hervorgeht. Die Nutzenbestimmung auf die Erfüllung der an das Unternehmen gestellten Anforderungen und Bewertung der Erfüllung von Unternehmenszielen zurückzuführen, ist ein alternativer und erfolgversprechender Ansatz. Selbstverständlich gilt es auch bei einem solchen Ansatz den Risiken weiterhin angemessene Massnahmen entgegenzusetzen und die Kosten der Massnahmen mit geeigneten Verfahren, wie sie in diesem Kapitel vorgeschlagen werden, zu kontrollieren.
Footnotes
1
In der anglo-amerikanischen Literatur ist dieser jährlich zu erwartende Verlust unter der Bezeichnung „Annual Loss Exposure“ oder kurz ALE zu finden (vgl. [Sonn06]).
 
2
Vorsicht: Analogien zur Finanzkennzahl ROI sind nicht ohne weiteres zulässig, da die Finanzkennzahl ROI eine Ertrags-Kennzahl darstellt, hingegen in eine ROSI-Berechnung keine Erträge eingehen.
 
3
Die Vollkostenrechnung berücksichtigt entgegen der Teilkostenrechnung auch die Kosten (Gemeinkosten), die nicht einem Kostenträger direkt zugerechnet werden können.
 
4
Die „Total Cost of Ownership“ enthalten, zusätzlich zur „Vollkostenrechnung“, die alles umfassenden Gesamtkosten einer Investition über die gesamte Lebensdauer, einschliesslich der zum Teil versteckten indirekten Kosten und der Folgekosten wie beispielsweise für die Entsorgung.
 
5
Interessant ist die in [Dübe04] anhand des Modells vorgenommene Schadenseinschätzung, die für den Fall einer „massiven“ DDOS-Attacke auf das Internet Schweiz (Totalausfall 1 Woche) einen wirtschaftlicher Schaden von CHF 6 Mia. ausweist.
 
Literature
[Dübe04]
go back to reference Dübendorfer, Thomas, Arno Wagner und Bernhard Plattner: „An Economic Damage Model for Large-Scale Internet Attacks“, in Proceedings of 13th IEEE International Workshops on Enabling Technologies (WET ICE 2004); Enterprise Security (ES), IEEE, 2004. Dübendorfer, Thomas, Arno Wagner und Bernhard Plattner: „An Economic Damage Model for Large-Scale Internet Attacks“, in Proceedings of 13th IEEE International Workshops on Enabling Technologies (WET ICE 2004); Enterprise Security (ES), IEEE, 2004.
[Dübe05]
go back to reference Dübendorfer, Thomas: Impact Analysis, Early Detection and Mitigation of Large-Scale Internet Attacks. Dissertation Swiss Federal Institut of Technology Zürich, Zürich: ETH, 2005. Dübendorfer, Thomas: Impact Analysis, Early Detection and Mitigation of Large-Scale Internet Attacks. Dissertation Swiss Federal Institut of Technology Zürich, Zürich: ETH, 2005.
[Isae06]
go back to reference ISACA: IS Auditing Guideline Return on Security Investment Exposure Draft. Rolling Meadows: Information Systems Audit and Control Association, 2006. ISACA: IS Auditing Guideline Return on Security Investment Exposure Draft. Rolling Meadows: Information Systems Audit and Control Association, 2006.
[Sonn06]
go back to reference Sonnenreich, Wes, Jason Albanese and Brouce Stout: „Return On Security Investment (ROSI) – A Practical Quantitative Model.“ Journal of Research and Practice in Information Technology, Vol. 38, February 2006, 55–66. Sonnenreich, Wes, Jason Albanese and Brouce Stout: „Return On Security Investment (ROSI) – A Practical Quantitative Model.“ Journal of Research and Practice in Information Technology, Vol. 38, February 2006, 55–66.
Metadata
Title
Kosten/Nutzen-Relationen der Risiko-Behandlung
Author
Hans-Peter Königs
Copyright Year
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_11

Premium Partner