11. Kosten/Nutzen-Relationen der Risiko-Behandlung

In diesem Buch soll das Risikomanagement vor allem aus den Perspektiven der Governance und der Compliance auf die Vorgehensweisen rund um die Risiken der Informationstechnologien und Informationen heruntergebrochen werden. Wie in Abschn. 5.​5.​1 ausgeführt, erwarten die Anspruchsgruppen von der Governance eines Unternehmens, dass das Unternehmen Nutzen generiert unter gleichzeitiger Optimierung der Risiken und der Optimierung der dafür notwendigen Ressourcen. Das heute praktizierte Risikomanagement der Informationssicherheit zielt vor allem auf die Verhinderung von Risiko-Ereignissen und der Verminderung grosser Schäden ab. Inwieweit daraus ein Nutzen für das Unternehmen generiert wird ist mit den gebräuchlichen Methoden schwer zu beantworten. Jedoch sind die Fragen der Nutzengenerierung bei der Finanzierung der meist aufwendigen und kostenintensiven Sicherheitsmassnahmen notwendig. In diesem Kapitel werden daher einige der heute angewandten Lösungsansätze zur möglichen Optimierung von Informationssicherheits-Risiken unter gleichzeitiger Optimierung der Ressourcen diskutiert. Das heute oft angewandte Verfahren einer „Return on Security Investments“-Berechnung (ROSI) ist in einigen Aspekten fragwürdig, wie aus den Ausführungen dieses Kapitels hervorgeht. Die Nutzenbestimmung auf die Erfüllung der an das Unternehmen gestellten Anforderungen und Bewertung der Erfüllung von Unternehmenszielen zurückzuführen, ist ein alternativer und erfolgversprechender Ansatz. Selbstverständlich gilt es auch bei einem solchen Ansatz den Risiken weiterhin angemessene Massnahmen entgegenzusetzen und die Kosten der Massnahmen mit geeigneten Verfahren, wie sie in diesem Kapitel vorgeschlagen werden, zu kontrollieren.