Return on Security Investment

Wann sich Investitionen in IT-Sicherheit rechnen

09.12.2016 von Stefan Pechardscheck und Remigiusz Plath  
Die Methode Return on Security Investment (RoSI) dient als Entscheidungshilfe für Investitionen in IT-Security. Nicht in jedem Fall klappt das. Chancen und Probleme.
  • Das RoSI-Verfahren basiert auf den Methoden Return on Investments und Total Cost of Ownership. Es dient es als Entscheidungshilfe für Investitionen und die Budgetplanung.
  • Bei Investitionen in langfristige, präventive IT-Sicherheitsmaßnahmen dient das RoSI-Verfahren weniger als Entscheidungshilfe.
  • Die RoSI-Methode ist hilfreich, wenn alle Prozesse und Methoden detailliert definiert und beziffert werden können. Die Ergebnisse verbessern die Wirtschaftlichkeit unmittelbar.
Das RoSI-Verfahren (Return on Security Investment) basiert auf den Methoden Return on Investments und Total Cost of Ownership.
Foto: bleakstar - shutterstock.com

Digital abgespeichertes Wissen ist heutzutage in vielerlei Hinsicht für Unternehmen von Bedeutung: in der Wertschöpfungskette stellt es eine zentrale Komponente dar, bestimmt den Unternehmenswert mit und verschafft Firmen nicht selten einen Wettbewerbsvorteil. Es stellt Unternehmen außerdem vor die Herausforderung, gespeicherte Informationen angemessen zu sichern.

Keine eindeutige Kostenstelle für IT-Sicherheit

Studien belegen, dass zunehmend mehr Geld für IT-Sicherheit ausgegeben wird. Jedoch zeigt sich dabei auch, dass die Minderheit der befragten Unternehmen IT-Sicherheitsinvestitionen auf eine separate, eindeutig identifizierbare Kostenstelle budgetiert. Das Reporting und Controlling sowie die Steuerung von IT-Sicherheitsinvestitionen werden dadurch erschwert. Somit stehen Unternehmen vor den zentralen Herausforderungen, wie sie handeln können, um Daten und Wissen vor Cyberkriminalität zu schützen und inwieweit Investitionen dafür nötig, plan- und messbar sind.

Entscheidungshilfe RoSI

An dieser Stelle setzt das Return on Security Investment-Verfahren (RoSI) an. Basierend auf den Konzepten des klassischen Return on Investments und der Total Cost of Ownership dient es als Entscheidungshilfe für Investitionen und die Budgetplanung.

Dabei muss allerdings beachtet werden, dass IT-Sicherheitsinvestitionen präventiv getätigt werden, was die Ermittlung exakter Kennzahlen erschwert. Generell gilt: Eine Investition sollte nicht höher als der potenziell eintretende Schaden sein, wenn auf die Investition verzichtet wird. Andererseits sind auch IT-Investitionen möglich, die Kosten kurzfristig senken und so die Wirtschaftlichkeit erhöhen, wie das Single-Sign-On (SSO).

Grundsätzlich müssen Investitionen demnach in langfristige, präventive IT-Sicherheitsinvestitionen und in Investitionen in die Wirtschaftlichkeitsverbesserung unterschieden werden.

Wo RoSI wenig hilft

Im Vordergrund stehen bei langfristigen, präventiven Maßnahmen Investitionen in die IT-Security und -Infrastruktur. Aufgrund ihrer Natur als Vorsorgemaßnahmen sind sie kaum quantifizierbar - es kann sein, dass der Gefahrenfall nie eintritt. Demzufolge kann das RoSI-Verfahren hier nicht als Entscheidungshilfe dienen.

Stattdessen sollte eine Einschätzung des Risikos erfolgen, dessen Grad festgelegt wird, indem die Eintrittswahrscheinlichkeit (EW) mit dem Ausmaß (AM) multipliziert wird. Da die Risikoeinschätzung jedoch oft subjektiv belastet ist, kann es hier zu Schwierigkeiten kommen, die durch weitere Herausforderungen wie unvollständiges Wissen seitens des Managements potenziert werden können.

Mehr IT-Sicherheit durch Gamification
Belohnung erwünscht
Belohnen Sie Mitarbeiter, die sich an die Unternehmensvorgaben beziehungsweise Sicherheitsrichtlinien halten. Das wird diese wiederum anspornen, ihr Verhalten beizubehalten. Ein Beispiel für Gamification wäre in diesem Zusammenhang, dass Mitarbeiter digitale (oder physische) Plaketten, Pokale oder Auszeichnungen erhalten - etwa wenn Sie es schaffen, 100 E-Mails ohne Compliance-Verstoß zu verschicken.
Anreize schaffen
Wenn ein Angestellter in ihrem Unternehmen bereits eine beeindruckende Sammlung an digitalen Auszeichnungen erlangt hat, bieten Sie ihm die Möglichkeit, diese gegen "echte" Vorteile einzutauschen - zum Beispiel Geschenkgutscheine oder Sonderzulagen.
Offener Dialog
Durch den Einsatz von Gamification können Unternehmen einen neuen Umgang mit dem Thema Datenschutz fördern. Statt externe Spezialisten gähnend langweilige Vorträge über Compliance und Datenschutz halten zu lassen, könnte ein offener Dialog zwischen den Mitarbeitern entstehen, in dem diese sich - auf Basis ihrer Erfolge, Herausforderungen und Erfahrungen im Gamification-System - aus freien Stücken über Best Practices austauschen.
Bewusstseinsbildung
Cybersecurity-Trainings sind am effektivsten, wenn sie einmal pro Jahr abgehalten werden. Allerdings hält sich ein großer Teil der Unternehmen nicht an diesen Zyklus, in der Regel aus Zeit- und/oder Kostengründen. Durch den Einsatz von Gamification sind Mitarbeiter eher in der Lage, eigenes Fehlverhalten anzuerkennen, die Folgen ihres Handelns zu erkennen und ihr Verhalten auf lange Sicht zu ändern.
Engagement fördern
Sie sollten Ihre Angestellten dazu ermutigen, ihre Auszeichnungen am Arbeitsplatz zur Schau zu stellen. Außerdem sollten Sie ihren Führungskräften auftragen, gutes Verhalten dadurch zu belohnen, dass eine monatliche Bestenliste veröffentlicht wird (Mitbestimmung beachten!). Ranglisten und Auszeichnungen sorgen dafür, dass die Spielteilnehmer sofort ins Game hineingezogen werden. Davon abgesehen fördert ein solches Vorgehen die interne Kommunikation, wodurch wiederum das Engagement aller Mitarbeiter gestärkt wird.
Fachkräfte finden
Immer noch ringt die IT-Branche mit einem ausgeprägten Fachkräftemangel - insbesondere wenn es um das Thema IT-Sicherheit geht. Einige Organisationen - etwa die britische Cyber Security Challenge - haben es sich zur Aufgabe gemacht, dieses Problem mit jährlichen Wettbewerben zu lösen. Bei diesen Veranstaltungen werden die Teilnehmer mit simulierten Bedrohungssituationen konfrontiert, die sie dann auf Grundlage ihrer Fähigkeiten meistern müssen. Die Gewinner bekommen in der Regel lukrative Job-Angebote von großen IT-Unternehmen oder Regierungsinstitutionen, die die Challenge mit Sponsorgeldern unterstützen.
Kontrolle ist besser
Natürlich kann der Einsatz von Gamification nur dann Früchte tragen, wenn die Mitarbeiter das Gelernte auch auf Szenarien in der echten Welt anwenden. Um das sicherzustellen, sollten Unternehmen unbedingt die Effektivität ihrer Gamification-Bemühungen an der Entwicklung des realen Risikopotentials messen. Zu diesem Zweck sollten Sie regelmäßige, interne Prüfungen durchführen, um herauszufinden welche Mitarbeiter trotz aller Bemühungen immer noch ein Sicherheitsrisiko darstellen.

Abhilfe kann das RoSI-Verfahren hier also nicht schaffen, da zur Berechnung nicht nur die Höhe der Ausgaben, sondern auch ihr Nutzen bekannt sein müssten. Zu quantifizieren, was es kosten würde, würde eine Sicherheitsmaßnahme nicht getroffen, ist allerdings nicht möglich.

Die schwierige Planbarkeit bedeutet jedoch nicht, dass IT-Sicherheitsinvestitionen nicht lohnenswert sind - ihnen sollte sogar höchste Priorität beigemessen werden. Basierend auf Erfahrungswerten und finanzmathematischen Rechnungen ist es durchaus abschätzbar, wie teuer und komplex die Einführung eines neuen IT-Produkts wäre.

Wo RoSI sinnvoll ist

Die RoSI-Methode hingegen ist angemessen, wenn alle Prozesse und Methoden detailliert definiert und beziffert werden können. Vorteil ist, dass die Ergebnisse direkt zur Verbesserung der Wirtschaftlichkeit verwendet werden können.

Formel und Berechnung von RoSI

Die Berechnung erfolgt mittels folgender Formel:

RoSI = RCn - ((RCn - ESn ) + IC)

Zur Erklärung der Variablen:

Als zweite Art der IT-Investitionen wurde die Verbesserung der Wirtschaftlichkeit durch die Nutzung von IT erwähnt. Diese tragen zur gesteigerten Rentabilität des Systems bei, zum Beispiel durch Kostensenkungen und Zeiteinsparungen. Kosten-Nutzen-Analysen können hier problemlos durchgeführt werden, da Einflussfaktoren wie Zeit beziehungsweise deren Ersparnis sich beispielsweise leicht in Geld umrechnen lassen.

Kosten für IT-Security können außerdem mittels Zuschlagsvariante berechnet werden, wobei für die Gemeinkosten nach Planung und Durchführung von Projekten ein Sicherheitszuschlag zwischen zwei und 15 Prozent erhoben wird, was allerdings keine Transparenz ermöglicht. Um zusätzliche Planungssicherheit zu gewinnen, wird der Vergleich mit anderen Unternehmen der Branche herangezogen (Benchmarking). Dies bietet vor allem mittelständischen Betrieben eine sinnvolle Hilfestellung.

Zusammenfassung

Zusammenfassend lassen sich folgende Kernpunkte für den Umgang mit IT-Sicherheitsinvestitionen definieren: