Return on Security Investment

Wann sich Investitionen in IT-Sicherheit rechnen

04.01.2017
Von    und Remigiusz Plath
Stefan Pechardscheck schreibt als Experte zum Thema IT Strategy & Governance. Er ist Partner bei der Management- und Technologieberatung BearingPoint und verantwortet dort das Thema Technology Advisory.
Die Methode Return on Security Investment (RoSI) dient als Entscheidungshilfe für Investitionen in IT-Security. Nicht in jedem Fall klappt das. Chancen und Probleme.
  • Das RoSI-Verfahren basiert auf den Methoden Return on Investments und Total Cost of Ownership. Es dient es als Entscheidungshilfe für Investitionen und die Budgetplanung.
  • Bei Investitionen in langfristige, präventive IT-Sicherheitsmaßnahmen dient das RoSI-Verfahren weniger als Entscheidungshilfe.
  • Die RoSI-Methode ist hilfreich, wenn alle Prozesse und Methoden detailliert definiert und beziffert werden können. Die Ergebnisse verbessern die Wirtschaftlichkeit unmittelbar.
Das RoSI-Verfahren (Return on Security Investment) basiert auf den Methoden Return on Investments und Total Cost of Ownership.
Das RoSI-Verfahren (Return on Security Investment) basiert auf den Methoden Return on Investments und Total Cost of Ownership.
Foto: bleakstar - shutterstock.com

Digital abgespeichertes Wissen ist heutzutage in vielerlei Hinsicht für Unternehmen von Bedeutung: in der Wertschöpfungskette stellt es eine zentrale Komponente dar, bestimmt den Unternehmenswert mit und verschafft Firmen nicht selten einen Wettbewerbsvorteil. Es stellt Unternehmen außerdem vor die Herausforderung, gespeicherte Informationen angemessen zu sichern.

Keine eindeutige Kostenstelle für IT-Sicherheit

Studien belegen, dass zunehmend mehr Geld für IT-Sicherheit ausgegeben wird. Jedoch zeigt sich dabei auch, dass die Minderheit der befragten Unternehmen IT-Sicherheitsinvestitionen auf eine separate, eindeutig identifizierbare Kostenstelle budgetiert. Das Reporting und Controlling sowie die Steuerung von IT-Sicherheitsinvestitionen werden dadurch erschwert. Somit stehen Unternehmen vor den zentralen Herausforderungen, wie sie handeln können, um Daten und Wissen vor Cyberkriminalität zu schützen und inwieweit Investitionen dafür nötig, plan- und messbar sind.

Entscheidungshilfe RoSI

An dieser Stelle setzt das Return on Security Investment-Verfahren (RoSI) an. Basierend auf den Konzepten des klassischen Return on Investments und der Total Cost of Ownership dient es als Entscheidungshilfe für Investitionen und die Budgetplanung.

Dabei muss allerdings beachtet werden, dass IT-Sicherheitsinvestitionen präventiv getätigt werden, was die Ermittlung exakter Kennzahlen erschwert. Generell gilt: Eine Investition sollte nicht höher als der potenziell eintretende Schaden sein, wenn auf die Investition verzichtet wird. Andererseits sind auch IT-Investitionen möglich, die Kosten kurzfristig senken und so die Wirtschaftlichkeit erhöhen, wie das Single-Sign-On (SSO).

Grundsätzlich müssen Investitionen demnach in langfristige, präventive IT-Sicherheitsinvestitionen und in Investitionen in die Wirtschaftlichkeitsverbesserung unterschieden werden.

Wo RoSI wenig hilft

Im Vordergrund stehen bei langfristigen, präventiven Maßnahmen Investitionen in die IT-Security und -Infrastruktur. Aufgrund ihrer Natur als Vorsorgemaßnahmen sind sie kaum quantifizierbar - es kann sein, dass der Gefahrenfall nie eintritt. Demzufolge kann das RoSI-Verfahren hier nicht als Entscheidungshilfe dienen.

Stattdessen sollte eine Einschätzung des Risikos erfolgen, dessen Grad festgelegt wird, indem die Eintrittswahrscheinlichkeit (EW) mit dem Ausmaß (AM) multipliziert wird. Da die Risikoeinschätzung jedoch oft subjektiv belastet ist, kann es hier zu Schwierigkeiten kommen, die durch weitere Herausforderungen wie unvollständiges Wissen seitens des Managements potenziert werden können.

Abhilfe kann das RoSI-Verfahren hier also nicht schaffen, da zur Berechnung nicht nur die Höhe der Ausgaben, sondern auch ihr Nutzen bekannt sein müssten. Zu quantifizieren, was es kosten würde, würde eine Sicherheitsmaßnahme nicht getroffen, ist allerdings nicht möglich.

Die schwierige Planbarkeit bedeutet jedoch nicht, dass IT-Sicherheitsinvestitionen nicht lohnenswert sind - ihnen sollte sogar höchste Priorität beigemessen werden. Basierend auf Erfahrungswerten und finanzmathematischen Rechnungen ist es durchaus abschätzbar, wie teuer und komplex die Einführung eines neuen IT-Produkts wäre.

Wo RoSI sinnvoll ist

Die RoSI-Methode hingegen ist angemessen, wenn alle Prozesse und Methoden detailliert definiert und beziffert werden können. Vorteil ist, dass die Ergebnisse direkt zur Verbesserung der Wirtschaftlichkeit verwendet werden können.

Formel und Berechnung von RoSI

Die Berechnung erfolgt mittels folgender Formel:

RoSI = RCn - ((RCn - ESn ) + IC)

Zur Erklärung der Variablen:

  • RC = Recovery Costs

  • ES = Expected Savings

  • IC = Investment Costs

  • n = Anzahl der Jahre

Als zweite Art der IT-Investitionen wurde die Verbesserung der Wirtschaftlichkeit durch die Nutzung von IT erwähnt. Diese tragen zur gesteigerten Rentabilität des Systems bei, zum Beispiel durch Kostensenkungen und Zeiteinsparungen. Kosten-Nutzen-Analysen können hier problemlos durchgeführt werden, da Einflussfaktoren wie Zeit beziehungsweise deren Ersparnis sich beispielsweise leicht in Geld umrechnen lassen.

Kosten für IT-Security können außerdem mittels Zuschlagsvariante berechnet werden, wobei für die Gemeinkosten nach Planung und Durchführung von Projekten ein Sicherheitszuschlag zwischen zwei und 15 Prozent erhoben wird, was allerdings keine Transparenz ermöglicht. Um zusätzliche Planungssicherheit zu gewinnen, wird der Vergleich mit anderen Unternehmen der Branche herangezogen (Benchmarking). Dies bietet vor allem mittelständischen Betrieben eine sinnvolle Hilfestellung.

Zusammenfassung

Zusammenfassend lassen sich folgende Kernpunkte für den Umgang mit IT-Sicherheitsinvestitionen definieren:

  • Die dauerhafte Gewährleistung von Sicherheit erfordert eine professionelle, ganzheitliche Auseinandersetzung mit dem Thema seitens des Unternehmens.

  • Sicherheit lässt sich nicht immer klar abrechnen.

  • Investitionen in die IT-Sicherheit gelten zunehmend als Wettbewerbsvorteil.

  • Um die Aussagekraft von RoSI zu steigern, sollte das Verfahren in Kombination mit anderen (zum Beispiel der Risikomatrix, Penetrationstest oder weiteren Simulationen) angewendet werden.

  • Sicherheitsinvestitionen sind eine Geschäftsentscheidung, bei der Entscheidungen von fachkundigen IT-Führungskräften getätigt und umgesetzt werden sollten.