Thema: Return on Security Investment (ROSI) · 3„W i ew rtsc h af t l ndIT-S rh mß ?“;Norb Po ;HMD248. Return on Security Investment Stefanie Schmid || Florian Banzer 2 1.2.1

Seminararbeit zum Studienschwerpunkt

Wirtschaftsinformatik und Multimedia WS 06/07

Thema:

Return on Security Investment (ROSI)

Bereich: IT-Management

Datum der Präsentation: 08.01.2007 Bearbeiter: Dozenten:

Stefanie Schmid, Prof. Hofmann , Florian Banzer Prof. Schmidt

Return on Security Investment

Stefanie Schmid || Florian Banzer 0

I. Inhaltsverzeichnis: 1. Einführung .......................................................................................................................... 1

1.1 Aufgabe von IT-Systemen .............................................................................................. 1

1.2 Bewertung der Wirtschaftlichkeit von IT-Systemen ......................................................... 1

1.2.1 Kostenanspekte: Total Cost of Ownership................................................................ 1

1.2.2 Nutzenaspekte: ROI = Return on Investment ........................................................... 2

1.3 Stellenwert der IT-Sicherheit im Unternehmen................................................................ 2

2. Wesen des Return on Security Investment ...................................................................... 4

2.1 Das Return on Security Investment Modell .................................................................... 4

2.2 Bestimmung der Risikowahrscheinlichkeit ..................................................................... 5

2.3 Bestimmung der Risikominimierungsmöglichkeiten ....................................................... 9

2.4 Bestimmung der Kosten für IT-Sicherheitslösungen .................................................... 10

2.5 Langzeitbetrachtung .................................................................................................... 11

3. Beispielrechnung: Notebookverlust ............................................................................... 12

3.1 Wahrscheinlichkeit des Verlusts eines Notebooks ....................................................... 13

3.2 Schadenshöhe.............................................................................................................. 13

3.3 vorhandenes Sicherheitssystem ................................................................................... 14

3.4 Berechnung des ROSI.................................................................................................. 15

4. Kritik an ROSI ................................................................................................................... 18

5. Alternativen zu ROSI bei der Risikoanalyse ................................................................... 18

5.1 Risikomatrix .................................................................................................................. 19

5.2 Technik der Simulation ................................................................................................. 20

5.3 Penetrationstests ......................................................................................................... 21

6. Fazit..................................................................................................................................... 22

II. Abbildungsverzeichnis............................................................................................... 23

III. Anhang..................................................................................................................... 24

IV. Literaturverzeichnis.................................................................................................. 25



1. Einführung Die Bedeutung der Informationssicherheit hat in allen Anwendungsbereichen kontinuier-lich zugenommen. Ob Privatpersonen oder private und öffentliche Unternehmen, alle sind in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen.

In Zeiten zunehmender Angriffe auf Computersysteme durch Hacker, Viren, usw. sind IT-Sicherheitsmaßnahmen kein Fremdwort im Unternehmen mehr. Durch verschiedene Maßnahmen soll das Risiko eines Schadens bei der Nutzung von IT-Systemen verhin-dert werden. Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachi-gen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten. Dort stellt Informationssicherheit einen Bau-stein des Risikomanagements dar. International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle.

Doch Sicherheitsmaßnahmen haben ihren Preis und sollten daher einer genauen Kos-ten-Nutzen-Analyse unterzogen werden.1 2

1.1 Aufgabe von IT-Systemen Die Hauptaufgabe der IT-Systeme besteht darin, die Geschäftsprozesse im Unterneh-men zu optimieren. Dies führt zu sinkenden Kosten oder steigendem Umsatz. Alles dient dem Zweck der Gewinnmaximierung und der Bestandssicherung.

IT-Systeme können u.a. helfen, Aufgaben zu vereinfachen oder zu beschleunigen (z.B. E-Mail-Anwendungen), Abläufe flexibler zu gestalten (z.B. durch die Verwendung von mobilen Geräten wie Notebooks) und Mitarbeiter von Routineaufgaben zu entlasten und bei komplexeren Aufgaben zu unterstützen (z.B. durch die Nutzung von CAD-Systemen).

Doch eines sollte man bei allen Vorteilen nicht vergessen, auch IT-Systeme müssen wirtschaftlich sein und ihre Anschaffung sollte wohl überlegt sein.3

1.2 Bewertung der Wirtschaftlichkeit von IT-Systemen Um feststellen zu können, ob sich eine Investition in ein IT-System gelohnt hat, muss die Wirtschaftlichkeit des IT-Systems gemessen werden. Hierbei gibt es zwei verschie-dene Ansatzpunkte:

1 http://www.insentis.com/de/unternehmen/download/insentis_it_sicherheit.pdf 2 Return On Security Investment (ROSI) – A Practical Quantitative Model 3 „Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen?“; Norbert Pohlmann; HMD 248



1.2.1 Kostenaspekte: Total Cost of Ownership Bei dieser Betrachtung werden alle Kosten, die durch das IT-System entstehen, mit in die Betrachtung miteinbezogen. Dies sind die Kosten für Anschaffung, Schulung, Instal-lation, Betrieb, Wartung und Ersatz von IT-Systemen und IT-Sicherheitsmaßnahmen.

Die Berechnung erfolgt durch die Kapitalwertmethode.

Die Kapitalwertmethode beurteilt Alternativen nach ihren finanziellen (kostenmäßigen) Folgen durch Abzinsung aller Aus- und Einzahlungen (bzw. Einsparungen) auf den Zeitwert. Sie ist also eine Bewertungstechnik, und zwar ein dynamisches Verfahren der Investitionsrechnung.

Die im Zeitverlauf unterschiedlichen Aus- und Einzahlungen (bzw. Einsparungen) wer-den dadurch vergleichbar gemacht, dass sie auf den Wert zum Zeitpunkt der Investition (Zeitwert) umgerechnet werden, und zwar durch Abzinsung: je nach Zinssatz und Zeit-dauer werden die Zahlungen mit einem Abschlag versehen, da Zahlungen in späteren Jahren einen geringeren Wert haben als Zahlungen heute.

Ist zu entscheiden, ob sich eine Investition lohnt, kommt es darauf an, ob sich ein posi-tiver Kapitalwert ergibt. Ist zwischen mehreren Alternativen zu entscheiden, so ist die Alternative mit dem höchsten positiven (oder dem niedrigsten negativen) Kapitalwert unter Kostenaspekten am günstigsten.

1.2.2 Nutzenaspekt: ROI = Return on Investment Bei dieser Betrachtung wird der Nutzen den Kosten gegenübergestellt. Die Kennzahl wurde 1919 von Donaldson Brown, einem Ingenieur des Unternehmens Du Pont de Nemours, definiert, und soll die Rendite des eingesetzten Kapitals messen.

Man versucht herauszufinden, was ein Investment bezüglich Kostenminimierung und/oder Umsatzsteigerung nützt. Wann hat sich eine Investition amortisiert? Das heißt wann sind die Anschaffungskosten für eine Investition durch den mit der Investition er-wirtschafteten Ertrag gedeckt? Je schneller eine Deckung erzielt wird, umso schneller kann ein Gewinn generiert werden.4

1.3 Stellenwert der IT-Sicherheit im Unternehmen Laut der CSI/FBI Computer Crime and Security Umfrage, bei der jedes Jahr mehr als 600 Firmen teilnehmen, ist der Anteil für IT-Sicherheit gemessen am IT Budget ist er-schreckend gering. Mehr als ein viertel aller Befragten investiert nur ca. 1-2 Prozent des IT-Budgets in Sicherheit.

4 Norbert Pohlmann „Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen?“; HMD 248



Abbildung 1: Prozentuale Ausgaben des IT-Budgets für IT-Sicherheit5

Bricht man die Ausgaben auf einen einzelnen Mitarbeiter herunter, wird deutlich, dass die Kosten mit der Größe des Unternehmensumsatzes sinken. Dies kann darauf zu-rückgeführt werden, dass die anfallenden Kosten auf viele Mitarbeiter verteilt werden.

Abbildung 2: Durchschnittliche Ausgaben für IT-Sicherheit pro Mitabeiter6

Der geschätzte Verlust bei der Vernichtung aller elektronisch gespeicherten Daten hin-gegen liegt mit 558 Millionen Euro sehr hoch, vor allem wenn man bedenkt, dass dies

5 2006 CSI/FBI Computer Crime and Security Survey 6 2006 CSI/FBI Computer Crime and Security Survey



ca. 1/5 des durchschnittlichen Umsatz (2,6 Mrd. Euro) darstellt. Hierbei verwundert es schon, dass nicht mehr des Budgets in Sicherheit investiert wird.

Datenwert/Verlust Nennungen* Unter 10.000 Euro 4 10.000 bis 100.000 Euro 8 100.000 bis 1 Mio. Euro 15 1 Mio. bis 100 Mio. Euro 26 100 Mio. bis 500 Mio. Euro 5 500 Mio. bis 1 Mrd. Euro 1 Ab 1. Mrd. Euro 5

*Basis: 64 Antworten

Abbildung 3: Geschätzter Verlust bei Vernichtung aller elektronisch gespeicherten Daten7

2. Wesen des Return on Security Investment

2.1 Das Return on Security Investment Modell Mit Hilfe des Return on Investment (ROI) Modells können Investmentalternativen mit-einander verglichen werden. Ganz einfach gesagt, die Gleichung gibt eine Antwort auf die Frage welche der Optionen am meisten Ertrag für das investierte Geld bringt?

Das Ergebnis (ROI) ist eine Kennzahl, die Aufschluss über das Verhältnis von Investiti-on und Gewinn gibt, indem die Kosten einer Investition in Beziehung zur Höhe des er-warteten Gewinns gesetzt werden.8

Ersetzt man beim ROI-Modell den erwarteten Gewinn durch die Risikowahrscheinlich-keit multipliziert mit der Risikominimierungsmöglichkeit, so kommt man zum Return on Security Investment (ROSI)-Modell.

9

Es ist jedoch keine einfache Aufgabe, sinnvolle Werte für die Faktoren in der ROSI Gleichung zu finden. Bis jetzt gibt es immer noch kein „Standard-Modell“ für die Be-stimmung der finanziellen Gefahren, die mit Sicherheitsereignissen verbunden sind. Ebenso gibt es keine standardisierten Methoden für die Bestimmung der Abschwäch-wirksamkeit durch Sicherheitslösungen. Sogar Methoden für die Kostenquantifizierung können stark variieren. Einige schließen nur Kleinteil-, Software- und Service-Kosten ein, während andere internen Kosten, einschließlich indirekte Unkosten und langfristige 7 Lagebericht zur IT-Sicherheit, <kes> 2006#4, Seite 31 8 http://de.solutionmatrix.com/return-on-investment.html 9 Return On Security Investment (ROSI) – A Practical Quantitative Model



Auswirkungen auf Produktivität, mit einbeziehen. Im Folgenden werden verschiedene Ansätze zur Bestimmung bzw. Quantifizierung der einzelnen Faktoren vorgestellt.

2.2 Bestimmung der Risikowahrscheinlichkeit Es gibt mehrere Techniken zur Risikofestlegung, aber die Resultate können sehr schwanken. Für die Risikobestimmung gibt es zum Beispiel Versicherungstabellen, die über Jahre aus Ansprüchen und demographischen Statistiken erstellt wurden bzw. wer-den. Jedoch gibt es für IT-Sicherheitsrisiken bisher noch keine solchen Tabellen. Des Weiteren können die Ergebnisse zu irreführenden Resultaten führen. Zum Beispiel kos-ten viele Ereignisse oft wenig Geld und nur vereinzelte sehr viel, aber der Durch-schnittspreis liegt irgendwo dazwischen.

Eine einfache analytische Methode der Berechnung der Risikoerwartung ist, die hoch-gerechneten Kosten eines Sicherheit Ereignisses (Single Loss Exposure (SLE)) mit sei-ner geschätzten jährlichen Eintrittsrate (Annual Rate of Occurrence (ARO)) zu multipli-zieren. Das Ergebnis wird jährliches Verlustrisiko (Annual Loss Exposure (ALE)) ge-nannt.

Risk Exposure = ALE = SLE * ARO

Es gibt bis heute keine Standardmethoden für das Festlegen von SLE oder von ARO, aber es gibt Tabellen, die die durchschnittlichen statistischen Werte aufzeigen. Diese basieren auf realistischen Schadensberichten von Versicherungen, auf akademischen Forschungen oder auf unabhängige Umfragen. Jedoch ist es sehr schwierig, Daten ü-ber die wahren Kosten eines einzelnen IT-Sicherheitsereignisses (SLE) zu erhalten, da diese nur von wenigen Unternehmen erfolgreich ermittelt werden. IT-Sicherheitsbrüche die nicht direkt Auswirkungen auf das Alltagsgeschäft haben, gehen häufig vollständig unter. Sollte ein Ereignis bemerkt werden, dann sind die Unternehmen meist damit be-schäftigt das Problem zu lösen als sich Gedanken zu machen wie viel es tatsächlich kostet. Daher sind auch diese Tabellen nur grobe Anhaltspunkte.



Abbildung 4: Angriffe / Missbrauch der letzten 12 Monate10

Abbildung 5: Verlust in Dollar11

10 2006 CSI/FBI Computer Crime and Security Survey 11 2006 CSI/FBI Computer Crime and Security Survey



Die derzeit „besten“ statistischen Daten kommen von den Umfragen, die durch das Computer-Sicherheit Institut (CSI) und dem U.S. Federal Bureau of Investigation (FBI) geleitet werden. Die Unternehmen werden hierzu gebeten, die Kosten der IT-Sicherheitsereignisse für verschiedene Kategorien während des Jahres zu schätzen. Leider schwanken die verwendeten Methoden, um diese Kosten zu errechnen, von Un-ternehmen zu Unternehmen. Zum Beispiel bewertet ein Unternehmen einen gestohle-nen Laptop mit den Wiederbeschaffungskosten. Ein anderes die verlorene Produktivität und die IT-Kosten. Und wiederum ein Anderes bewertet den Diebstahl mit dem Wert der Daten die sich auf dem Laptop befanden. Somit können die Angaben zwischen $3.000 und mehr als $100.000 variieren. Der genaue Endwert wird aber wahrscheinlich mehr durch Unternehmensfaktoren, wie wie viel Entschädigung zahlt die Versicherung, wel-che Auswirkungen hat das auf die Steuer oder welche Auswirkungen hat ein wirklich großer Verlust auf den Aktienpreis, beeinflusst, als durch die finanzielle Wirklichkeit.

Für die ROSI-Berechnung ist die Genauigkeit der Ereigniskosten nicht so wichtig, wie eine gleich bleibende Methode für die Berechnung und das Berichten der Kosten. Es wird jedoch sehr schwer werden Unternehmen von einer Standardmethode zur Erfas-sung der internen IT-Sicherheitskosten nach einem Ereignis zu überzeugen. Folglich muss der Fokus auf Kostenfaktoren liegen die unabhängig messbar sind und direkt mit Grad des IT-Sicherheitsereignisses in Verbindung gebracht werden können.

Der Verlust von vertraulichen Daten, wie zum Beispiel von Forschungsergebnissen, stellt meist hohe Kosten bzw. stellt einen erheblichen finanziellen Verlust dar. Ein Pro-duktivitätsverlust durch ein Sicherheitsereignis hingegen, erzeugt oft mehr Kosten als die Kosten der Datenwiederaufnahme oder der Systemreparatur. Die IT-Sicherheit kann daher direkt mit der finanziellen Situation einer Organisation in Verbindung gebracht werden, da die verlorene Produktivität die Kosten eines Unfalles einschließt. Diese Ver-knüpfung erfordert wiederum IT-Sicherheitsprojekte, um die Leistungsfähigkeit eines Unternehmens zu verbessern und beseitigt andererseits jene Projekte, die nur durch Furcht vor dem Unbekannten gerechtfertigt werden. Verlorene Produktivität kann eine folgenschwere Auswirkung auf das Firmenergebnis haben, denn nur 10 Minuten „Down-time“ pro Tag pro Mitarbeiter können schnell zu einer großen Summe werden, wie fol-gende Beispielrechnung zeigt:

1000 Mitarbeiter * 37 Stunden IT-Sicherheits bedingte „Downtime“ (bei 10 min pro Tag und 220 Arbeitstage/Jahr) * 25 Euro Stundenlohn ------------------ = 925.000 Euro

Ob ein Unternehmen verlorene Produktivität oder den Wert des geistigen Eigentums oder aber eine Kombination verwendet hängt davon ab, ob es sich mehr um den Da-tendiebstahl, die Datenverwendung oder um beides sorgt. Recht- und Finanzdienstleis-



tungsunternehmen neigen dazu, beim Thema Datenverfügbarkeit empfindlicher zu rea-gieren, da sie ohne den Zugriff auf wichtige Daten nicht effektiv arbeiten können. For-schungsintensive Unternehmen wie Biotechnologieunternehmen werden hingegen mehr vom Datendiebstahl betroffen sein, da die Informationen einem Konkurrenten er-möglichen könnten das Produkt zu veröffentlichen.

Mit Hilfe einer Downtime-Schätzung ist es möglich, den Produktivitätsverlust der mit einem bisher noch nicht vorgefallenen IT-Sicherheitsereignis verbunden ist, zu schät-zen. Um die Auswirkungen eines Virus-Angriffes vorauszusagen, könnte zum Beispiel eine Downtime-Schätzung einen Anhaltspunkt für den Produktivitätsausfall geben. An-schließend könnte man das Ergebnis mit Fragen zu verlorene Daten, Bandbreite, etc. variieren. Die Resultate würden dann eine Bandbreite von möglichen Produktivitätsver-lusten liefern, die genutzt werden könnten, um ein Maximum und ein Minimum ROSI für IT-Sicherheitslösungen die Virusattacken verhindern zu berechnen. Ein gutes Tool für diese Art der von Analyse ist eine Monte-Carlo Simulation, die den Prozess mehrere Faktoren gleichzeitig zu verändern automatisiert und somit eine Reihe von möglichen Resultaten zurückgibt.

Eine andere nützliche Anwendung einer Downtime-Schätzung ist eine Überprüfung der allgemeinen Auswirkung von IT-Sicherheit auf die Produktivität. Kleine, tägliche IT-Sicherheitsbrüche und Technologieausfälle können einen bedeutenden Produktivitäts-verlust verursachen wenn man sie auf einen längeren Zeitraum sieht. Die folgende Ta-belle zeigt eine Handvoll solcher Vorfälle, die hier und da ein paar Minuten verschwen-den können. Aus Erfahrungen mehrerer Studien kann man davon ausgehen, dass eine durchschnittliche Firma täglich mit mindestens fünf dieser Probleme zu tun hat, was in Summe zu mehr als einer Stunde Downtime pro Tag führt.

Problem Durchsch. Downtime Programm- und Systemabstürze 10 min Emailfilterung und Spambearbeitung 15 min Leistungsfähigkeit und Durchsatz des Netzwerkes 10 min Überregulierung 10 min Einhaltung der Sicherheitsrichtlinien 10 min Software-Rollouts und Updates 10 min Sicherheitspatches for 10 min Unsichere und uneffektive Netzwerkarchitektur 10 min Virusscans 10 min Würmer 10 min Trojaner, Phishing 10 min Spyware 10 min Popup Werbung 10 min Kompatibilitätsprobleme bei Hard- und Software 15 min Rechtebasierende Sicherheitsprobleme 15 min Schlechte bzw. fehlerhafte Datenablage 10 min Defekte Daten (kein Zugriff möglich) 15 min Gestohlene Systeminformationen und Daten 15 min Backup und Wiederherstellung 15 min Anwendung von Sicherheitssoftware 15 min Gesamtaufwand 240 min



Das Return on Security Investment Modell bekommt eine ganz neue Bedeutung, wenn der tägliche Produktivitätsverlust als Faktor für die Risikowahrscheinlichkeit integriert wird. Die Folge ist, dass ein Unternehmen sich auf kleine IT-Sicherheitslücken und Technologieausfälle konzentriert, und folglich weniger Produktivitätsverlust hat. Diese Sichtweise berücksichtigt hingegen nicht die Gefahr eines großen IT-Sicherheitsereignisses, da nur ständig eintretende Ereignisse berücksichtigt werden. Wenn auf Grundlage dieser Annahmen ein positiver ROSI für eine IT-Sicherheitslösung errechnet wird, liegt dass daran, dass die gesamte IT-Sicherheit, durch das beseitigen einiger kleiner Probleme verbessert wird, auch wenn die IT-Sichheitslösung nie einen ernsthaften Vorfall verhindern wird.12

2.3 Bestimmung der Risikominimierungsmöglichkeiten Es ist mit Sicherheit genauso schwierig die Risikominimierungsmöglichkeiten einer Si-cherheitslösung zu bestimmen, wie die Risikowahrscheinlichkeit festzulegen. Dass liegt daran, das Sicherheit nichts direkt messbares darstellt, sondern vielmehr Verluste ver-hindert, die wenn sie verhindert werden, nie bekannt werden. Zum Beispiel könnte das System anzeigen, dass es letztes Jahr 10 erfolgreiche Einbrüche ins Firmennetzwerk gab und heuer nur noch 5. Nun stellt sich natürlich die Frage ob es an der neuen Fire-wall lag oder ob es einfach 5 Hacker weniger versucht haben.

Außerdem stellt sich die Frage, wie hoch nun der Verlust ist, wenn eine Sicherheitslö-sung ausfällt bzw. versagt. Hierbei muss zwischen den Einbrüchen mit krimineller und nicht krimineller Absicht unterschieden werden. Nur wenige Einbrüche werden von Per-sonen mit krimineller Absicht erzeug, hingegen gibt es ziemlich viele Versuche ohne jeglichen böswilligen Hintergedanken, die von automatisierten Programme und neugie-rige Häckern erzeugt werden. Die Beschädigungen werden hierbei oft auf Systeme und Daten begrenzt, können unter Anderem aber auch zu einem Vertrauensverlust bei Kun-den und/oder Investoren führen.

Die folgenden Aussagen werden verwendet, um einen einfachen, fixen Prozentsatz für die Risikominimierung festzulegen:

• Eine Sicherheitslösung wird entworfen bzw. eingeführt um eine bestimmte Ge-fahr zu minimieren

• Wenn eine Sicherheitslösung richtig arbeit, kann davon ausgegangen werden, dass die nahezu 100 Prozent dieser Gefahren behebt. Um jedoch auf Nummer Sicher zu gehen, verwendet man bei Berechnungen aber nur 85 Prozent.

Leider bringt diese Vereinfachung auch einige Probleme mit sich:

• Gefahren können nicht isoliert betrachtet werden, denn eine gut verschlossene 12 Retrun On Security Investment (ROSI) – A Practical Quantitative Model



Tür birgt 0 Prozent Risiko, wenn aber nebenan ein Fenster geöffnet ist, dann ver-liert das beste Schloss seine Wirkung. Das bedeutet, Sicherheitslösungen kön-nen nur etwas bewirken, wenn im Umfeld auch alle anderen Sicherheitslösungen effektiv arbeiten.

• Sicherheitslösungen werden selten eingeführt um inakzeptable Auswirkungen auf die Produktivität zu verhindern

• Sicherheitslösungen verlieren über die Zeit an Effektivität, da Hacker Wege fin-den, sie zu umgehen und neue Gefahren kreieren.

Ein besserer Ansatz ist daher, alle Sicherheitslösungen gemeinsam zu begutachten und mit konstanten Algorithmen zu bewerten. Dieses Ergebnis stellt eine generelle Aussa-ge, mit welcher Wahrscheinlichkeit derzeit Risiko abgewandt werden kann, dar. Durch die Risikominimierungsbewertung im Kontext zur gesamten Sicherheit, werden die Probleme mit der isolierten Betrachtung vermieden. Des Weiteren verhindert eine gute Gesamtbewertung Entscheidungen, die nur wegen Bedienungskomfort und Produktivi-tät getroffen werden. Ebenso können mit Hilfe einer guten Formel die Zeitauswirkungen auf die Effektivität von Sicherheitslösungen beachtet werden.

Wenn eine neue Sicherheitslösung bewertet werden soll, kann das Gesamtergebnis mit und ohne der neuen IT-Sicherheitslösung betrachtet werden. Der sich daraus ergeben-de Unterschied kann der neuen Sicherheitslösung zu geschriebenen werden. Wenn anschließend der Return on Security Investment berecht werden soll, sollte auch hier das Gesamtergebnis, und nicht der Unterschiedsbetrag, verwendet werden um der vor-her bereits erwähnten isolierten Betrachtung von Systemen vorzubeugen.

Der Genauigkeitsgrad des Risikominimierungsfaktors ist abhängig von der Qualität der Bewertung und des verwendeten Algorithmuses. Aber sogar die Bewertung mit einem ungenauen Algorithmus ist effektiv, da die Gesamtbetrachtung wiederholbar und gleichbleibend ist. Folglich kann sie verwendet werden um den Return on Security In-vestment für unterschiedliche Sicherheitslösungen zu berechnen.

2.4 Bestimmung der Kosten für IT-Sicherheitslösungen Zu diesem Zeitpunkt sollte offensichtlich sein, dass bei der Kostenbetrachtung einer IT-Sicherheitslösung nicht nur die reinen Anschaffungskosten berücksichtigt werden müs-sen, sondern zumindest auch die internen Implementierungskosten. Aber auch dass ist nicht ausreichend, denn erneut sollte der Faktor Produktivität beachtet werden.

Der Faktor Produktivität ist sehr wichtig, da IT-Sicherheit fast immer auf Kosten der An-wenderfreundlichkeit geht. Die meisten Sicherheitslösungen verursachen Mehraufwand, den die Angestellten tragen müssen, um ihre Arbeit zu erledigen. Abhängig vom Auf-wand und der Häufigkeit kann dieser Mehraufwand zu einer erheblichen Summe von Produktivitätsverlust führen. Die folgende Tabelle zeigt verschiedene Zeitaufwendun-



gen, die durch Sicherheitslösungen erzeugt werden, welche wiederum andere Sicher-heitsprobleme beheben.

Problem Durchsch. Downtime Programm- und Systemabstürze 10 min Leistungsfähigkeit und Durchsatz des Netzwerkes 10 min Überregulierung 10 min Einhaltung der Sicherheitsrichtlinien 10 min Software-Rollouts und Updates 10 min Sicherheitspatches 10 min Verzögerungen durch Virusscans 10 min Kompatibilitätsprobleme bei Hard- und Software 15 min Zu viele Passwörter 15 min

Es ist aber auch möglich, dass IT-Sicherheitslösungen die Produktivität erhöhen. Dies ist der Fall, wenn durch einen Nebeneffekt bei der Implementierung auch andere Prob-leme, die die Produktivität hemmen, behoben werden. Zum Beispiel könnte die Einfüh-rung einer Firewall die Neustrukturierung des Netwerkes erzwingen. Durch die neue Struktur könnten zum Beispiel auch Bandbreitenprobleme behoben werden, die vorher umfangreiche Stillstandzeiten verursachten.

Unabhängig ob sich die IT-Sicherheitslösungen positiv oder negativ auf die Produktivität auswirken, sollten die Auswirkungen beachtet werden, denn oft ist das der entschei-dende Faktor der entscheidet, ob eine IT-Sicherheitslösung implementiert wird oder e-ben nicht.13

2.5 Langzeitbetrachtung Für langfristige Investitionen sollten die Kapitalkosten beachtet werden, da das Geld theoretisch auch in andere Projekte hätte investiert werden können. Wenn man bei-spielsweise die Wahl zwischen zwei Sicherheitslösungen hat, wo die eine im ersten Jahr 100.000 Euro kostet und die andere über zwei Jahre jeweils 50.000 Euro, dann ist die zweite Sicherheitslösung vorzuziehen. Der Grund liegt im Investitionszeitpunkt, denn obwohl beide Lösungen auf dem Papier 100.000 Euro kosten, ist die zweite Lö-sung billiger, denn die tatsächlichen Kosten liegen unter 100.000 Euro, da man das Geld in der Zwischenzeit für andere Projekte nutzen kann. Diese Betrachtung bezeich-net man als Kapitalwertmethode (engl. Net Present Value (NPV)).

Einer der wichtigsten Faktoren bei der Berechnung des Net Present Values ist der Dis-kontsatz – der geschätzte Return, den man bekommen hätte, wenn man das Kapital in ein anderes Projekt investiert hätte. Eine andere wichtige Information kann man durch die Überlegung, welcher Diskontsatz notwendig ist, um einen Net Present Value Wert von 0 zur erhalten, bekommen. Das Ergebnis wird auch als interne Zinssatz Methode (engl. Internal Rate of Return (IRR)) bezeichnet und gibt die effektive Einnahmesatz an.

13 Return On Security Investment (ROSI) – A Practical Quantitative Model



Ganz allgemein kann man sagen, dass ein IRR über dem Diskontsatz als absolut wirt-schaftlich zu beurteilen ist.

In den meisten Fällen sind Net Present Value und Internal Rate of Return bessere Indi-katoren als eine reine Betrachtung des Return on Security Investment, aber sollte es nicht möglich sein, die Zeitplanung oder die Ausgaben und Einnahmen über die Le-benszeit eines Projektes vorherzusagen, erhält man irreführende Resultat. Zur Verdeut-lichung betrachten wir den NPV und IRR einer Sicherheitslösung für 10.000 Euro. Im ersten Fall verhindert die Lösung einen Schaden von 50.000 Euro im fünften Jahr, nachdem sie eingeführt wurde. Im zweiten Fall wird der gleiche Unfall während des ers-ten Jahres verhindert:

Rate Kosten 1. Jahr 2. Jahr 3. Jahr 4. Jahr 5. Jahr NPV IRR ROSI #1 0.05 -10.000 0 0 0 0 50.000 27.786 38% 400% #2 0.05 -10.000 50.000 0 0 0 0 35.827 400% 400% Jedoch kann niemand voraussagen, wann ein Ereignis stattfinden wird. Daher werden Einsparungen oft über die Gesamte Lebenszeit verteilt. Teilweise werden die Einspa-rungen nach der Wirksamkeit verteilt, was bedeutet, dass die Einsparungen am Anfang höher sind und über die Jahre sinken, da Hacker wissen wie man die Sicherheitslösung umgeht.

Rate Kosten 1. Jahr 2. Jahr 3. Jahr 4. Jahr 5. Jahr NPV IRR ROSI #1 0.05 -10.000 10.000 10.000 10.000 10.000 10.000 31.709 97% 400% #2 0.05 -10.000 17.500 15.000 10.000 5.000 2.500 33.316 153% 400% Das Hauptproblem bei der Verwendung der Kapitalwertmethode ist die Treffergenauig-keit bei der Voraussage wann welches Ereignis eintreten wird. Dies ist aber Vorausset-zung um verschiedene Möglichkeiten mit gleichen Daten zu vergleichen. Obwohl ROSI den Faktor Zeit nicht berücksichtigt und somit mit ungenauen Werten arbeitet, arbeitet er mit konstanten Daten, was in den meisten Fällen zu einem sinnvolleren wenn auch nicht exaktem Ergebnis führt. 14

3. Beispielrechnung: Notebookverlust Anhand dieses Beispieles, welches sich mit dem Verlust eines Notebooks beschäftigt, soll die Berechnung des Return on Security Investment (ROSI) näher gebracht werden.

Dabei muss zuerst eingeschätzt werden, wie hoch die Wahrscheinlichkeit eines Note-bookverlustes ist und welcher Schaden hierbei auftreten kann.

Im Folgenden werden die einzelnen Schritte genauer erläutert.

14 Return On Security Investment (ROSI) – A Practical Quantitative Model



Schaden durch missbräuchliche Nutzung der Daten

Schaden durch Hardwareverlust

Schaden durch Softwareverlust

Schaden durch Wiederbeschaffung eines Ersatzgerätes

3.1 Wahrscheinlichkeit des Verlustes eines Notebooks Notebooks werden aufgrund ihrer Flexibilität und Portabilität gerne und zahlreich in Un-ternehmen eingesetzt. Besonders für Geschäftsreisen, Seminare und Kundenbesuche erfreuen sie sich großer Beliebtheit. Daher ist es nicht verwunderlich, dass jährlich aus nachvollziehbaren und nicht nachvollziehbaren Gründen zahlreiche Notebooks ver-schwinden. In großen Unternehmen wird nicht viel Aufhebens darum gemacht und die meisten Mitarbeiter bekommen ohne große Anstrengungen und/oder Darlegung des Verlustvorganges ein neues Notebook. Die Verlustrate geht gerade in großen Unter-nehmen und Organisationen oft in der Masse der neuen Notebooks unter, da die meis-ten Mitarbeiter alle 2 bis 3 Jahre ein neues Notebook bekommen.

Verschiedene Studien (www.microsaver.com, www.ebiz.za, usw.) zeigen, dass im Schnitt 6 % der Notebooks jährlich gestohlen werden bzw. verloren gehen.

In diesem Beispiel wird also von einer Eintrittswahrscheinlichkeit von 6 % ausgegangen.

3.2 Schadenshöhe Bei einem Verlust des Notebooks entstehen verschiedene Kosten, welche oft nicht er-kannt werden. Allgemein wird hier nur an die Kosten gedacht, welche für ein Ersatzge-rät entstehen.

In der betrieblichen Praxis sind allerdings verschiedene Arten von Schäden zu unter-scheiden:

Den Schaden, welcher entsteht, wenn ein Notebook z.B. von der Konkurrenz gestohlen wird, kann der Besitzer des Notebooks am besten bemessen. Das Problem ist, dass der Schaden oft nicht genau analysiert werden kann. Es ist schwer festzustellen, ob die ge-stohlenen Daten einen Einfluss auf den Umsatz und somit auf den Gewinn des Unter-nehmens ausgeübt haben.

In diesem Beispiel wird davon ausgegangen, dass die meisten Notebooks eines Unter-nehmens von Vertriebsleuten, der Unternehmensleitung und wichtigen Entwicklern ver-

Eintrittswahrscheinlichkeit 6%



wendet werden und die Notebooks ihren Einsatz hauptsächlich auf Geschäftsreisen oder in der Heimarbeit finden. Es ist also davon auszugehen, dass wichtige Informatio-nen wie z.B. Preislisten, Entwicklungsdaten, Finanzanalysen, Lieferanten- und Kunden-daten gespeichert sind.

Auf der Grundlage verschiedener Studien (Computer Security Institut – Crime & Securi-ty Survey, Security Issues an Trends, usw.) über die Schäden von verlorenen Note-books, kann von einem durchschnittlichen Schaden pro gestohlenem Notebook von über 10.000 € ausgegangen werden. Dieser Preis beinhaltet allerdings nur den Scha-den, der durch missbräuchliche Verwendung der Daten entsteht.

Für den Verlust der Hardware, Software und für die Wiederbeschaffung eines Ersatzge-rätes werden zwischen 2.000 € - 3.000 € kalkuliert.

3.3 Vorhandenes Sicherheitssystem Um eine Abschätzung der Kosten für den angemessenen Schutz eines Notebooks vor-nehmen zu können, wird in diesem Beispiel davon ausgegangen, dass ein Festplatten-verschlüsselungsprodukt verwendet wird. Dieses Produkt arbeitet mit einer Boot-Authentifikation. Das bedeutet, dass sich der Benutzer beim Hochfahren des Rechners erst über die Eingabe eines Passwortes authentisiert.

Die Daten auf dem Notebook sind auf der Festplatte nur in verschlüsselter Form vor-handen. Diese werden erst nachdem sich der Benutzer angemeldet hat, jeweils für die Verarbeitung entschlüsselt und in verschlüsselter Form wieder auf der Festplatte ge-speichert.

Der Preis für diese IT-Sicherheitsmaßnahme beträgt ca. 110,- €, d.h. im Schnitt ca. 4 % des Anschaffungspreises eines Notebooks.

Sollte ein Notebook gestohlen werden, kann der Dieb zwar durch den Ausbau der Fest-platte an die Daten gelangen, diese aber nicht lesen, da sie verschlüsselt sind. Somit entsteht für den Besitzer kein Schaden durch die missbräuchliche Verwendung der Da-ten.

Der Schaden für den Benutzer wird auf den Verlust des Notebooks einschließlich der installierten Software (2.000 bis 3.000 €) und der Wiederbeschaffung eines neuen No-tebooks begrenzt.

Schaden durch Datenmissbrauch

Schaden für Hardware-/ Softwareverlust und für neues Notebook

ca. 10.000 €

ca. 2.000 – 3.000 €



3.4 Berechnung des ROSI Zur Berechnung des ROSI findet man in der Literatur folgende zwei Formeln:

1. Formel:

2. Formel:

Im Ergebnis sind beide Formeln identisch. Die erste Formel verwendet im Ergebnis eine Wertbezeichnung (hier: €), während die zweite Formel eine Prozentbezeichnung dar-stellt (ebenso wie beim Return on Investment). Zur einfacheren Darstellung und zum besseren Verständnis wird die folgende Berechnung auf Basis der ersten Formel durchgeführt:

R = Recovery Costs Kosten der wahrscheinlichen Schäden

S = Savings Ersparnis, d.h. Reduzierung der Kosten der

wahrscheinlichen Schäden

T = Tool Costs Kosten für IT-Sicherheitsmaßnahmen

Vereinfacht gesagt, ist der Return on Security Investment, die Differenz aus der Kos-tenersparnis durch den vermiedenen Schaden (S) und den Kosten für die Implementie-rung des Sicherheitssystems (T).

Zur Durchführung der Berechnung des Return on Security Investments am Beispiel ei-nes Unternehmens sind noch einige weitere Angaben erforderlich bzw. von folgenden Annahmen auszugehen:

Festplattenverschlüsselung ca. 110,-€

ROSI = R-(R-S+T) = S-T

(Risk Exposure * % Risk Mitigated) - Solution Cost ROSI = Solution Cost

ROSI = R-(R-S+T) = S-T



Allgemeine Angaben:

• Mitarbeiter im Unternehmen, die ein Notebook besitzen und wertvolle Daten ver-wenden: 500 Mitarbeiter

• Schaden durch den Verlust der gespeicherten Daten pro gestohlenem Notebook: 5.000,- €

• gestohlene Notebooks pro Jahr: 15 Notebooks = 3 % Eintritts-wahrscheinlichkeit

Kosten für die Festplattenverschlüsselung (Tool Costs – T)

• Einmalige Lizenzkosten: 500 Notebooks * 110,-€ = 55.000,-€

• Kosten für Installation, Rollout und Verwaltung: im ersten Jahr 10.000,-€ und in den folgenden Jahren 5.000,-€

Kostenersparnis durch den vermiedenen Schaden (Savings – S)

• 15 Notebooks * 5.000,-€ (Schaden durch den Verlust der gespeicherten Daten pro gestohlenem Notebook) = 75.000,-€

• Diese Berechnung bezieht sich nur auf den Schaden, welcher durch die miss-bräuchliche Verwendung der gespeicherten Daten entsteht.

Die folgende Tabelle zeigt, wie sich der ROSI, bezogen auf einem Zeitraum von 4 Jah-ren, verändert:

Kalkulation gesamt

Zeitraum 1. Jahr 2. Jahr 3. Jahr 4. Jahr gesamter Zeitraum

Lizenzkosten 55.000,-€ -- -- -- 55.000,-€

Kosten für Installation, Rollout, Verwaltung

10.000,-€ 5.000,-€ 5.000,-€ 5.000,-€ 25.000,-€

Kostenersparnis durch vermiedenen Schaden

75.000,-€ 75.000,-€ 75.000,-€ 75.000,-€ 300.000,-€

ROI im 1. Jahr 10.000,-€

ROI im 2. Jahr 80.000,-€

ROI im 3. Jahr 150.000,-€

ROI im 4. Jahr 220.000,-€ 220.000,-€



Berechnung des ROI im 1. Jahr mit Hilfe der ersten Formel:

ROSI = Savings – Tool Costs

75.000 – (55.000 + 10.000) = 10.000,- €

Berechnung des ROI im 1. Jahr mit Hilfe der zweiten Formel:

ROSI = Risk Exposure * % Risk Mitigated) - Solution Cost

Solution Cost

= (75.000 * 100%) – 65.000 = 15,38%

65.000

Anhand dieses Beispieles kann aufgezeigt werden, dass schon im ersten Jahr ein ROI von 10.000,-€ erzielt werden kann. Nach einem Zeitraum von vier Jahren liegt der ROI bei 220.000,-€. Demzufolge sollte das Unternehmen in ein Festplattenverschlüs-selungssystem investieren.

Dies wird durch die folgende grafische Darstellung verdeutlicht:

Anhand der Abbildung ist ersichtlich, dass die Kosten für die Sicherheitsmaßnahme (T) (also für das Festplattenverschlüsselungssystem) kleiner sind als der verhinderte Scha-den (S), der durch die missbräuchliche Verwendung der gespeicherten Daten auftreten würde.15

15 Norbert Pohlmann „Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen?“; HMD 248

Kosten für Sicherheitsmaßnahme (T)

Jahre

€

65.000€ (T)

1 2

Verhinderter Schaden (S)

75.000€

150.000€

ROSI = S-T



4. Kritik an ROSI Eine der Schwächen bei der Berechnung des Return on Security Investment ist die einheitliche Risikobehandlung. Ein Risiko mit einer hohen Eintrittswahrscheinlichkeit und geringerem Schadensausmaß, wird genau so behandelt wie ein Risiko mit geringer Eintrittswahrscheinlichkeit und hohem Schadensausmaß. Dies kann zu einer Verzeh-rung des Ergebnisses führen, wodurch die Aussagefähigkeit abnimmt. Es fehlt also an einer genaueren Unterteilung des Risikos. Ein weiteres Problem bei der ROSI-Berechnung ist die fehlende Aussage über die Schadensauftrittswahrscheinlichkeit. Es fehlt eine exakte Aussage über die tatsäch-liche bzw. zu erwartende Häufigkeit von Schadensfällen. Dies wäre aber für eine ge-nauere Berechnung des Risikos notwendig. Hier kann nur eine genaue Dokumentation über Jahre hinweg weiterhelfen.

Nicht zu vernachlässigen ist auch die fehlende Berücksichtigung des Faktors „Zeit“. In der Definition des Return on Security Investment ist der Zeitfaktor nicht enthalten. Es wird somit nicht berücksichtigt, dass mit der Dauer des betrachteten Zeitraumes die Ein-trittswahrscheinlichkeit eines Schadens ansteigt.16

Es sollte ebenso beachtet werden, dass bei der Berechnung des ROSI eine fehlende Berücksichtigung der Switching Costs und der Opportunity Costs vorliegt. Es ist nicht genau definiert, welche Einzelpositionen unter Gewinn oder Kosten zu subsum-mieren sind. Daraus folgt eine große Freiheit für die Einstellung des Modells. Auch das Modell der Total Cost of Ownerhsip (TCO) hilft hier nur bedingt weiter (siehe hierzu Ka-pitel 1.2.1). Es werden zwar die direkten Kosten wie der Kaufpreis und die indirekten Kosten wie Wartung, Betrieb etc. erfasst, aber die weiteren Kostenarten, die Switching Costs und die Opportunity Costs, werden nicht in die Berechnung mit einbezogen.

Als weiterer Kritikpunkt ist auch das Risiko der Investition anzuführen. Je nach Höhe der Investition kann es bei einer Fehlinvestition zu schwerwiegenden Folgen für das Unternehmen kommen. Ein Risikofaktor wird jedoch bei der Berechnung des ROSI nicht berücksichtigt.17

5. Alternativen zu ROSI bei der Risikoanalyse Wie bereits dargestellt (siehe Punkt 4: Kritik an ROSI) weißt das ROSI-Modell einige Schwachpunkte auf. Im Folgenden werden drei ausgewählte Alternativen vorgestellt.

5.1 Risikomatrix Die Risikomatrix kommt bei der finanziellen Planung des IT-Sicherheitsprozesses zur Anwendung. Dies ist kein leichtes Unterfangen, da Umfang, Art und Zeitpunkt von An- 16 Dirk Schadt „Über die Ökonomie der IT-Sicherheit“; HMD 248 17 http://www.computerwoche.de/it_strategien/it_management/569697/index3.html



griffen auf die IT-Struktur eines Unternehmens nicht vorhersehbar sind und daher eine finanzielle Planung von Abwehrmaßnahmen schwer fällt. Das ROSI-Modell hilft hierbei nur bedingt weiter.

Besser geeignet für die Budgetplanung ist die Analyse des Risikos mit Hilfe einer Risi-komatrix.

Das Risiko ist eine Kombination von Eintrittswahrscheinlichkeit und der daraus resultie-renden Schadenshöhe. Je höher die Eintrittswahrscheinlichkeit und je höher der Scha-den, desto größer ist das Risiko. In der Risikomatrix wird das Risiko in die folgenden drei Zonen eingestuft:

In dieser Matrix wird ein Toleranzbereich definiert, in welchem die Ereignisse akzeptiert werden können.

In der Praxis werden Risikoanalysen für besonders schützenswerte, bzw. geschäftskri-tische oder finanzrelevante Informationssysteme durchgeführt. Für nicht besonders schützenswerte Systeme wird keine Risikoanalyse durchgeführt, hier reichen die Maß-nahmen des IT Grundschutzes.18

18 http://www.ict-security.ch/downloads/pdf/risikoanalyse.pdf

Zone 1: Grosses Risiko

Zone 2: Mittleres Risiko

Zone 3: Restrisiko

A Sehr hoch: Eintrittswahrscheinlichkeit ist enorm hoch B Hoch: Eintrittswahrscheinlichkeit ist beträchtlich C Mittel: Eintrittswahrscheinlichkeit ist existent und realistisch D Niedrig: Eintrittswahrscheinlichkeit ist unwahrscheinlich E Sehr niedrig: Eintrittswahrscheinlichkeit ist sehr unwahrscheinlich I Sehr hoch: Ausmaß des Schadens ist existenziell bedrochlich II Hoch: Ausmaß des Schadens ist beachtlich III Mittel: Ausmaß des Schadens ist mittelgroß begrenzt und überschaubar IV Niedrig: Ausmaß des Schadens ist minimal, begrenzt und überschaubar V Sehr niedrig: Ausmaß des Schadens ist äußerst minimal, begrenzt und überschaubar



Man kann also feststellen, dass bei diesem Modell der für die Risikoabwägung ent-scheidende Zeitfaktor mit in das Modell einfließt sowie die Schadenshöhe berücksichtigt wird.

Um das tatsächliche Ausmaß des Schadens genauer bestimmen zu können, sollten historische Daten verwendet werden. Diese liegen allerdings erst bei längerer Anwen-dung vor. Die fehlende Datenbasis ist die grundlegende Schwäche bei der Bewertung von IT-Sicherheitsrisiken.19

5.2 Technik der Simulation Die Technik der Simulation soll helfen, realitätsnahe Aussagen über die Eintrittswahr-scheinlichkeit eines Schadens zu treffen. Unter einer Simulation versteht man eine möglichst genaue, realitätsnahe Nachbildung von Geschehnissen der Wirklichkeit.

Diese von DeMarcos entwickelte Technik wurde ursprünglich für das Projektmanage-ment entwickelt, lässt sich aber relativ einfach auf das Sicherheitsmanagement übertra-gen. Mit Hilfe der Risiko- und Produktionsmodellen können sowohl der Nutzwert von Sicherheitsmaßnahmen als auch das Risiko quantifiziert werden.

Es existieren zwei Verfahren der Simulation, welche sich in der Praxis durchgesetzt ha-ben: die Monte-Carlo Simulation und die inkrementelle Nutzwert-Kosten-Analyse.

Bei der Monte-Carlo Simulation handelt es sich um ein Verfahren aus der Stochastik, bei dem sehr häufig durchgeführte Zufallsexperimente die Basis darstellen.

Durch einen Zufallsgenerator wird es ermöglicht eine Vielzahl von Modellrealisierungen durchzuführen, um so zu einer Schätzung der zugrunde liegenden Verteilungsfunktion zu gelangen.

Die inkrementelle Nutzwert-Kosten-Analyse findet ihre Anwendung auch bei einem nur schwer zu quantifizierenden Nutzen. Sie ermöglicht eine relative Bewertung zum jeweiligen Entwicklungsstadium der implementierten Funktionalität. Das dabei erzeugte Unsicherheitsdiagramm kann wiederum durch eine Monte-Carlo Simulation geglättet werden.

Aus dem Ergebnis kann man ablesen, ob Risiko und Nutzwert in einem sinnvollen Ver-hältnis zueinander stehen. Dies ist der Fall, wenn sich Risiko und Nutzwert im Gleich-gewicht befinden.

19 Dirk Schadt „Über die Ökonomie der IT-Sicherheit“; HMD 248



Abschließend kann man sagen, dass die Technik der Simulation, auch wenn sie mit ein paar Unsicherheiten behaftet ist, zeigt, ob zu viel oder zu wenig in die Absicherung der Funktionalität investiert wurde.20

5.3 Penetrationstests Penetrationstests sind eine weitere Möglichkeit, wenn es um die Überprüfung der ord-nungsgemäßen Funktion der IT-Sicherheit geht. Hierbei wird von der Sicht des Angrei-fers ausgegangen, wodurch einen realitätsnahen Sicherheitscheck der IT-Infrastruktur gewährleistet wird.

Das Bundesamt für Sicherheit in der Informationstechnik hat dieses Thema in seiner "Studie zur Durchführung von Penetrationstests" aufgegriffen und eine grundlegende Methodik entwickelt. Diese beinhaltet neben einer Unterteilung des Vorgehens in meh-rere Phasen die Klassifizierung des Penetrationstests anhand vordefinierter Kriterien.

Die fünf Phasen eines Penetrationstests

1. Vorbereitung 2. Informationsbeschaffung 3. Bewertung 4. Eindringversuche 5. Abschlussanalyse

Bei der Vorbereitung werden zunächst Ziele, Umfang, Vorgehen und weitere Eckdaten, wie Notfallmaßnahmen besprochen und festgelegt. Eine gründliche Überlegung von organisatorischen und rechtlichen Gesichtspunkten dient dabei der Absicherung, da die Berücksichtigung der gesetzlichen Bestimmungen dringend erforderlich ist, da sonst strafrechtliche oder zivilrechtliche Konsequenzen drohen. Die Eckdaten sollten an-schließend zur Absicherung in einem Vertrag festgehalten werden.

Als nächster Schritt folgt nun die Informationsbeschaffung, wo zunächst passiv Informa-tionen über das Unternehmen, Netze, Systeme sowie mögliche Angriffspunkte gesam-melt werden. Je nach Umfang kann der Zeitbedarf hierfür mehrere Tage bis Wochen betragen. Die gesammelten Informationen werden nun analysiert und bewertet und bil-den die Grundlage für die folgenden Eindringversuche. Hier werden die zuvor abge-stimmten Ziele aktiv angegriffen, um Schwachstellen zu identifizieren. Hier sind vor al-lem Kreativität und Fachwissen des Penetrationstesters gefordert, da neben fundierten Kenntnissen der grundlegenden Netzwerk- und Systemkomponenten auch Erfahrung auf den Gebieten Administration und Programmierung notwendig sind. Die Abschluss-analyse, die eine vollständige Dokumentation der einzelnen Prüfungsschritte beinhaltet,

20 Dirk Schadt „Über die Ökonomie der IT-Sicherheit“; HMD 248



zeigt die gefunden Schwachstellen auf, bewertet sie und gibt Empfehlungen zur Kom-pensation der daraus resultierenden Risiken.21

6. Fazit Auch wenn das Modell des Return on Security Investment in der Praxis noch relativ neu ist, steigt dessen Bedeutung und Anwendungshäufigkeit. Dies ist nicht verwunderlich, da das Thema „IT-Sicherheit“ einen wichtigen Pfeiler in der Organisation eines Unter-nehmens darstellt.

Trotz einiger Schwierigkeiten bei der Messung des Return on Security Investment, sind viele Unternehmen dazu übergegangen, Investitionen in die IT-Sicherheit auch dann vorzunehmen, wenn sie nicht nach ihrem Payback bewertet sind. Die Unternehmen sind hierzu einerseits durch die Kunden gezwungen, die einen gewissen Level an Si-cherheit fordern, und andererseits durch die Wettbewerbssituation, um mit anderen Un-ternehmen der Branche und Größe mithalten zu können. Außerdem werden IT-Sicherheitsmaßnahmen auch im Rahmen des Risikomanagements von den Unterneh-men verlangt, z.B. durch Basel II.

Damit eine relativ realistische Berechnung der Wirtschaftlichkeit von IT-Sicherheitsmaßnahmen durchgeführt werden kann, ist es notwendig, dass die Angriffe und die daraus resultierenden Schäden so gut wie möglich dokumentiert werden. Hier-zu wäre eine allgemeingültige Vorgabe, wie IT-Sicherheitsvorfälle dokumentiert werden müssten, sehr hilfreich, denn nur so können die Kosten vergleichbar und für die Zukunft nutzbar gemacht werden.

21 Penetrationstests, www.secutrends.com/de/service/download/portfolio/consulting/penetrationstests.pdf



II. Abbildungsverzeichnis:

Abbildung 1: Prozentuale Ausgaben des IT-Budgets für IT-Sicherheit ...........................................................3

Abbildung 2: Durchschnittliche Ausgaben für IT-Sicherheit pro Mitabeiter .....................................................3

Abbildung 3: Geschätzter Verlust bei Vernichtung aller elektronisch gespeicherten Daten ..........................4

Abbildung 4: Angriffe / Missbrauch der letzten 12 Monate ...............................................................................6

Abbildung 5: Verlust in Dollar .............................................................................................................................6



III. Anhang



IV. Literaturverzeichnis

Bücher / Zeitschrifen Dirk Schadt, Über die Ökonomie der IT-Sicherheit, HMD 248

Norbert Pohlmann, Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen?, HMD 248

Apr. 2006, Lagebericht zur IT-Sicherheit, kes 2006#4

Wes Sonnenreich, Jason Albanese & Bruce Stout, Feb. 2006, Return on Security In-vestment (ROSI) – A Practical Quantitative Model; Journal of Research and Practice in IT, Vol. 38, No.1

Online Risikomanagement – schlank und nachvollziehbar, [Online], Available: http://www.insentis.com/de/unternehmen/download/insentis_it_sicherheit.pdf [28. Dezember 2006]

Der RoI sagt nur die halbe Wahrheit, [Online], Available: http://www.computerwoche.de/it_strategien/it_management/569697/index3.html [30. Dezember 2006]

ICT-Security | Risikoanalyse, [Online], Available: http://www.ict-security.ch/downloads/pdf/risikoanalyse.pdf [20. Dezember 2006]

Penetrationstests, [Online], Available: www.secutrends.com/de/service/download/portfolio/consulting/penetrationstests.pdf [30. Dezember 2006]

Der Return on Investment (ROI), [Online], Available: http://de.solutionmatrix.com/return-on-investment.html [28. Dezember 2006]

Documents

Thema: Return on Security Investment (ROSI) · 3„W i ew rtsc h af t l ndIT-S rh mß ?“;Norb Po ;HMD248. Return on Security Investment Stefanie Schmid || Florian Banzer 2 1.2.1