Nutzen der IT-Sicherheit unter Berücksichtigung der Kostenaspekte

Transkript

1 Nutzen der IT-Sicherheit unter Berücksichtigung der Kostenaspekte (IT-Sicherheitscontrolling) Prof. Dr. R. Voßbein iww w.uimcert.de Moltkestraße Wuppertal Telefon Telefax E -Mail: certification@uimce rt.de

2 IT-Sicherheit ist keine Modeerscheinung mehr, ist nicht mehr die Idee spleeniger Fanatiker, sondern vielmehr eine Notwendigkeit, die aus der modernen Informationstechnologie erwächst und die als Wirtschaftsfaktor nicht mehr wegzudenken ist. 2

3 Welchen Return erhalte ich in meinem Unternehmen für die IT- Sicherheit? Wenn die meisten Menschen sich im Internet so offensichtlich ungehemmt bewegen, warum sollten wir IT-Sicherheit betreiben? Das IT-Sicherheit Geld kostet, wissen wir. Was sie bringt, ist ungewiss. Wir sind noch nicht einmal in der Lage, die Kosten der IT- Sicherheit genau anzugeben. Wie sollten wir dann in der Lage sein, ihren Nutzen zu berechnen? 3

4 Die IT-Sicherheit ist in den vergangenen 25 Jahren zu einem beachtlichen Wirtschaftsfaktor geworden. Dies ist u. a. darauf zurückzuführen, dass die Informationstechnologie das gesamte berufliche und private Leben durchdrungen hat und zunehmend weiter durchdringen wird. IT- Sicherheit ist damit zu einer absoluten Notwendigkeit geworden, da der Einzelne u. a. ohne IT- Sicherheit den Entwicklungen der Technologie mit der Be- und Verarbeitung seiner persönlichen Daten mehr oder weniger ausgeliefert wäre. Diese Entwicklung bringt zwei Konsequenzen mit sich: 1. IT-Sicherheit hat für das Unternehmen einen nicht mehr zu verleugnenden Nutzen. IT- Sicherheit wird so zu einem Qualitätsmerkmal, das das Unternehmen auszuzeichnen in der Lage ist und welches zu einem Differenzierungskriterium gegenüber anderen Unternehmen, auch Konkurrenten, führen kann. 2. IT-Sicherheit beinhaltet für das Unternehmen einen Nutzen, den es zur Differenzierung im Markt verwenden kann, und den es in seinen Marketing- und PR-Aktivitäten einsetzen sollte. Auf der anderen Seite ist IT-Sicherheit ein Kostenfaktor, der unter betriebswirtschaftlichen Gesichtspunkten geplant, gesteuert und kontrolliert werden sollte. Hierbei stößt die IT-Sicherheitscontrolling aus methodischen Gründen an bestimmte Grenzen. IT-Sicherheitscontrolling" untersucht das Problem der Kosten- und Nutzenerfassung und findet Ansätze, um sowohl ein Kostencontrolling als auch insbesondere eine Nutzwertanalyse mit dem Vorschlag eines Bewertungsverfahrens systematisch-methodisch darzustellen. Es ist weiterhin belegt, dass vor allem das Kostencontrolling auf Probleme stößt, sofern die IT- Sicherheitskosten als Gemeinkosten zu betrachten sind. Die Nutzenerfassung und -bewertung stößt insbesondere auf Schwierigkeiten bei der Quantifizierung. Diesem Problem kann teilweise aus dem Weg gegangen werden durch die Anwendung von Verfahren der Nutzwertanalyse. IT-Sicherheit wird so aus der Sphäre des Nebulösen herausgelöst und betriebswirtschaftlich diskutiert mit dem Ziel, Transparenz dort zu schaffen, wo es möglich ist, aber andererseits der Versuchung zu widerstehen, nicht sinnvoll zurechenbare oder quantifizierbare Faktoren um jeden Preis berechenbar machen zu wollen. Diese Überlegungen stellen so einen Meilenstein bei dem Vorhaben dar, IT-Sicherheit als wirtschaftliche Größe erkennen und beurteilen zu wollen. 4

5 IT-Sicherheits-Controlling-Funktionen IT-Sicherheits-Controlling Gestaltung und Aufrechterhaltung eines dem Schutzzweck angemessenen IT-Sicherheitssystems IT-Sicherheitssystem- Planung IT-Sicherheitssystem- Steuerung IT-Sicherheitssystem- Effizienzkontrolle Entwurf und Konzeptionierung eines dem Schutzzweck angemessenen IT-Sicherheitssystems sowie Festlegung der Wege zu seiner Realisierung Realisierung und Aufrechterhaltung eines dem Schutzzweck angemessenen IT-Sicherheitssystems Kontrolle des IT-Sicherheitssystems in Bezug auf Effizienz/Angemessenheit und Festlegung von Abweichungen (Schwachstellen, Strategie- und Zieländerungen) 5

6 Angemessenheitskriterien Angemessenheitsmerkmale Größe und Komplexität der Institution Organisation der Datenverarbeitung IT-sicherheitsspezifischer Schutzzweck des Informationssystems Abhängigkeitsgrad des Unternehmens von den betreffenden Daten Abhängigkeitsgrad der personenbezogenen Daten von einem wirksamen Schutz Verfügbarkeitsnotwendigkeiten Durchdringungsgrad mit Informationstechnologie (insbesondere im Hinblick auf die Quantität und Qualität der Daten, die automatisiert verarbeitet werden) IT-Sicherheitszielvorstellungen des Managements/IT-Sicherheitsstrategie IT-Sicherheitsbewusstsein der Mitarbeiter In der Vergangenheit realisiertes IT-Sicherheitsniveau Individuelle Risiko- und Gefahrensituation Anfälligkeit der Daten im Hinblick auf beabsichtigte Verletzung des unternehmensindividuellen IT-Sicherheitsniveaus (IT-Sicherheits- Sabotage) 6

7 Nutzenproblematik Interner Nutzen Externer Nutzen Qualitativer Nutzen Quantitativer Nutzen Nutzwertanalyse 7

8 Interner Nutzen Reduzierung von Verstößen Qualitätssicherung der Prozesse Verbesserung der IT-Sicherheit Erhöhtes Vertrauen der Mitarbeiter Untermauerung der Bedeutung für die Mitarbeiter Transparenz der Datennutzungsvoraussetzungen Externer Nutzen Abbau von Ablehnungshaltung beim Verbraucher/Kunden Erhöhtes Vertrauen der (potentiellen) Kunden Bestandteil der Produktpolitik im Marketing Beweis der Kompetenz 8

9 Qualitativer Nutzen Imagegewinn IT-Sicherheit als Enabler Transparenter Kunde Erhöhung der IT-Sicherheit Quantitativer Nutzen Kosteneinsparungen Umsatzgenerierung Nutzwertanalyse Auswahl der Alternativen Auswahl der Kriterien Gewichtung der Kriterien Ermittlung des Zielerreichungsgrades IT-Sicherheits-Controlling-Funktionen Angemessenheitskriterien Aufwendungen für Sicherheit in % des IV-Budgets 9

10 Nutzwertanalyse Auswahl der Kriterien Qualität Kostenminimierung Know-how-Transfer Personelle Verfügbarkeit Re-Organisationsnutzen Kommentar Eine hohe IT-Sicherheitsqualität wird durch eine routinierte Aufgabenwahrnehmung des IT- Sicherheitsbeauftragten erreicht. Die Kosten der IT-Sicherheit werden mitunter durch das Verhältnis der Kosten für die IT-Sicherheitsaktivitäten zu den Kosten qualitätssichernder Aktivitäten (Schulung, Fortbildung etc.) beeinflusst. Nutzen kann einerseits durch den vermiedenen Verlust internen Know-hows und andererseits durch den Zufluss externen Know-hows generiert werden. Durch Anwesenheit des IT-Sicherheitsbeauftragten im Unternehmen ist eine geringe Reaktionszeit bei auftretenden Problemen zu erwarten. Hierbei wird der Nutzen der Maßnahmen zur Änderung des Status quo betrachtet. 10

11 Probleme des IT-Sicherheits-Controllings bei Investitionen und Kosten Ungewissheitsprobleme Quantifizierungsprobleme Komplexitätsprobleme Abgrenzungsprobleme Kosten (und Nutzen) lassen sich nur in Grenzen abschätzen. Kosten (und Nutzen) lassen sich nur in Grenzen quantifizieren. Die Komplexität erlaubt nicht, alle relevanten Kosten- (und Nutzen-) Interdependenzen abzubilden. Die Abgrenzung der IT-Sicherheit von der Entwicklung der Informationstechnologie beeinflußt die Wirtschaftlichkeit. 11

12 IT-Sicherheits-Controlling bei Investitionen und Kosten IT-Sicherheitsinvestitionen im engeren Sinne IT-Sicherheits-Strategie-Projekte IT-Sicherheits-Konzept IT-Sicherheits-Audit Sonstige Projekte Investitionen in Sachmittel System-Sicherheit generell Personal-Investition: Betrieblicher IT-Sicherheitsbeauftragter IT-Sicherheitsnahe Investitionen (s. Folgechart) 12

13 IT-Sicherheits-Controlling bei Investitionen und Kosten IT-Sicherheitsnahe Investitionen Investitionen insbesondere aus Sicherheit, wenn diese anders begründet sind. Schulungen im Rahmen der Aufklärung bezüglich der Investition in Systemsicherheit, wenn diese nur einen geringen Anteil der Gesamtschulung ausmacht der Aufwand zur Quantifizierung wäre zu groß. Weitere Projekte, die IT-Sicherheitsbelange berücksichtigen müssen, aber nur einen Randbereich des Gesamtprojekts ausmachen. 13

14 IT-Sicherheits-Controlling bei Investitionen und Kosten Controlling der IT-sicherheitsrelevanten Kosten Identifikation der IT-Sicherheitskosten und Kostenrechnung Kostenarten Personalkosten Sachkosten Sonstige Kosten Kostenstellen Kostenträger 14

15 Kostenarten A. Personalkosten IT-Sicherheitsbeauftragter Hilfspersonal des IT-Sicherheitsbeauftragten Supportpersonal für IT-Sicherheitsangelegenheiten (Ansprechpartner für Mitarbeiter und Kunden; beispielsweise für Auskunfts ersuchen) Wartungspersonal für IT-Sicherheitstechnologien Schulungspersonal 15

16 B. Sachkosten Kostenarten Infrastruktur des IT-Sicherheitspersonals (Telefon- und Internetzugang und sonstige Büroausstattung mit speziellen Software-Tools für die Arbeit des IT-Sicherheitsbeauftragten) Sicherheitssoftware (Verschlüsselung, Firewall, Antivirensoftware etc.) Digitale Signatur Anonymisierungs- und Pseudonymisierungssoftware Datenvernichtungseinrichtungen ( Datentonnen, Reißwolf und sonstige Einrichtungen zur Datenvernichtung) Abschreibungskosten Kommunikationskosten intern Schutzkosten C. Sonstige Kosten 16

17 Kostenträger Bestandsaufnahme und Analyse Konzeption Begutachtung - Analyse, welche Daten erhoben, verarbeitet und genutzt werden - Rechtliche Bewertung der Vorgänge - Risiko- und Schutzbedarfsanalyse - Festlegung und Dokumentation der verfolgten Ziele und Anweisungen zur Verwirklichung - Technische und organisatorische Anpassungen - Schaffung eines Beratungs-, Gestaltungs- und Kontrollsystems Die zuvor dokumentierten IT-Sicherheitsbemühungen werden von unabhängiger Stelle begutachtet, geprüft und abschließend zertifiziert. 17

18 Aufwendungen für Sicherheit in % des IV-Budgets Aufwendungen < 2 % 49,92 32,75 2 bis 5% 36,08 37,43 5 bis 10 % 8,40 15,79 mehr als 10% 5,60 14,04 Summe 100,00 100,00 Was geschieht in Sachen IT-Sicherheit wirklich? 18

19 Kosten und Nutzen von IT-Sicherheitsaudits Kosten und kostenrelevante Faktoren Nutzen und nutzenrelevante Faktoren 1. Kosten der Auditvorbereitungen 1. Intensive Beschäftigung mit dem IT- Sicherheitssystem durch eigene Mitarbeiter 2. Kosten der Auditorenauswahl 2. Verschaffung von Markteinsicht und -übersicht 3. Kosten der Auditdurchführung 3. Intensive Beschäftigung mit dem IT- Sicherheitssystem durch eigene Mitarbeiter und Dritte 4. Kosten der Beseitigung von Schwachstellen als Vorbedingung für die Zertifikatserteilung 4. Erhöhung der IT-Sicherheit des Gesamtsystems oder wesentlicher Teile 5. Kosten der Zertifizierung 5. Erhalt eines publicity-wirksamen Zeugnisses über die Sicherheitsqualität 6. Kommunikation des Auditergebnisses nach innen 7. Kommunikation des Auditergebnisses nach außen 8. Interne Nutzung von Teilen des Auditberichtes für Verbesserungsmaßnahmen 9. Interne Nutzung von Teilen des Auditberichtes für Verbesserungsmaßnahmen 6. Erhöhung des Imagewertes in Sachen IT-Sicherheit bei Mitarbeitern 7. Erhöhung des Imagewertes in Sachen IT-Sicherheit bei externen Bezugsgruppen 8. Möglichkeit, sich auf besonders sicherheitssensitive Teile des Gesamtsystems zu konzentrieren 9. Kostenlenkungseffekte im Sinne von Kosteneinsatzoptimierung 10. Erlös- und Gewinnzuwächse durch Vertrauenserhöhung bei umsatzrelevanten Bezugsgruppen 19

20 IT-Sicherheits-Controlling von der Pflichtübung zum Produktivfaktor IT-Sicherheits-Controlling ist kein alter Hut. Controlling gehört in allen gut geleiteten, vor allem großen Unternehmen zum Standard der Steuerung von Kosten, Nutzen und Investitionen. Controlling ist eine moderne Managementfunktion. In der IT-Sicherheit hat Controlling bisher nahezu keine Bedeutung. Das muss sich ändern, wenn die IT- Sicherheit ihrer neuen Bedeutung gerecht werden will. Die geringe Bedeutung des IT- Sicherheits-Controllings liegt unter anderem daran, dass häufig eine Transparenz in den Kostenaspekten der IT-Sicherheit kaum gewünscht ist, und dass IT-Sicherheit darüber hinaus als lästige Pflicht, nicht aber als Nutzen- und Produktivfaktor angesehen wird. Wenn man jedoch IT-Sicherheit als ein unabdingbaren Bestandteil unserer technologisch bedingten und bestimmten Arbeitswelt und Gesellschaft sieht, gewinnt sie eine Bedeutung, die sie nicht mehr als lästiges Übel erscheinen lässt. Damit wird der Gedanke wichtiger, Kosten und Nutzen der IT-Sicherheit gegeneinander abzuwägen und insbesondere den Nutzen als einen wesentlichen Bestandteil des Umgangs mit Daten zu sehen. Der nächste Schritt - der zum IT-Sicherheitscontrolling - ist dann nicht mehr fern: IT-Sicherheit wird zu einem wesentlichen Faktor unternehmerischen Handelns und nahezu immer zum Bestandteil des Unternehmensimages. Die IT-Sicherheitskompetenz des Unternehmens kann so zu einem Differenzierungsmerkmal im Markt und gegenüber Konkurrenten werden. 20

21 Resümee Für Unternehmen besteht aufgrund der stärkeren Sensibilisierung die Notwendigkeit, die IT-Sicherheit mehr in ihre Planungs- und Entscheidungsprozesse einzubeziehen. Die IT-Sicherheit sollte daher in das Zentrum der Handlungen gerückt werden, was einen professionelleren Umgang mit der Thematik seitens der Unternehmen erfordert. Speziell die Bedeutung der IT-Sicherheit aufgrund der unternehmens-spezifischen Geschäftsausrichtung und der Kernkompetenz beeinflusst die Lösung. Doch nicht nur diese Fragestellung bedarf einer betriebswirtschaftlichen Betrachtung, sondern vielmehr alle Entscheidungen im Rahmen der IT-Sicherheit. Aus der Nachfrage nach IT-Sicherheit durch Kunden, Mitarbeitern etc., können Wettbewerbsvorteile für diejenigen Unternehmen abgeleitet werden, die eine besonders gute IT-Sicherheit aufgrund eines transparenten Konzepts gewährleisten können. Die Realisierung eines wirkungsvollen IT-Sicherheits-Konzepts benötigt eine sensibilisierte Geschäftsführung. Zur Minderung der Komplexität werden z. T. Kosten im Rahmen der IT-Sicherheit auf die Lohnkosten des IT-Sicherheitsbeauftragten und auf die Kosten für bestimmte IT-Sicherheitsprojekte reduziert. Die bisher vorherrschende mangelnde Sensibilität des Managements lässt eine Diskussion um ein komplexes Kostenrechnungssystem im Rahmen der IT-Sicherheit auch wenig sinnvoll erscheinen. Des Weiteren ist die Kontrolle ein wesentliches Element innerhalb der IT-Sicherheits-Controllingprozesse zur Realisierung und zur kontinuierlichen Verbesserung der IT-Sicherheit. Ein IT-Sicherheitsaudit kann bei der Umsetzung und bei der Nutzengenerierung der IT-Sicherheit im Unternehmen hilfreich sein. Weiterhin eröffnen sich Chancen, indem durch einen professionellen Umgang und ein eigenständiges IT- Sicherheits-Konzept Nutzenwirkungen generiert werden können. 21