Measuring Security and Conformity

Transkript

1 Measuring Security and Conformity Messbarkeit von IT-Sicherheit in Unternehmen Marcus Rubenschuh Swiss Security Summit, 11. September 23

2 Agenda Woher stammt der Bedarf nach messbarer IT-Sicherheit? Business Cases Erfahrungen Ausblick 2

3 IT-Sicherheit im Unternehmen aus Geschäftssicht Gesetzliche Vorschriften Hacker, Spionage, Innentäter, Terrorismus Kunden Partner, Gesellschafter, Aktionäre, Wettbewerber Kenntnis Einhaltung Bewusstsein Abwehr Verbindlichkeit Verlässlichkeit Vertraulichkeit Nachweise Ordnungsmäßigkeit Unternehmensziele Stellenwert der Sicherheit Geschäftsprozesse Organisation Assets Sicherheit in der Informationstechnik Geschäftsführung Schützenswerte Ressourcen Kenntnis, Bewertung, Absicherung Ausreichende Absicherung Kenntnis der Risiken, Vorgabe von Sicherheitszielen Revision Risikomanagement IT-Abt. Kontrolle der Vorgehensweisen Maßnahmen Einschätzung Implementierung, Betrieb der Maßnahmen Technische Infrastruktur Angemessene Absicherung Fachabt. Sicherheitsanforderungen Informationen Kenntnis, Bewertung, Absicherung 3

4 Woher stammt das Sicherheitsbedürfnis in Unternehmen? Innere und äußere Einflüsse erzeugen ein Sicherheitsbedürfnis, welches in den internen Bereichen unterschiedlichen Zielsetzungen unterliegt. Aktionäre Wettbewerber Spionage Äußere Einflüsse Internal Audit Wie quantifiziere ich Risiken? Wie verifiziere ich Einhaltung von Sicherheitsprozessen? Kann nicht alles prüfen! Vorstand / Geschäftsführung Was sind IT-Risiken? Wie verbreite ich Sicherheitsvorschriften (Policies)? Security / Risk Was ist mein Risiko? Wie soll ich die Vorgaben umsetzen? Was ist alles in meiner Infrastruktur vorhanden? Interne Einflüsse IT Abteilung Wie finde ich neue Schwachstellen? Wie priorisiere ich Schwachstellen? Wie verfolge ich Sicherheitsaufgaben? Gesetzliche Vorschriften Kunden Hacker, Organisierte Kriminalität,Terrorismus 4

5 Der IT-Sicherheitsansatz Um das gewünschte Sicherheitsniveau zu erreichen und zu halten, können die dafür notwendigen Tätigkeiten in drei Phasen unterteilt werden. 1. Schritt: Analyse (Assess) Die Analyse ermittelt den aktuellen Stand der IT-Sicherheit Durch den Vergleich mit best-practices (z.b. ISO 17799, BSI Grundschutz, eigene Richtlinien etc.) werden Lücken identifiziert Analysen für Technik, Organisation oder Verfahren 2. Schritt: Transformation Definition der Zielsituation Spezifikation von IT-Sicherheitsmaßnahmen (technisch, organisatorisch, verfahrensbezogen) Einsetzung der IT-Sicherheitsmaßnahmen 3. Schritt: Aufrechterhaltung (Sustain) Um den durch Schritt 2 erreichten Stand der IT-Sicherheit aufrecht zu erhalten, sind in das tägliche Geschäft Maßnahmen einzubinden (sog. IT-Sicherheitsmanagement) 5

6 Der IT-Sicherheitsansatz Transformation Aufrechterhaltung Sicherheit Analyse Zeit 6

7 Woher stammt das Bedürfnis nach Messbarkeit von Sicherheit? Die Messbarkeit von Sicherheit dient der Ermittlung des Grades der Erfüllung gegenüber den Vorgaben. Vorgaben aus externe Anforderungen Regulatorische Vorgaben wie z.b. KontraG (Deutschland), Basel II, Sarbanes Oxley Act, GoBS, BAFin Vorgaben... Standard-Sicherheitsvorgaben: BS 7799, ISO 13335, CobiT, IT-Grundschutz, NIST... Vorgaben aus internen Anforderungen Eigene Sicherheitsstandards (Policies, Richtlinien,...) Umsetzung der externen Anforderungen durch Bereiche, wie: Risikomanagement, IT-Revision, IT-Sicherheit, Controlling... 7

8 Woher stammt das Bedürfnis nach Messbarkeit von Sicherheit? Die Messbarkeit von Sicherheit dient der Ermittlung des Grades der Erfüllung gegenüber den Vorgaben. Die Messbarkeit dient verschiedenen Informationsbedürfnissen: Geschäftsführung: Ist das Unternehmen im akzeptablen Maße sicher? Sind die Investitionen in Sicherheit gerechtfertigt? Audit & Revision: Welche hohe, mittlere und niedrige Risiken bestehen? Risikomanagement: Treten kritische Risikoindikatoren ein? IT-Sicherheit: Wie werden die Sicherheitsanforderungen umgesetzt? Allgemein: Wie wirksam sind Sicherheitsmaßnahmen? Wie stehen wir im Vergleich zu anderen Unternehmen/Bereichen/Werken? Daraus leiten sich ab: Wirksamkeit von Sicherheitsmaßnahmen (bzw. Investitionen) Handlungsbedarf 8

9 Woher stammt das Bedürfnis nach Messbarkeit von Sicherheit? Die Messbarkeit von Sicherheit dient der Ermittlung des Grades der Erfüllung gegenüber den Vorgaben. Die Messbarkeit kann in verschiedenen Detailstufen erfolgen: Binär: Einschätzung, ob Anforderungen erfüllt werden oder nicht Gestaffelt: Einschätzung, wie eine Anforderung umgesetzt wurde oder welches Risiko aus einer Schwachstelle entsteht (niedrig, mittel, hoch oder Ampelprinzip etc.) Bewertet: Bewertung des Erfüllungsgrades nach einem Bewertungsschema Monetär: Bewertung des Einsparungspotentials (z.b. Verhinderter Schaden oder Kostenreduktion) Weiterhin ist die Häufigkeit der Messungen zu unterscheiden: Fortlaufend, regelmäßig, ad hoc, einmalig 9

10 Woher stammt das Bedürfnis nach Messbarkeit von Sicherheit? Die Messbarkeit von Sicherheit dient der Ermittlung des Grades der Erfüllung gegenüber den Vorgaben. Das Messen des Stands der Sicherheit selbst ist ein Assessment und hat je nach der Phase, in der sich ein Unternehmen befindet, verschiedene Zielsetzungen: Assessment: Identifizierung und Priorisierung des Handlungsbedarfs Transformation: Verifikation der Wirksamkeit von umgesetzten Maßnahmen Abnahme Aufrechterhaltung: Verifikation der Wirksamkeit etablierter Maßnahmen Identifikation neuer Handlungsfelder, Effizienzsteigerung 1

11 Woher stammt das Bedürfnis der Messbarkeit von Sicherheit? Die Messbarkeit von Sicherheit dient der Ermittlung des Grades der Erfüllung gegenüber den Vorgaben. Ziele Sicherheitsziele für den Geschäftsprozess xy Risiken / Kontrollen Standard-Risiken des Prozesses Kontrollziele des Prozesses R1 P1 P2 P3 P3 P4 P5 R2 R3 K1 R4 K2 Anwendungen A1 A1 A1 A4 A4 A5 A2 A3 Geschäftsprozess IT- Infrastruktur Hardware Software (Betriebssysteme, Middleware) Netzwerke 11

13 Business Cases Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Im Rahmen der Business Cases wurden drei Fälle gewählt, die die Messbarkeit des Sicherheitsstands auf jeweils unterschiedlichen Stufen benötigten Fall 1: Großbank möchte sicherstellen, dass die Sicherheitsrichtlinien für IT- Systeme eingehalten werden Fall 2: Ein Hersteller in der Automobilbranche möchte das Risiko einer Anbindung seiner IT-Systeme an ein fremdes Unternehmen einschätzen Fall 3: Produktionswerk möchte den Stand der IT-Sicherheit in allen 6 Werken ermittlen und vergleichen können 13

14 Business Cases Fall 1 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Fall 1: Großbank möchte sicherstellen, dass die Sicherheitsrichtlinien für IT- Systeme eingehalten werden Es soll ein Verfahren etabliert werden, welches die Einhaltung der Vorgaben unterstützt, die entsprechende Sicherheitsorganisation angepasst werden sowie den Prozess verankert Anforderung Informationsbedarf Detailstufe Häufigkeit Phase Ebene Intern Sicherheitspolicies Umsetzung der Sicherheitsmaßnahmen Binär Fortlaufend Transformation Anwendungen / Infrastruktur 14

15 Business Cases Fall 1 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Fall 1: Lösungsansatz Definition eines Zertifizierungs- und Akkreditierungsprogramms (Policy) Durchführung der Zertifizierung neuer Anwendungen, Systeme bei Neuerstellung / Aufbau Rezertifizierung bei Änderung oder nach 3 Jahren Akkreditierung bei Akzeptanz der Zertifizierung durch Bereichsverantwortliche Definition der Organisationsfunktion Security Audit Aufgabe: Überwachung der Umsetzung der Sicherheitspolicies 15

16 Business Cases Fall 2 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Fall 2: Ein Hersteller in der Automobilbranche möchte das Risiko einer Anbindung seiner IT-Systeme an ein fremdes Unternehmen einschätzen Es soll eine Risikoanalyse durchgeführt werden, welches auf Basis von einzuschätzenden bzw. messbaren Faktoren die nicht tragbaren Risiken ermittelt bzw. berechnet. Anforderung Informationsbedarf Detailstufe Häufigkeit Phase Ebene Intern Sicherheitspolicies Welche untragbaren Risiken bestehen? Gestaffelt / Bewertet Einmalig Analyse Anwendungen / Infrastruktur 16

17 Business Cases Fall 2 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Für die Bewertung möglicher Schäden (Schadenshöhen) wurden im Projekt folgende Kategorien angewendet: 1 = gering = unwesentlich, geringfügig = weniger als 4 Tsd. 2 = mittel = spürbar, nennenswert = weniger als 4 Mio. 3 = hoch = immens, schwerwiegend = mehr als 4 Mio. Beispiele: Personenschäden: 1 = leicht verletzt 2 = krank > 2 Tage 3 = schwer verletzt, tot Schäden an materiellen Werten: 1 = geringfügige Verluste 2 = nennenswerte Verluste 3 = schwerwiegende Verluste Auswirkungen auf den Betrieb: 1 = Abläufe behindert 2 = Abläufe gestört 3 = Abläufe unterbrochen Schäden an immateriellen Werten: 1 = Werte beeinträchtigt 2 = Werte beschädigt 3 = Werte verloren 17

18 Business Cases Fall 2 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Für die Bewertung der Eintrittswahrscheinlichkeit eines Schadens galten folgende Einschätzungen: 1 = geringe Eintrittswahrscheinlichkeit Eintreten des Schadens ist eher unwahrscheinlich; Schaden noch nie vorgekommen; einfacher oder seltener Prozess; gesichertes Umfeld; geregelte Abläufe; geringe Mengen; qualifiziertes Fachpersonal... 2 = mittlere Eintrittswahrscheinlichkeit Eintreten des Schadens ist denkbar; Schaden bereits vorgekommen; wiederkehrender Prozess; gespanntes Umfeld; nicht ausreichend geregelte Abläufe; kritische Mengen; unerfahrenes Personal; fahrlässiges Handeln... 3 = hohe Eintrittswahrscheinlichkeit Eintreten des Schadens ziemlich sicher; Schäden kommen ständig vor; häufiger oder sehr komplizierter Prozess; gestörtes Umfeld; ungeregelte Abläufe; gefährliche Mengen; unqualifiziertes Personal; vorsätzliches Handeln... 18

19 Business Cases Fall 2 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Risikokategorie = Schadenkategorie x Wahrscheinlichkeit Bedrohung Verlust der Vertraulichkeit bei der Übertragung der Daten von A nach B.... Risikokategorie 1, 2 oder 3 Die allgemeine Prävention ist in der Regel ausreichend; es besteht z. Z. kein oder nur geringer Handlungsbedarf. Risikokategorie 4 oder 6 Die bisherigen Präventionsmaßnahmen erscheinen als nicht ausreichend; es sind geeignete Zusatzmaßnahmen zur Verringerung des Risikos erforderlich. Risikokategorie 9 Zusätzliche Maßnahmen sind dringend und zwingend erforderlich, um die erkannte(n) Schwachstelle(n) zu beseitigen. Maßnahmen M1 M2 M5 M13 M14 (Liste aus bestehenden und geplanten Sicherheitsmaßnahmen) Schadenkat Wahrscheinlichkeit... 1 Risiko... 3

20 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Fall 3: Produktionswerk möchte den Stand der IT-Sicherheit in allen 6 Werken ermitteln und vergleichen können Es soll eine Analyse der IST-Situation erstellt werden, bei der der Stand der IT- Sicherheit gemessen werden kann sowie ein Vergleich der einzelnen Werke möglich ist. Anforderung Informationsbedarf Detailstufe Häufigkeit Phase Ebene Intern Sicherheitspolicies Regelmäßig Sicherheitsmaßnahmen / Vergleich zu anderen Werken Bewertet Aufrechterhaltung Anwendungen / Infrastruktur 2

21 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Aktueller Ausgangslage beim Kunden IT-Security Policy Feststellung des Schutzbedarfs Einbettung eines IT-Sicherheitsmanagements Definition von Sicherheitszielen Prüfkatalog Nächste Schritte? Durchführung eines konzernweiten IT-Sicherheitsaudits Definition eines Aktionsplans Umsetzung offen offen offen 21

22 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Aktueller Inhalt der IT-Security Policy Ziele für die IT-Sicherheit bei ABC Scope Vorgehen und Gliederung Schutzbedarf IT-Sicherheitsmanagement IT-Security Policy Prüfleitfaden Abkürzungen Literatur Anwendungsbereiche Software Security Policy Personnel Security Policy Physical and Environmental Security Policy Business Continuity Planning Policy Identification and Authentication (I&A) Policy Logical Access Controls Policy System Integrity Policy Encryption Policy System Audit Policy Data Network Security Policy Communication Security Policy 22

23 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Durch eine geeignete Anwendung des gemeinsam erarbeiteten Prüfleitfadens sollte ein aktueller Überblick über die bei den einzelnen ABC Niederlassungen und Töchtern tatsächlich vorhandenen IT-Sicherheitsvorkehrungen erarbeitet werden. Form des IT Security Audits Prüfungsrisiko und -aufwand verhalten sich umgekehrt proportional. Prüfungsmethoden Selbsterklärungen Prüfung auf der Basis von Dokumentation Prüfung vor Ort mit der Durchführung von Stichproben Vollständige Prüfung Prüfungsaufwand Prüfungsrisiko 23

24 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Für alle Niederlassungen sollte eine Prüfung auf der Basis von Dokumentation vorgenommen werden. Ausgewählte Standorte wurden vor Ort geprüft. Einteilung der Gesellschaften Kategorie Anzahl von IT- Nutzern Anzahl von Gesellschaften A -1 2 B C Prüfung auf Basis von Dokumentation Prüfung auf der Basis von Stichproben vor Ort 24

25 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. 25

27 Erfahrungen Unsere Erfahrungen: Für jegliche Analysen muss ein Ergebnis in messbarer Form vorliegen. Der Detaillierungsgrad ist jedoch maßgeblich bzw. unterschiedlich Im Detail messbare Ergebnisse erlauben es, schnell ein transparentes Bild über den jeweiligen Sicherheitsstand zu erhalten Messbarkeit erzeugt ein Verständnis auf der Entscheidungsebene Bei mehreren vergleichbaren Analysen ist eine historische Betrachtung der Entwicklung möglich (positiv als auch negativ) Aber Es muss immer der thematische Zusammenhang klar sein, z.b. Messung von Schwachstellen der IT-Systeme gegenüber Erfüllungsgrad von IT-Sicherheitspolicies Bei allen nicht technischen Themen sind die Bewertungskriterien zur Messung meist selbst festzulegen Messbarkeit in oder SFR ist noch nicht standardisiert (ROSI Diskussion) 27

29 Vorgehensmodell von Ernst & Young E&Y hat ein Modell zur Ermittlung des monetären Nutzens eines Sicherheitsvorhabens entwickelt Identifikation der IT-Risiken Bewertung der IT-Risiken Simulation der Risiken Auswertung der Ergebnisse Anpasssung der Erhebungsunterlagen auf die zu untersuchenden Sicherheitsinvestitionen. Basis sind IT Sicherheitsstandards (z. B. Grundschutzhandbuch, BS7799,...). Identifikation ausgewählter IT Risiken, die von den zu untersuchenden Security- Investitionen beeinflusst werden. (Die Risikoidentifikation erfolgt im Rahmen eines Workshops mit dem CIO und ausgewählten Abteilungsleitern aus den Fachbereichen und der IT.) Bewertung der identifizierten Risiken nach Schadensausmaß aus Business Sicht und die Häufigkeit in den Klassen Höchstschaden Mittlerer Schaden Kleinstschaden Bereinigung der erhobenen Daten nach Redundanzen und Widersprüchen Ermittlung des anualisierten Schadenserwartungswertes 29 Aufbau des Simulationsmodells unter Berücksichtigung der Wahrscheinlichkeitsverteilun g der identifizierten Risiken Auswirkung des anualisierten Schadenserwartungswertes auf die GuV-Positionen Korrelationen der identifizierten Risiken Simulation der Risiken nach dem Monte-Carlo Verfahren und Ermittlung der Auswirkung der IT Risiken auf die GuV IT Risikofelder Risikoinventar Simulationsmodell Auswirkung der IT Risiken auf die GuV Bestimmung der ausgewählten IT-Risiken aus Unternehmenssicht Bestimmung der Risiken mit den höchsten Risikopotentialen und Ableitung von Handlungsempfehlungen Bestimmung des monetären Nutzen einer IT Security- Investition durch den Vergleich verschiedener Simulationsmodelle (Modell ohne bzw. mit der zu untersuchenden Maßnahme) Ermittlung des Amortisationszeitraums einer Security Investition Gesamtrisiko aus Unternehmenssicht Risikopotentiale und Handlungsempfehlungen Monetärer Nutzen und Amortisationszeitraum einer Investition in IT Security

30 Vorgehensmodell von Ernst & Young Die Identifikation und Bewertung der Risiken erfolgt im Rahmen eines Workshops. Anschließend wird das Simulationsmodell erstellt, auf dessen Ergebnissen der Business Case aufbaut. Identifikation der IT-Risiken Bewertung der IT-Risiken Simulation der Risiken Auswertung der Ergebnisse Identifikation der Risiken (die durch die Security Investition tangiert werden) Simulation der Risiken Identifizierte Risiken Plan-GuV 23 Monte Carlo Simulation R1: R2: R3: Simulation Simulation Simulation Defekter Ausfall Ausfall 1: 2: 3: Server EDI PPS R3 R2 + R3 R1 + R2 Schadenserwartungswert: - 5 Umsatz Schadens- - Materialaufwand erwartungs- = Deckungsbeitrag wert: Personalaufwand sonstige Aufwand AfA /- Finanzergebnis Schadens- = ordentlicher Gewinn erwartungswert: a.o. Aufwendungen -5 Ermittlung der GuV- Positionen mit alternativen Wahrscheinlichkeiten VaR zum x%- Niveau,975 Umsatz 7222 Variable Kosten 3574 Gewinn nach Steuern -236 Cash Flow 114 Betriebsergebnis Steuern = Gewinn nach Steuern ,5 17,5,95, , , Bewertung der Risiken Darstellung des Simulationsergebnisses 5. Trials Frequency Chart 177 Outliers,34 Forecast: Gewinn 17 Erwartungswert Aufbau des Business Cases auf Basis der Gewinnerwartung ,26 127,5,17 85,9 42,5, , -2, -5, 1, 25, Kosten (kum.) Nutzen (kum.) Differenz 3

31 Vorgehensmodell von Ernst & Young Jedes identifizierte Risikofeld wird im Rahmen von Workshops analysiert und bewertet. Die Ergebnisse werden in einer Riskomatrix festgehalten. Risikofeld Allgemeine Beschreibung Bezeichnung des Risikos Mögliche Schadensformen/ Auswirkungen Risikobewältigungsmaßnahmen Schadenshöhe/ Eintrittswahrscheinlichkeit Quantifizierung 31

32 Vorgehensmodell von Ernst & Young Die Bewertung der identifizierten IT-Risiken erfolgt aus Geschäftssicht im Rahmen von vordefinierten Risikoklassen. Relevanz Definition Unbedeutende Risiken, die weder Jahresüberschuss noch Unternehmenswert spürbar beeinflussen. Mittlere Risiken, die eine spürbare Beeinträchtigung des Jahresüberschusses bewirken. Bedeutende Risiken, die den Jahresüberschuss stark beeinflussen oder zu einer spürbaren Reduzierung des Unternehmenswertes führen. Schwerwiegende Risiken, die zu einem Jahresfehlbetrag führen und den Unternehmenswert erheblich reduzieren. Bestandsgefährdende Risiken, die mit einer wesentlichen Wahrscheinlichkeit den Fortbestand des Unternehmens gefährden. Die Relevanz stellt die Gesamtbedeutung des Risikos für das Unternehmen dar und wird unter der Berücksichtigung von mittlerer Ertragsbelastung, Höchstschaden (z. B. VaR) und Wirkungsdauer bewertet. 32

33 Vorgehensmodell von Ernst & Young Die Aggregation und Quantifizierung der Risiken erfolgt im Rahmen einer Monte Carlo Simulation für die Einzelposten der GuV. Identifizierte Risiken Plan-GuV 23 Monte Carlo Simulation R1: Defekter Server R2: Ausfall EDI R3: Ausfall PPS Simulation 1: R3 Simulation 2: R2 + R3 Simulation 3: R1 + R2 Schadenserwartungswert: - 5 Schadenserwartungswert: - 5 Schadenserwartungswert: - 1 Umsatz - Materialaufwand = Deckungsbeitrag - Personalaufwand - sonstige Aufwand - AfA +/- Finanzergebnis = ordentlicher Gewinn a.o. Aufwendungen -5 - Steuern = Gewinn nach Steuern ,5 17,5 33

34 Vorgehensmodell von Ernst & Young Aus der Risikosimulation ergeben sich die Streuungen der GuV-Positionen, z. B. des Gewinns. Das Ergebnis zeigt die Wahrscheinlichkeitsverteilung und die Auswirkung auf die GuV-Position. Forecast: Gewinn 5. Trials Frequency Chart 177 Outliers ERGEBNISBEISPIEL,34 17,26 127,5,17 85,9 42,5, -35, -2, -5, 1, 25, 34

35 Vorgehensmodell von Ernst & Young Für die Berechnung des Business Cases muss ein Varianz-Niveau aus der Simulation der entsprechenden GuV Positionen festgelegt werden. ERGEBNISBEISPIEL VaR zum x%- Niveau Umsatz Variable Kosten Gewinn nach Steuern Cash Flow Betriebsergebnis, , , , , Erwartungswert (*) (*) Für die annähernde Normalverteilung des Gewinns wurde der Erwartungswert als Basis für den Business Case gewählt 35

36 Vorgehensmodell von Ernst & Young Durch die Gegenüberstellung von Simulationsläufen mit und ohne eine avisierte Sicherheitsinvestition, kann die Auswirkung der Investition auf den Gewinn ermittelt werden. Das Modell kann auf eine mehrjährige Betrachtung erweitert werden. Vergleich von zwei Simulationsmodellen ( Security Investition wird durchgeführt vs. Security Investition wird nicht durchgeführt ) Fiktive Werte 1. Schritt: Plan-GuV Die Gewinn- und Verlustrechnung des Folgejahres als Basis ansetzen Realisation vs. Non-Realisation des Security Vorhabens 4. Schritt: Nutzenpotential: Ermittlung des Gewinnzuwachses aus der Differenz der beiden Alternativen Schritt: Simulation der GuV ohne Security Investition Darstellung des Gewinns, sollte die Security Investition nicht durchgeführt werden. 3. Schritt: Simulation der GuV mit Security Investition Darstellung des Gewinns, sollte die Security Investition durchgeführt werden. 36

37 Vorgehensmodell von Ernst & Young Der Business Case stellt die Investitionen und Nutzenaspekte eines Sicherheitsvorhabens gegenüber und ermittelt den Zeitpunkt bis zur Erreichung der Rentabilität des Vorhabens. Nutzenpotential: Gewinnpotential aus der Differenz der Realisation bzw. Non-Realisation des Security Vorhabens Amortisationszeitpunkt: Der Punkt stellt den Zeitpunkt zur Erreichung der Rentabilität dar Fiktive Werte Investitionen: Investitionen zur Realisation des Security Vorhabens Kosten (kum.) Gewinn (kum.) Differenz Amortisationszeitpunkt = (Amortisationsjahr 1) + - Kum. Kapitalfluss am Ende des Vorjahres Kapitalfluss im Jahr der Amortisation Amortisationszeitpunkt (Grafische Ermittlung) Investitionen (kum.) = Gewinn (kum.) 37

38 Ende der Präsentation Vielen Dank für Ihre Aufmerksamkeit Ernst & Young AG Ernst & Young AG IT-Security IT-Security Mergenthalerallee 1-12 oder Binzmühlestr Eschborn 822 Zürich