Universiä Augsburg Prof. Dr. Hans Ulrich Buhl Kernkompeenzzenrum Finanz- & Informaionsmanagemen Lehrsuhl für BWL, Wirschafsinformaik, Informaions- & Finanzmanagemen Diskussionspapier WI-176 Ein Modell zur dynamischen Invesiionsrechnung von IT-Sicherheismaßnahmen von Ulrich Faiss, Oliver Prokein 1, Nico Wegmann Juli 2006 in: Zeischrif für Beriebswirschaf, 77, 5, 2007 1 Insiu für Informaik und Gesellschaf, Universiä Freiburg Universiä Augsburg, 86135 Augsburg Besucher: Universiässr. 12, 86159 Augsburg Telefon: +49 821 598-4801 (Fax: -4899) www.fim-online.eu
Ein Modell zur dynamischen Invesiionsrechnung von IT-Sicherheismaßnahmen Überblick Die Bedeuung von IT-Sicherheisrisiken ha in den vergangenen Jahren sark zugenommen. Unernehmungen können durch IT-Sicherheismaßnahmen die aufgrund von IT-Sicherheisrisiken zu erwarenden Schäden reduzieren, müssen jedoch für deren Durchführung Auszahlungen in Kauf nehmen. Benöig wird ein Modell, das Unernehmungen bei Enscheidungen über IT-Sicherheisinvesiionen unersüz. Dieser Beirag präsenier - auf Basis der Kapialwermehode - ein Modell zur dynamischen Invesiionsrechnung von IT-Sicherheismaßnahmen. Das Modell ermöglich - bei bekannen Eingangsgrößen - die Bewerung der Voreilhafigkei von IT- Sicherheisinvesiionen. Zusäzlich wird in einer Erweierung des Modells uner Zugrundelegung von im Zeiablauf fallenden Anfangsinvesiionen und seigenden IT- Sicherheisrisiken die Voreilhafigkei von Maßnahmen zu unerschiedlichen Zeipunken unersuch sowie der opimale Invesiionszeipunk ermiel. Schließlich werden die Auswirkungen von Risiko- bzw. Budgelimien berache. Der Beirag riche sich zugleich an Wissenschaf und Praxis. Das vorgeselle, neu enwickele Modell wird von einem führenden, inernaionalen Finanzdiensleiser zur Enscheidungsunersüzung über IT-Sicherheisinvesiionen bereis eingesez. A. Problemsellung Die zunehmende Virualisierung von Geschäfsprozessen und wachsende exerne Risiken (z.b. Hackerangriffe, Viren) sellen neue Herausforderungen an das Managemen von IT- Sicherheisrisiken. So zeigen bspw. die Saisiken des CERT, dass die Anzahl der gemeldeen Zwischenfälle einen exponeniellen Verlauf annimm (vgl. Abbildung 1). Leg man zugrunde, dass mi einem Ansieg der Anzahl der gemeldeen Zwischenfällen auch die Anzahl der Schadensereignisse gesiegen is - sowie deren jeweilige durchschniliche Schwere ebenfalls zugenommen ha oder zumindes nich gesunken is - so folg daraus, dass auch die Gesamschäden durch eingereene IT-Sicherheisrisiken gesiegen sind. 1
Abb. 1: Anzahl gemeldeer Zwischenfälle 1 1200000 1000000 800000 600000 400000 200000 0 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 Unernehmungen können mi der Implemenierung von IT-Sicherheismaßnahmen ihre erwareen und unerwareen Schäden reduzieren. In der Praxis häng die Invesiionsbereischaf in IT-Sicherheismaßnahmen jedoch ofmals von den besehenden Veranworlichkeien für die IT-Sicherheisrisiken ab: Besehen explizie Veranworlichkeien, werden Invesiionen zur Verminderung bzw. Vermeidung von Risiken durchgeführ, welche z. T. beriebswirschaflich nich voreilhaf sind (Opimierungskalkül: Risiken minimieren). 2 Besehen keine explizien Veranworlichkeien, werden die IT-Sicherheisrisiken häufig unerschäz und beriebswirschaflich sinnvolle Invesiionen nich geäig (Opimierungskalkül: Für das operaive Geschäf nich zwingend erforderliche Auszahlungen minimieren). Zur Enscheidungsunersüzung wird ein Modell zur Invesiionsrechnung von IT-Sicherheismaßnahmen benöig. Häufig dürfen die erforderlichen Anfangsinvesiionen für IT-Sicherheismaßnahmen im Zeiablauf sinken, jedoch die zu erwarenden Schäden endenziell seigen. Somi sell sich dem Enscheider zusäzlich zu der Frage, ob invesier werden soll, auch die Frage, zu welchem Zeipunk invesier werden soll. Ziel des Beirags is es, ein Modell zur dynamischen Invesiionsrechnung von IT-Sicherheismaßnahmen zu enwickeln. Unersuch werden hierzu folgende Forschungsfragen: Welche Mehode is geeigne, um IT-Sicherheismaßnahmen beriebswirschaflich zu beweren? 2
Wie kann eine Bewerung der Voreilhafigkei einer IT-Sicherheismaßnahme - roz in der Praxis besehender Probleme bei der Abschäzung der Eingangsgrößen - erfolgen? Wie kann uner der zusäzlichen Annahme im Zeiablauf fallender Anfangsinvesiionen und seigender IT-Sicherheisrisiken die Voreilhafigkei von IT-Sicherheismaßnahmen zu unerschiedlichen Zeipunken bewere und ein opimaler Invesiionszeipunk ermiel werden? Wie beeinflussen Risiko- bzw. Budgelimie die Voreilhafigkei von IT-Sicherheismaßnahmen und den opimalen Invesiionszeipunk? Um die Grundlagen zur Beanworung dieser Forschungsfragen zu legen, soll zunächs der wissenschafliche Sae-of-he-ar vorgesell werden. B. Kreislauf des IT-Sicherheismanagemens Der beriebswirschafliche Sand der Forschung läss sich enlang des Kreislaufs des IT- Sicherheismanagemens in vier Phasen beschreiben: Idenifikaion, Quanifizierung, Seuerung und Überwachung (vgl. Abbildung 2). 3 Abb. 2: Kreislauf des IT-Sicherheismanagemens Idenifikaion von Bedrohungen Klassifikaion der IT-Sicherheisrisiken (z.b. auf Basis des Konzeps der mehrseiigen Sicherhei) Ermilung von Risikoursachen und -reiber Idenifikaion Quanifizierung Schäzung der Häufigkei und Schwere von Ereignissen aufgrund von IT-Sicherheisrisiken Quanifizierung der erwareen und unerwareen Schäden IT Überwachung Seuerung Ex-pos Analyse der eingereenen Schäden Risikoberichersaung (inern und exern) Früherkennung von kriischen Siuaionen Analyse von Maßnahmen zur Risikoprävenion (ex-ane) und zum Risikoransfer (ex-pos) Enscheidung über die Durchführung von Maßnahmen 3
I. Idenifikaionsphase Die Idenifikaionsphase dien der Definiion und Klassifizierung von besehenden IT- Sicherheisrisiken, der Besandsaufnahme von Bedrohungsszenarien sowie der Ermilung von Risikoursachen und -reibern. Zur Definiion und Klassifizierung erschein das Konzep der Mehrseiigen Sicherhei geeigne. 4 Insbesondere bei offenen Kommunikaionssysemen kann nich davon ausgegangen werden, dass sich alle Pareien wie ewa eigene Miarbeier der Unernehmung oder exerne Miarbeier von IT-Diensleisern, Dienseanbieer, Nezbereiber oder Kunden gegenseiig kennen oder gar vollsändig verrauen. Ensprechend müssen bei der Analyse der Sicherhei neben exernen Angreifern auch alle anderen beeiligen Pareien als poenielle Angreifer berache werden. Die IT-Sicherheisrisiken ergeben sich aus der Bedrohung der vier Schuzziele: Verraulichkei (Risiko des unbefugen Informaionsgewinns), Inegriä (Risiko der unbefugen Modifikaion von Informaionen und Daen), Zurechenbarkei (Risiko der unzulässigen Unverbindlichkei) und Verfügbarkei (Risiko der unbefugen Beeinrächigung der Funkionaliä). 5 Die Ermilung möglicher Bedrohungsszenarien kann bspw. anhand der im IT- Grundschuzhandbuch des BSI aufgeführen Gefährdungskaaloge für höhere Gewal, organisaorische Mängel, menschliche Fehlhandlungen, echnisches Versagen und vorsäzliche Handlungen erfolgen. 6 Zusäzlich zu derarigen exern enwickelen Kaalogen der Bedrohungsszenarien und möglichen IT-Sicherheisrisiken finden insbesondere folgende Mehoden zur Risikoidenifikaion bei Unernehmungen ofmals Anwendung: Miarbeier- und Expereninerviews mi Hilfe von Fragebogen bzw. Checklisen und Analyse hisorischer unernehmensinerner und branchenweier Schadensfälle. II. Quanifizierungsphase Auf die Idenifikaionsphase folg in einem nächsen Schri die Bewerung der IT- Sicherheisrisiken im Rahmen der Quanifizierungsphase. Die Bewerung kann insbesondere durch die Beschreibung der Vereilung der Häufigkei und der Schwere von Schadensereignissen geschehen, um daraus die zukünfig erwareen und unerwareen Schäden abzuschäzen. 7 Die exisierenden Quanifizierungsmehoden können in vier Gruppen zugeordne werden: 8 Befragungsechniken, Indikaor-Ansäze, 4
Sochasische Mehoden und Kausal-Mehoden. Bei Befragungsechniken wird i.d.r. mi Hilfe von srukurieren Fragebögen versuch, IT- Sicherheisrisiken zu idenifizieren und zu quanifizieren. Indikaor-Ansäze hingegen fokussieren auf eine besimme Kennzahl respekive auf ein Kennzahlensysem, anhand dessen das vorliegende IT-Sicherheisrisiko indirek ermiel wird. Dabei werden einerseis auf Basis empirischer Unersuchungen und andererseis auf Basis von Experenmeinungen Indikaoren gewähl, für die ein Zusammenhang mi der Höhe des IT-Sicherheisrisikos vermue wird. Sochasische Mehoden benuzen saisische Vereilungsfunkionen zur Schäzung der Höhe der IT-Sicherheisrisiken. Anhand von hisorischen Schadensdaen bzgl. der Häufigkei und Schwere von eingereenen Schäden werden mi Hilfe von Simulaionen Prognosen für zukünfige Ereignisse geroffen. 9 Bei Kausal-Mehoden werden speziell Zusammenhänge zwischen den idenifizieren Risikoquellen bzw. -reibern und den daraus resulierenden Schäden uner Zuhilfenahme saisischer Mehoden unersuch. III. Seuerungsphase Nach der Quanifizierung der IT-Sicherheisrisiken soll die darauf folgende Seuerungsphase beriebswirschafliche Enscheidungen über die Durchführung von IT-Sicherheismaßnahmen unersüzen. Mi der Durchführung von IT-Sicherheismaßnahmen kann bspw. das Einreen von Schadensereignissen verminder und bzw. oder ein Teil des möglichen Ausmaßes der Schadensereignisse an Drie überragen werden. Die zur Seuerung von IT-Sicherheisrisiken eingesezen Insrumene lassen sich in inerne und exerne Seuerungsinsrumene klassifizieren (vgl. Tabelle 1). Tab. 1: Ausgewähle inerne und exerne Seuerungsinsrumene 10 Inerne Seuerungsinsrumene Maßnahmen zum Schuz von Daen, Sof- und Hardware sowie Vernezungsechnologien Prozessverbesserungen Maßnahmen zur Miarbeiermoivaion Exerne Seuerungsinsrumene Versicherungen Ousourcing Alernaive Risiko-Transferinsrumene Die inernen Seuerungsinsrumene zielen auf die Ursachen von IT-Sicherheisrisiken. Sie umfassen u. a. Maßnahmen zum Schuz von Daen, Sof- und Hardware sowie Vernezungsechnologien, zur Prozessverbesserung sowie zur Miarbeiermoivaion. Mi Hilfe von exer- 5
nen Seuerungsinsrumenen werden IT-Sicherheisrisiken auf Drie überragen. Zu exernen Seuerungsinsrumenen zählen neben Versicherungen das Ousourcing von Prozessen und Sysemen sowie Alernaive Risiko-Transferinsrumene. 11 Zur Enscheidungsunersüzung über die Durchführung von IT-Sicherheismaßnahmen und dami den Einsaz der vorgesellen Insrumene wurden bereis erse Ansäze enwickel. So berache bspw. Faiss (2004) in einem einperiodigen Modell den Trade-off zwischen Auszahlungen für IT-Sicherheismaßnahmen einerseis, sowie den Auszahlungen, die durch die erwareen Schäden sowie durch die Opporuniäskosen 12 einer Eigenkapialunerlegung für unerwaree Schäden hervorgerufen werden, andererseis. 13 Je niedriger die Auszahlungen für IT-Sicherheismaßnahmen sind, deso höher is das Risiko. Mi einem höheren Risiko verbunden sind seigende Auszahlungen aufgrund von zu erwarenden Schäden und durch die Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden. Dieses Modell is jedoch zur Bewerung von Invesiionen in IT-Sicherheismaßnahmen nur beding geeigne. So dürfe aufgrund der ofmals hohen Anfangsinvesiionen eine einperiodige Berachung nich ausreichend sein und solle durch eine mehrperiodige Berachung erweier werden. 14 IV. Überwachungsphase Der Kreislauf des IT-Sicherheismanagemens wird durch die Überwachungsphase abgerunde. Während in der Idenifikaions-, Quanifizierungs- und Seuerungsphase eine ex-ane Berachung von IT-Sicherheisrisiken vorgenommen wird, dien die Überwachungsphase der ex-pos Analyse der eingereenen Schäden und der Evaluaion der in den vorangegangenen Phasen geroffenen Annahmen und Enscheidungen. So kann bspw. unersuch werden: ob die eingereenen Schadensfälle bekannen Risikoaren bzw. Szenarien ensprechen und falls nich, ob gegebenenfalls die vorgenommene Risikoklassifikaion in der Idenifikaionsphase unvollsändig war, ob die eingereenen Schadensfälle in ihrer Häufigkei und Schwere die vorgenommene Quanifizierung in Frage sellen und ob die in der Seuerungsphase verabschiedeen Invesiionen in IT-Sicherheismaßnahmen aus einer ex pos Sich den gewünschen Effek haen. 15 Zu den Aufgaben der Überwachungsphase gehör darüber hinaus die forlaufende Berichersaung an unerschiedliche Sakeholder wie Aufsichsbehörden sowie zusändige Veranworliche im Managemen der Unernehmung. 6
Nachdem der Kreislauf des IT-Sicherheismanagemens in vier Phasen vorgesell wurde, gib die folgende Tabelle 2 einen zusammenfassenden Überblick über den Sand der Forschung anhand von unersuchen Forschungsfragen in ausgewählen Beirägen. Tab. 2: Überblick über ausgewähle Beirägen zum Managemen operaioneller Risiken im allgemeinen und zum IT-Sicherheismanagemen im speziellen Phase Forschungsfrage Beirag Mehodik Idenifikaion Quanifizierung Seuerung Überwachung Wie können IT-Sicherheisrisiken und Bedrohungsszenarien kaegorisier werden? Mi welchen Verfahren und Mehoden können poenielle Schadensereignisse idenifizier werden? Wie können Risikoquellen und -reiber analysier werden? Rannenberg (1998); Müller/Rannenberg (1999); BSI (2006) Brink (2000) Basel Commiee on Banking Supervision (2001); Marshall (2001); Piaz (2001); Cruz (2002); Eller/Gruber/Reif (2002); Füser/Rödel/ Kang (2002); Jörg (2002); Locarek- Junge/Hengmih (2003) Hoffman (2002) deskripive Analyse deskripive Analyse Fallsudie Mi welchen Mehoden kann die Höhe von IT-Sicherheisrisiken besimm werden? (2001); Piaz (2001); Cruz (2002); El- deskripive Brink (2000); Buhr (2000); Marshall Wie können IT-Sicherheisrisiken ler/gruber/reif (2002); Füser/Rödel/ Analyse aggregier werden? Kang (2002); Jörg (2002) Wie können selene Ereignisse großen Ausmaßes quanifizier werden? Hoffman (2002) Fallsudie Welche Quanifizierungsmehoden eignen sich für besimme Einsazgebiee bzw. Risikoypen? Wie hoch sind die Schäden aufgrund operaioneller Risiken auf Basis hisorischer Daen? Wie hoch is der Beirag einzelner Prozesse zur Gesamhöhe operaioneller Risiken? Welche Insrumene sehen zur Seuerung von operaionellen Risiken im allgemeinen bzw. von IT- Sicherheisrisiken im speziellen zur Verfügung? Wie wirk sich die Anwendung von Seuerungsinsrumenen auf die Häufigkei und Schwere operaioneller Risiken aus? Welche Mehoden und Verfahren eignen sich für die Überwachung von operaionellen Risiken? Welche organisaorischen Anforderungen beinhale eine Überwachung von operaionellen Risiken im laufenden Geschäfsberieb? Faiss/Kovacs (2003) Basel Commiee on Banking Supervision (2003); Fonnouvelle e al. (2003); Gordon e al. (2005); Fonnouvelle/Rosengren (2004); Chavez- Demoulin/Embrechs/Neslehová (2005); Beeck/Kaiser (2000); Wiedemann (2004) Ebnöher/Vanini/McNeil/Anolinez-Fehr (2001) Brink (2000); Marshall (2001); Piaz (2001); Cruz (2002); Eller/Gruber/Reif (2002); Grzebiela (2002); Jörg (2002); Locarek-Junge/ Hengmih (2003); Müller/Eymann/ Kreuzer (2003); Ecker (2004) Spahr (2001); Hoffman (2002); Gordon/Loeb (2006) Faiss (2004); Faiss/Prokein (2005); Gordon/Loeb (2002) Brink (2000); Anders (2001); Basel Commiee on Banking Supervision (2001); Marshall (2001); Piaz (2001); Cruz (2002); Eller/Gruber/Reif (2002); Locarek-Junge/Hengmih (2003); Basel Commiee on Banking Supervision (2003). Hoffman (2002) deskripive Analyse / Klassifikaion empirische Sudie Simulaionsmodell Simulaionsmodell deskripive Analyse Fallsudie formalmahemaisches Modell deskripive Analyse Fallsudie 7
C. Bewerung von IT-Sicherheismaßnahmen - Anforderungen und Mehoden In diesem Abschni sollen zunächs Anforderungen an eine beriebswirschafliche Bewerung von IT-Sicherheismaßnahmen formulier werden, anschließend soll unersuch werden, inwiewei die vorhandenen Mehoden diesen Anforderungen ensprechen. I. Anforderungen Die eingeseze Mehode zur Bewerung von IT-Sicherheismaßnahmen solle folgenden Anforderungen genügen: 1. Abbildung von mehrperiodigen Laufzeien der Maßnahmen: IT-Sicherheismaßnahmen werden zu einem besimmen Zeipunk eingeriche und dann i.d.r. über mehrere Perioden hinweg in der Unernehmung durchgeführ. Die Bewerungsmehode solle daher die relevanen Bewerungsgrößen auch über mehrere Perioden abbilden können. 2. Berücksichigung der Zeipräferenz: Eine Unernehmung als Invesor besiz eine Zeipräferenz, die sich durch seine Möglichkei zur Wiederanlage erklären läss. So kann sie - im Vergleich zur Invesiion in eine IT-Sicherheismaßnahme - in alernaive Anlagen invesieren. Sie forder daher eine Mindesverzinsung für das für die Durchführung von IT-Sicherheismaßnahmen gebundene Kapial. 3. Berücksichigung der ökonomischen Eigenkapialunerlegung für unerwaree Schäden: Wenn die Risikoragfähigkei 16 der Unernehmung zu einem besimmen Konfidenzniveau sichergesell werden soll, dann sind die unerwareen Schäden aufgrund von IT-Sicherheisrisiken durch ökonomisches Eigenkapial zu unerlegen. 17 Durch die Eigenkapialunerlegung ensehen der Unernehmung Opporuniäskosen, da dieses Eigenkapial nich für alernaive risikobehafee Geschäfe eingesez werden kann. Die Durchführung von IT-Sicherheismaßnahmen dürfe zur Verringerung auch der unerwareen Schäden und dami der Opporuniäskosen der ökonomischen Eigenkapialunerlegung beiragen. Vereinfachend werden im Weieren Wechselwirkungen zwischen IT-Sicherheismaßnahmen vernachlässig. Auf eine Porfolioberachung wird verziche, zumal diese weiere Anforderungen bezüglich der Aggregaionsfähigkei der Ergebnisse beding häe. 8
II. Vergleich der Mehoden In der Lieraur is eine Vielzahl von Mehoden bekann, die zur Enscheidungsunersüzung bei der Bewerung von IT-Sicherheismaßnahmen herangezogen werden können. Im Folgenden werden ausgewähle Mehoden kurz formal definier und anhand der gesellen Anforderungen bewere: Eine in der Praxis häufig verwendee Kennzahl zur Bewerung von Invesiionsmaßnahmen sell der Reurn on Invesmen (ROI) dar. Dabei wird der Gewinn der beracheen Invesiion ins Verhälnis zum gebundenen Kapial gesez: (1) Gewinn vor Zinsen ROI =. 18 Kapialeinsaz Speziell für den IT-Sicherheisbereich wurde ein modifizierer ROI enwickel, der als Reurn on Securiy Invesmen (ROSI) bezeichne wird. Die Renabiliä einer IT- Sicherheismaßnahme wird anhand eines Vergleichs des gesenken IT-Sicherheisrisikos durch die Implemenierung einer IT-Sicherheismaßnahme mi den Kosen für die Maßnahme ermiel: (2) (Moneäre Bewerung der IT -Sicherheisrisiken aneilige Redukion) - Projekkosen ROSI = Projekkosen. 19 Zusäzlich kann die Voreilhafigkei einer Invesiionsmaßnahme durch die Berechnung der Amorisaionsdauer, d.h. die Anzahl der Jahre, nach der sich die geäige Invesiion selbs refinanzier ha, bewere werden: ursprünglicher Kapialeinsaz (3) Amorisai onsdauer =. 20 durchschnilicher Rückfluss pro Jahr So genanne risikoadjusiere Performance Kennzahlen (RAPM) beweren den Erfolg eines Geschäfs im Verhälnis zum dami eingegangenen Risiko: (risikoadjusiere) Erragsgröße (4) RAPM =. 21 (risikoadjusiere) Kapialgröße Mi Hilfe des Economic Value Added (EVA) kann der in Geldeinheien gemessene Berag berechne werden, den eine Unernehmung innerhalb einer Periode nach Abzug aller Kosen erwirschafe ha. Zur Berechnung des EVA in der Periode zwischen -1 und (EVA ) wird 9
das gebundene Kapial in Periode -1 (Capial -1 ) mi der Differenz aus dem ROI in Periode (ROI ) und den Weighed Average Cos of Capial (WACC) muliplizier: (5) EVA = (ROI WACC) Capial 1. 22 Ein dynamisches Verfahren der Bewerung von Invesiionsmaßnahmen sell die Kapialwermehode dar. Hierbei werden sämliche mi einer Invesiion verbundenen Einzahlungen (laufende periodige Einzahlungen E sowie Liquidaionserlös L T ) und Auszahlungen (laufende periodige Auszahlungen A und Anfangsinvesiion I 0 ) auf den Kalkulaionszeipunk mi dem Diskonierungszinssaz i abgezins: E A LT (6) NPV0 = I0 + + T (1+ i) (1+ i) T = 1. 23 Der inerne Zinssaz sell denjenigen Zinssaz dar, bei dem der Kapialwer den Wer Null annimm: E A LT (7) NPV0 = 0 = I0 + + T (1+ i) (1+ i) T = 1. 24 Tabelle 3 sell die ausgewählen Mehoden den Anforderungen gegenüber. Tab. 3: Vergleich der Mehoden der Invesiionsrechnung gemäß den Anforderungen ROI ROSI Amorisaionsdauer EVA RAPM Kapialwermehode Inerne Zinsazmehode Abbildung von mehrperiodigen Laufzeien der Maßnahmen Berücksichigung der Zeipräferenz Berücksichigung der ökonomischen Eigenkapialunerlegung für unerwaree Schäden - - - - - - - - - - - - - - Eine Analyse der ausgewählen Mehoden hinsichlich der Abbildung von mehrperiodigen Laufzeien der Maßnahmen liefer das Ergebnis, dass diese Anforderung nur von der Amorisaionsdauer, der Kapialwermehode sowie der inernen Zinssazmehode erfüll wird. 10
Im Gegensaz zur Amorisaionsdauer wird bei der Berechnung des Kapialwers sowie des inernen Zinssazes weier die Zeipräferenz berücksichig. Alle weieren Mehoden genügen dieser Anforderung ebenfalls nich. Die ökonomische Eigenkapialunerlegung für unerwaree Schäden wird nur vom Economic Value Added (EVA) sowie den risikoadjusieren Performance Kennzahlen (RAPM) berücksichig. Keine der vorgesellen Mehoden ensprich dami allen gesellen Anforderungen. Die Kapialwermehode (und dami verbunden die inerne Zinssazmehode) ensprich jedoch den gesellen Anforderungen bereis in zwei von drei Krierien. Die Kapialwermehode wird daher im folgenden Modell um die Berücksichigung der ökonomischen Eigenkapialunerlegung für unerwaree Schäden angepass. D. Modell Vorgesell wird ein Modell zur Enscheidungsunersüzung über Invesiionen in IT-Sicherheismaßnahmen. Bewere werden IT-Sicherheismaßnahmen zum Schuz gegen zum Zeipunk =0 - aufgrund von idenifizieren Angriffsszenarien 25 - bekanne IT- Sicherheisrisiken. 26 In =0 nich idenifiziere Angriffsszenarien und dami verbundene IT- Sicherheisrisiken werden in diesem Beirag nich berache. Zunächs werden in Abschni I Annahmen geroffen und in Abschni II die Voreilhafigkei von IT-Sicherheismaßnahmen zum Zeipunk =0 unersuch. In Abschni III wird das Modell um zusäzliche Annahmen - wie im Zeiablauf sinkende Anfangsinvesiionen und zugleich seigende IT- Sicherheisrisiken - erweier, und die Voreilhafigkei zu allen Zeipunken zwischen =0 und =T (Berachungshorizon) unersuch, um daraus den opimalen Invesiionszeipunk zu besimmen. Schließlich werden zusäzlich Risiko- bzw. Budgelimie in Abschni IV berache und deren Auswirkungen unersuch. 11
I. Annahmen Dem Modell liegen folgende Annahmen A1 bis A4 (in Kursivschrif) zugrunde: A1 (IT-Sicherheismaßnahme zum Schuz von Vermögensweren): Berache wird eine IT-Sicherheismaßnahme, die zum Schuz von Vermögensweren (z. B. Forgang des Geschäfsberiebs, Markenwer der Unernehmung, ec.) eingesez wird. Wechselwirkungen zwischen verschiedenen IT-Sicherheismaßnahmen sowie Vermögensweren werden vereinfachend nich berücksichig. A2 (Bewerung der Voreilhafigkei): Ausgehend von einem risikoneuralen Enscheider soll die Voreilhafigkei einer IT-Sicherheismaßnahme anhand des Kapialwers NPV 0 in =0 bewere werden. Der Kapialwer NPV 0 sez sich zusammen: einerseis aus der Anfangsinvesiion I 0 (mi I 0 0) zum Zeipunk =0, zzgl. den zusäzlichen laufenden Auszahlungen für Berieb und Warung der IT-Sicherheismaßnahme C (mi C 0) zu den Zeipunken =1 bis =T, 27 sowie andererseis aus der - durch die Implemenierung der IT-Sicherheismaßnahme bewirken - Redukion der erwareen Schäden E(L ) zzgl. der Redukion der Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden OCC jeweils zu den Zeipunken =1 bis =T. 28 Vereinfachend sollen die jeweiligen Zahlungen 29 der Periode ]-1;] für 1 T (mi IN über eine Laufzei von T) nachschüssig zu den Zeipunken =1 bis =T anfallen. 30 Ebenso vereinfachend werde ein konsaner risikoloser Zinssaz i calc (mi i calc 0) zugrunde geleg. 31 Der Kapialwer NPV 0 is daher: T ΔE(L ) + ΔOCC C (8) NPV 0 = I0 +. (1 i ) = 1 + calc A3 (Erwaree Schäden und deren Redukion durch die Implemenierung einer IT-Sicherheismaßnahme): A3.1 (Erwaree Schäden): Die erwareen Schäden E(L ) (mi E(L ) 0) werden durch Muliplikaion der erwareen Häufigkei von Schadensereignissen E(Q ) (mi E(Q ) 0) mi der erwareen durchschnilichen Schwere von Schadensereignissen LGE (mi LGE 0) ermiel. Dabei seien die Häufigkei von Schadensereignissen Q und deren Schwere voneinander unabhängig. Es gil für die erwareen Schäden E(L ) jeweils zu den Zeipunken =1 bis =T: 12
(9) E(L ) = E(Q ). LGE. Die Implemenierung einer IT-Sicherheismaßnahme führ zu einer Redukion der erwareen Häufigkei von Schadensereignissen E(Q ). Vereinfachend wird die Schwere eines Schadensereignisses LGE nach Einführung der IT-Sicherheismaßnahme jeweils in Höhe der erwareen durchschnilichen Schwere angenommen. A3.2 (Erwaree Häufigkei von Schadensereignissen): Die erwaree Häufigkei von Schadensereignissen E(Q ) ergib sich durch Muliplikaion der erwareen Häufigkei versucher Angriffe E(N ) (mi E(N ) 0) mi (1-SL ). Die Häufigkei versucher Angriffe N sei exogen gegeben. SL bezeichne den Sicherheislevel, d.h. den Aneil der versuchen Angriffe, der durch die eingeseze IT-Sicherheismaßnahme abgewehr werden kann (mi 0 SL 1). 32 Es gil für die erwaree Häufigkei von Schadensereignissen E(Q ) jeweils zu den Zeipunken =1 bis =T: (10) E(Q ) = E(N ). (1 SL ). A3.3 (Erwaree durchschniliche Schwere eines Schadensereignisses): Die erwaree durchschniliche Schwere eines Schadensereignisses LGE ergib sich durch die Muliplikaion des im Falle eines Schadensereignisses durchschnilich beroffenen Vermögenswers AV (mi AV 0) mi dem Fakor (1-IL ). Die Überragbarkeisquoe IL (mi 0 IL 1) zu den Zeipunken =1 bis =T beschreib die Überragung von eingereenen Schäden auf Drie (z.b. aufgrund besehender Versicherungspolicen, Ousourcing-Verräge, ec.). Es gil für die erwaree durchschniliche Schwere eines Schadensereignisses LGE jeweils zu den Zeipunken =1 bis =T: (11) LGE = AV. (1 IL ). Anmerkung: Bei der Abschäzung des beroffenen Vermögenswers AV sind insbesondere der Schaden aufgrund von Geschäfsausfall (durch Beriebsunerbrechung), die Wiederhersellungskosen sowie der buchhalerische Wer des beroffenen IT-Sysems zu berücksichigen. Darüber hinaus könne man aber auch durchaus auch weiche Größen, wie Imageverlus im Falle eines Schadensereignisses in die Berachung mi einschließen. Durch die Implemenierung der IT-Sicherheismaßnahme verbesser sich der Sicherheislevel, sofern ΔSL = (SL - SL 0 ) 0 gil (mi SL 0 als Sicherheislevel zum Zeipunk =0 vor Implemenierung der IT-Sicherheismaßnahme und SL als Sicherheislevel zu den Zeipunken =1 bis =T nach Implemenierung der IT-Sicherheismaßnahme). 13
Is ΔSL 0 und sind zugleich die erwareen versuchen Angriffe E(N ), die durchschnilich beroffenen Vermögenswere AV sowie die Überragbarkeisquoe IL konsan, so gil für die Redukion der erwareen Schäden ΔE(L ) durch die Implemenierung der IT-Sicherheismaßnahme: (12) ΔE(L ) 0 mi ΔE(L ) = ΔSL. E(N ). (1 IL ). AV. A4 (Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden): Die Häufigkei von Schadensereignissen Q unerliege der Poisson-Vereilung. Da nach Annahme A4 eine poissonvereile Häufigkei von Schadensereignissen Q und zugleich nach Annahme A3 die Schwere eines Schadensereignisses LGE in durchschnilicher Höhe berache wird, is es möglich, aus den erwareen Schäden E(L ) mi Hilfe eines von E(Q ) abhängigen Gamma-Fakors die zu einem besimmen Konfidenzniveau besehenden unerwareen Schäden zu ermieln und daraus die nowendige Eigenkapialunerlegung CC zu besimmen: 33. (13) CC = γ E(L ) mi γ = Gamma-Fakor in Abhängigkei von E(Q ) zu den Zeipunken =1 bis =T. Eine abellarische Übersich über die ensprechenden Were für γ befinde sich im Anhang 1. 34 Die Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden beragen:. (14) OCC = CC i opp mi i opp = Opporuniäskosenzinssaz des Eigenkapials. Eine Eigenkapialunerlegung für unerwaree Schäden is ökonomisch sinnvoll, da durch Allokaion von Eigenkapial die Risikoragfähigkei für unerwaree Schäden zu einem besimmen Konfidenzniveau sichergesell wird. Für das gebundene Eigenkapial ensehen der Unernehmung Opporuniäskosen, da dieses nich mehr für andere risikobehafee Geschäfsakiviäen verwende werden kann. Pro Einhei gebundenem Eigenkapial ensehen Opporuniäskosen, die mi dem Opporuniäskosenzinssaz i opp ausgedrück werden. Dabei gil i. d. R. i opp > i calc. Durch eine Verbesserung des Sicherheislevels SL folg auch eine Redukion der Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden ΔOCC. Die Redukion der 14
Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden durch die Implemenierung einer IT-Sicherheismaßnahme ΔOCC beräg: (15) ΔOCC = (i. γ. opp 0 E(L 0 )) (i. γ. opp E(L )) = i. opp ( γ. E(L 0 0 ) γ. E(L )) mi γ 0 γ = Gamma-Fakor zum Zeipunk =0, = Gamma-Fakor zu den Zeipunken =1 bis =T. Der erse Term der Gleichung (15) ensprich den Opporuniäskosen für unerwaree Schäden vor Implemenierung der IT-Sicherheismaßnahme OCC 0, der zweie Term sell die Opporuniäskosen für unerwaree Schäden OCC nach Implemenierung der IT- Sicherheismaßnahme zu den Zeipunken =1 bis =T dar. II. Bewerung der Voreilhafigkei einer Invesiion zum Zeipunk =0 Im Folgenden wird die Voreilhafigkei der Durchführung einer (zusäzlichen) IT-Sicherheismaßnahme zum Zeipunk =0 bewere. Ergebnis 1: Anhand des Kapialwers NPV 0 kann die Voreilhafigkei einer IT-Sicherheismaßnahme beureil werden. Bei Vorliegen nur einer Alernaive gil folgende Empfehlung: (16) für NPV 0 >0 : die IT-Sicherheismaßnahme durchzuführen bzw. für NPV 0 0 : die IT-Sicherheismaßnahme nich durchführen. Bei Vorliegen mehrerer, sich ausschließender Alernaiven soll die Alernaive mi dem größen Kapialwer NPV 0 durchgeführ werden, sofern dieser größer null is. Ergebnis 1 sez voraus, dass die in den Annahmen vorgesellen Eingangsgrößen zur Besimmung des Kapialwers bekann und über den Zeiablauf konsan sind. Die Eingangsgrößen dürfen unerschiedlich leich besimmbar sein, wie sich in der prakischen Umsezung des Modells zeige. Während die Anfangsinvesiion I 0 und die zusäzlichen laufenden Auszahlungen für Berieb und Warung der IT-Sicherheismaßnahme C anhand der Projekkalkulaion meis einfach zu besimmen sein dürfen, sind die zukünfige Redukion der erwareen Schäden ΔE(L ) und die Redukion der Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden ΔOCC auf Basis von, häufig für Simulaionen unzureichenden, hisorischen Daen und Experenmeinungen zu schäzen. Gerade die Häufigkei und die Schwere von Schadensereignissen dürfen i. d. R. schwierig besimmbar sein. Mi der Analyse unerschiedlicher Szenarien können dennoch Aussagen über die Voreilhafigkei der IT- Sicherheismaßnahme bei Vorliegen bspw. unerschiedlicher erwareer Häufigkeien von 15
versuchen Angriffen pro Jahr E(N ), unerschiedlicher Sicherheislevel SL (und somi auch unerschiedlichen erwareen Häufigkeien erfolgreicher Angriffe pro Jahr E(Q )) sowie unerschiedlichen durchschnilich erwareen Schweren eines Schadensereignisses LGE jeweils geroffen werden (vgl. Beispiel 1). 35 Beispiel 1: Analyse unerschiedlicher Szenarien bei ungenau vorliegenden Eingangsgrößen Das Beispiel 1 illusrier, dass auch bei einer ungenau vorliegenden reduzieren Häufigkei von Schadensereignissen E(Q ) sowie einer ungenau vorliegenden durchschnilichen Schwere eines Schadensereignisses LGE Aussagen über die Voreilhafigkei einer IT- Sicherheismaßnahme geroffen werden können. Berache werde dazu die Enscheidung über die Einführung von Porsecuriy in zugangsgesicheren Räumen. Folgende Eingangsgrößen und Parameer sind endenziell in der Praxis leicher abzuschäzen und werden daher als bekann angenommen: Laufzei T=5 Jahre, Überragbarkeisquoe IL =0%, Anfangsinvesiion I 0 = 800.000, Auszahlungen für laufenden Berieb und Warung C =125.000, Opporuniäskosenzinssaz der Eigenkapialunerlegung i opp =8% sowie Kalkulaionszinssaz i calc =5%. Für die nachfolgende Analyse unerschiedlicher Szenarien werde vereinfachend der Sicherheislevel vor Einführung der Sicherheismaßnahme auf SL 0 =90% gesez und der Sicherheislevel nach Einführung der Sicherheismaßnahme auf SL = 99%, wobei auch der Sicherheislevel prinzipiell variier werden könne. Abbildung 3 zeig, dass die Enscheidungsempfehlung auf Basis des Kapialwers für die beracheen Eingangsgrößen unerschiedlich ausfäll. Abb. 3: Beispielhafe Analyse unerschiedlicher Szenarien Erwaree Häufigkei erfolgreicher Angriffe pro Jahr Erwaree Häufigkei versucher Angriffe pro Jahr Empfehlung: IT-Sicherheismaßnahme durchführen Empfehlung: IT-Sicherheismaßnahme nich durchführen 0,10 10,00 NPV 0 = -1.150.030 NPV 0 = 570.366 NPV 0 = 17.774.321 0,01 1,00 NPV 0 = -1.319.690 NPV 0 = -1.126.236 NPV 0 = 808.300 0,001 0,1 NPV 0 = -1.328.479 NPV 0 = -1.214.125 NPV 0 = -70.592 40.000 400.000 4.000.000 Durchschniliche Schwere eines Schadensereignisses Die in Beispiel 1 aufgeführen Szenarien können als Ausgangspunk für weiergehende Analysen dienen. So können einzelne Szenarien zusäzlich mi bekannen Wahrscheinlichkeien beleg werden, um darauf eine Gesamenscheidung zu süzen. Wir können Ergebnis 2 feshalen: 16
Ergebnis 2: Auch wenn die zugrunde liegenden Eingangsgrößen nur ungenau vorliegen, so können mi der Analyse unerschiedlicher Szenarien dennoch Aussagen über die Voreilhafigkei von IT-Sicherheismaßnahmen geroffen werden. Zugleich is in der Praxis ofmals zu beobachen, dass Enscheider zwar unerschiedliche Szenarien analysieren, jedoch dann ihre Enscheidung auf Basis des Ergebnisses eines Szenarios reffen. Die zur Berechnung des Kapialwers NPV 0 nowendigen Eingangsgrößen können zusäzlich auch für weiere Kennzahlen als alernaive Enscheidungsgrundlage verwende werden. So is es möglich mi Hilfe der Eingangsgrößen auch saische Kennzahlen, wie bspw. den Reurn on Invesmen (ROI) oder die Amorisaionsdauer sowie den Inernen Zinssaz (IRR) - als weiere dynamische Bewerungsmehode neben der Kapialwermehode - zu berechnen. Lezere besiz eine große Verbreiung in der Praxis, insbesondere in der IT-Projekbewerung. 36 Im vorgesellen Modell wurde die Anfangsinvesiion bislang nur zum Zeipunk =0 berache. In der Realiä is aber beobachbar, dass Anfangsinvesiion für IT-Sicherheismaßnahmen im Zeiablauf sinken können, zugleich aber die bereis zum Zeipunk =0 bekannen erwareen und unerwareen Schäden seigen. Im folgenden Abschni III werden daher ensprechende zusäzliche Annahmen geroffen, um die Voreilhafigkei einer IT- Sicherheismaßnahme zu unerschiedlichen Zeipunken zu unersuchen und so den opimalen Invesiionszeipunk zu ermieln. III. Bewerung der Voreilhafigkei einer Invesiion zu unerschiedlichen Zeipunken und Ermilung des opimalen Invesiionszeipunks Im Folgenden soll der Enscheidungsraum erweier werden und die Möglichkei besehen, nich nur zum Zeipunk =0, sondern jeweils zu jedem Zeipunk zwischen =0 und =T (d.h. für alle N 0 und 0 <T) einmalig zu invesieren (bzw. nich zu invesieren). Die Invesiionsenscheidung wird dabei weierhin bezogen auf den Zeipunk =0 berache. Mi dieser Erweierung des Enscheidungsraums soll folgenden in der Realwel zu beobachenden Enwicklungen Rechnung geragen werden: 17
IT-Sicherheismaßnahmen unerliegen ofmals einem koninuierlichen Preisrückgang. Die im Folgenden formuliere Annahme A5 beruh auf dem Vorliegen von Skaleneffeken. Es wird davon ausgegangen, dass die Höhe der Anfangsinvesiion für eine IT- Sicherheismaßnahme bei Implemenierung zu einem späeren Zeipunk sink. Des Weieren wird angenommen, dass auch zu späeren Zeipunken die zum Zeipunk =0 verfügbare IT-Sicherheismaßnahme ebenso verfügbar is, jedoch auf Grund des echnologischen Forschris nur innerhalb des Zeihorizons T (bis zur Ablösung durch eine neue Technologie) eingesez werden kann. Zugleich seig, wie oben dargesell, die Anzahl der Angriffe auf die IT von Unernehmungen. Daher wird eine periodig wachsende Häufigkei erwareer versucher Angriffe E(N ) im Folgenden abgebilde. Das Modell wird dazu um die Annahmen A5 und A6 erweier, die eine dynamische Berachung von einer im Zeiablauf sinkenden Anfangsinvesiion I und - aufgrund der Seigerung der erwareen versuchen Angriffe E(N ) - zugleich seigenden Auszahlungen durch erwaree Schäden E(L ) sowie durch Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden OCC ermöglichen. Die Unernehmung sieh sich einem Trade-off gegenüber, welcher durch die Wahl des opimalen Invesiionszeipunks y* zwischen den Zeipunken =0 bis =T-1 gelös werden soll. Im Einzelnen wird zur dynamischen Berachung einer im Zeiablauf sinkenden Anfangsinvesiion Annahme A2 durch Annahme A5 erweier. A5 (Degressionsfakor der Anfangsinvesiion): Die Anfangsinvesiion I 0 kann nun zu jedem Zeipunk innerhalb eines Gesamberachungshorizons zwischen =0 und =T-1 geleise werden. Die Anfangsinvesiion wird foran mi I beschrieben. Im Zeiablauf wird von einer Degression der Höhe der Anfangsinvesiion I zum Zeipunk mi einem bekannen Fakor (1-d). (mi 0 d<1) ausgegangen und es gil: I = I 0 (1-d). 37 Zur dynamischen Berachung im Zeiablauf seigender Auszahlungen durch erwaree Schäden E(L ) und durch Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden OCC werden die Annahmen A3 und A4 durch Annahme A6 erweier. 18
A6 (Wachsumsfakor der erwareen Häufigkei versucher Angriffe): Die erwaree Häufigkei versucher Angriffe E(N 0 ) zum Zeipunk =0 wird zum Zeipunk mi dem bekannen Fakor (1+g) (mi g 0) muliplizier und es gil: E(N )= (1 + g). E(N 0 ) 38. Aufgrund von Annahme (A6) beragen die erwareen Schäden E(L ) für den Zeipunk : (17) E(L ) = (1 SL ). E(N ). (1 IL ). AV = (1 SL ). E(N 0 ). (1 + g). (1 IL ). AV. Nach Implemenierung zum Zeipunk y ermiel sich die Redukion der in den kommenden Zeipunken >y nachschüssig anfallenden Auszahlungen durch erwaree Schäden ΔE(L ) (mi >y) wie folg: (18) ΔE(L ) = Δ SL. (1 + g). E(N 0 ). (1 IL ). AV (mi y<<t). Die Redukion der Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden ΔOCC beräg nach der Implemenierung für >y: 39 (19) ΔOCC = (i. γ. opp 0 E(L 0 )) (i. γ. opp E(L )) (mi y< T). Als Zielfunkion ZF dien der Kapialwer NPV 0 (y), der nach dem Invesiionszeipunk y (mi y N 0 und 0 y<t) zu maximieren is: (20) ZF : = max NPV0 (y). y Für den Kapialwer der IT-Sicherheismaßnahme NPV 0 (y) in Abhängigkei zum Invesiionszeipunk y gil (21), wie in Abbildung 4 dargesell: Abb. 4: Berechnung des Kapialwers NPV 0 in Abhängigkei zum Invesiionszeipunk y NPV (y) = 0 I (E(L ) + OCC ) i ) y = 1 (1 + calc ( ΔE(L II + T = y+ 1 (1 + calc ) + ΔOCC ) i ) (21) 0 1 y y+1 T I 0 (1 d) y (1 + i ) IV calc y C T = y+ 1(1 + icalc III ) 19
Wie aus Abbildung 4 ersichlich wird, sink die Anfangsinvesiion ceeris paribus je späer der Invesiionszeipunk y is, zugleich seigen jedoch die erwareen und unerwareen Schäden (und somi die Opporuniäskosen einer Eigenkapialunerlegung unerwareer Schäden). Dies bedeue auch, dass nach Implemenierung der IT-Sicherheismaßnahme ΔE(L ) und ΔOCC mi höher werden, allerdings aufgrund der Begrenzung des Berachungshorizons T der Kapialwer aller ΔE(L ) und ΔOCC geringer ausfäll. Ergebnis 3: Anhand des in (21) angegebenen Kapialwers einer IT-Sicherheismaßnahme NPV 0 (y) kann die Voreilhafigkei einer IT-Sicherheismaßnahme zu unerschiedlichen Invesiionszeipunken y (mi y N 0 und 0 y<t) analysier werden. Die Zielfunkion (21) beschreib diskree Invesiionszeipunke y. 40 NPV 0 (y*) bezeichne den höchsen Kapialwer bei Berachung aller y. Es gil folgende Empfehlung: (22) Für NPV 0 (y*)>0: Invesiion zum Zeipunk y*, Für NPV 0 (y*) 0: Keine Invesiion. Die Voreilhafigkei einer IT-Sicherheismaßnahme kann sich im Zeiablauf ändern. So können Invesiionen, die in =0 nich voreilhaf sind, ggf. zu einem späeren Zeipunk voreilhaf sein. Bereis zum Zeipunk =0 voreilhafe Maßnahmen können ggf. zu einem späeren Zeipunk mi einem noch höheren NPV 0 durchgeführ werden. Anhang 2 41 illusrier diese Ergebnisse an einem Beispiel und zeig insbesondere die Auswirkungen unerschiedlicher Annahmen bezüglich des Wachsumsfakors g. Im anschließenden Abschni IV werden zusäzlich Risiko- bzw. Budgelimie berücksichig. IV. Zusäzliche Berücksichigung von Risiko- bzw. Budgelimien Sollen zusäzlich Risiko- bzw. Budgelimie auf den opimalen Invesiionszeipunk berache werden, so muss die Zielfunkion (21) uner Berücksichigung der folgenden Nebenbedingungen maximier werden: Risikolimi: Begrenzes Eigenkapial CC Limi zur Deckung unerwareer Schäden als Nebenbedingung NB1: (23) NB1: CC CC 0 Limi mi CC Limi = vorgegebenes Limi einer Eigenkapialunerlegung für unerwaree Schäden. 20
Das Risikolimi CC Limi drück die Knapphei des Eigenkapials aus, das nur begrenz für eine Unerlegung von unerwareen Schäden zur Verfügung seh. Budgelimi: Begrenzes Budge I Limi für Anfangsinvesiion als Nebenbedingung NB2: y (24) NB2: I [ I (1 d) ] 0 Limi 0 mi I Limi = vorgegebenes Budgelimi für die Anfangsinvesiion. Die beiden Nebenbedingungen NB1 und NB2 wirken engegengesez, d. h. während die Anfangsinvesiion im Zeiablauf sink und somi der Erfüllung der Nebenbedingung näher rück, seigen die erwareen und unerwareen Schäden an und nähern sich dem Risikolimi an. Sind die Nebenbedingungen NB1 und NB2 gleichzeiig verlez, lieg ein Dilemma vor. Es kann auf Grund des Budgelimis nach NB2 nich invesier werden, obwohl das Risikolimi nach NB1 bereis überschrien wurde. Als Ausweg bleib in dieser Siuaion, eines der beiden Limie zu erweiern. Ansonsen müsse das beroffene Sysem deakivier werden, um das Risikolimi einzuhalen, dies häe ggf. jedoch auch einen zusäzlichen Geschäfsverlus für die Unernehmung zur Folge, der bei einer solchen Enscheidung zusäzlich noch zu berücksichigen wäre. Muss aufgrund des Risikolimis zu einem Zeipunk y < y* invesier werden, so engeh dem Enscheider folgender Kapialwer: 42 (25) y* ( ) + ) E(L OCC NPV = 0 = y' + 1 (1 + icalc) y* C + = y' + 1 (1 + icalc) y* I (1 d) y' (1 d) y* ( Δ ) + Δ ) 0. E(L OCC + = y' + 1 (1 + (1 + y* icalc ) icalc ) Dem Nacheil einer nich weier sinkenden Anfangsinvesiion seh bei Invesiion zum Zeipunk y <y* der Voreil gegenüber, die erwareen und unerwareen Schäden ab einem früheren Zeipunk zu reduzieren. Ergebnis 4: Bei Vorliegen von Risiko- bzw. Budgelimien als Nebenbedingungen NB1 bzw. NB2 kann der opimale Invesiionszeipunk nur realisier werden, wenn durch diesen keine der beiden Nebenbedingungen verlez wird. So muss bei Erreichen des Risikolimis nach NB1 die Invesiion in die IT-Sicherheismaßnahme zu einem subopimalen früheren Zeipunk erfolgen, während ein Budgelimi nach NB2 zu einem subopimalen späeren Zei- 21
punk führen kann. Ein Risikolimi als Nebenbedingung kann dazu führen, dass auch nich voreilhafe Invesiionen mi einem Kapialwer NPV 0 (y )<0 durchgeführ werden müssen. 43 Im Anhang 3 44 werden die Ausführungen zu Risikolimien an einem Beispiel verdeulich. Vor dem Hinergrund des Ergebnisses 4 erschein es nahe liegend, bei geringfügigem Abweichen der vom Managemen vorgegebenen Risiko- und Budgelimien diese aus Perspekive der Gesamunernehmung kriisch zu hinerfragen und ggf. anzupassen. Die Ergebnisse dieses Beirags werden im Folgenden zusammengefass und Limiaionen sowie weierführende Forschungsfragen des Modells diskuier. E. Fazi und Ausblick Das vorgeselle Modell wird von einem führenden, inernaionalen Finanzdiensleiser zur Enscheidungsunersüzung über die Durchführung von IT-Sicherheismaßnahmen eingesez und wurde im Rahmen eines gemeinsamen Projeks mi dem Lehrsuhl WI-IF und dem Kernkompeenzzenrum IT&Finanzdiensleisungen an der Universiä Augsburg sowie dem IIG - Abeilung Telemaik an der Universiä Freiburg von den Auoren enwickel. Mi dem Modell kann die Voreilhafigkei von IT-Sicherheismaßnahmen zu unerschiedlichen Zeipunken bewere werden. Die Voreilhafigkei wird dazu auf Basis der Kapialwermehode uner Berücksichigung der Redukion der erwareen Schäden ΔE(L ) und der Redukion der Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden ΔOCC einerseis sowie der Anfangsinvesiion I 0 und den laufenden Auszahlungen für Berieb und Warung C andererseis ermiel. Im Modell wird eine Reihe von Parameern als bekann vorausgesez bzw. is bei dessen Anwendung anhand hisorischer Daen oder Expereninerviews abzuschäzen. Erfahrungen des Finanzdiensleisers beim prakischen Einsaz belegen, dass insbesondere die Häufigkei und Schwere von - durch IT-Sicherheismaßnahmen zukünfig verhinderen - Schadensereignissen i. d. R. nur sehr ungenau angegeben werden können. Mi der Analyse unerschiedlicher Szenarien können roz ungenauer Eingabewere für die reduziere Häufigkei und Schwere von Schadensereignissen dennoch Aussagen über die Voreilhafigkei von IT-Sicherheismaßnahmen geroffen und dami Enscheidungen über deren Durchführung unersüz werden. Zudem sind ofmals wachsende erwaree und unerwaree Schäden sowie sinkende Anfangsinvesiionen für IT-Sicherheismaßnahmen zu beobachen. Daher is die Voreilhafigkei von 22
IT-Sicherheismaßnahmen im Zeiablauf zu beweren und der opimale Invesiionszeipunk zu besimmen. Dabei kann es je nach Eingangsgrößen voreilhaf sein, eine Invesiion zu verschieben, sofern der Kapialwer NPV 0 einer Invesiion in eine IT-Sicherheismaßnahme in der Zukunf höher is als zum Zeipunk =0. Zusäzlich wurden im Modell Risiko- bzw. Budgelimie als Nebenbedingungen berücksichig und deren Auswirkungen analysier. Die Berücksichigung von Risikolimien dürfe bei einer im Zeiablauf seigenden Anzahl von Angriffen zu einem früheren Invesiionszeipunk führen, während Budgelimie als Nebenbedingung die Realisierung von Maßnahmen verzögern und ggf. verhindern können. Das Modell besiz folgende Limiaionen, die zugleich weierführende Forschungsfragen aufwerfen: Die Überführung der erwareen Schäden in unerwaree Schäden anhand des Gamma- Fakors für die poissonvereile Häufigkei von Schadensereignissen is lediglich eine Approximaion. Die Höhe der unerwareen Schäden und dami der Eigenkapialunerlegung wird auf Grund der Annahme durchschnilicher Schwere von Schadensereignissen unerschäz. Die gleichzeiige Modellierung der Vereilung von Häufigkei und Schwere würde die Anwendung von Simulaionsverfahren erforderlich machen. Eine Anwendung von Simulaionsverfahren dürfe jedoch in der Regel aufgrund einer - für Simulaionsverfahren - nich ausreichenden Anzahl von hisorischen Daen zur Einzelprojekbewerung nich umsezbar sein. Durch die gewähle Vorgehensweise wird die Redukion der Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden unerschäz und somi auch die Voreilhafigkei des Projeks. Die Abbildung wechselseiiger Beziehungen zwischen unerschiedlichen IT- Sicherheismaßnahmen bzw. unerschiedlichen Vermögensweren wirf weiere Forschungsfragen auf. Die Modellierung komplexer sochasischer Abhängigkeien von Vermögensweren und Maßnahmenbündeln kann bspw. mi Hilfe von Copula- Funkionen erreich werden. Budgelimie für Berieb und Warung wurden im Modell vernachlässig. Eine Berachung derariger Limie kann weiere Auswirkungen auf den Lösungsraum und somi die mögliche Implemenierbarkei von IT-Sicherheismaßnahmen besizen. Für die Seuerung von IT-Sicherheisrisiken is eine inegriere Berachung der Einzahlungen durch Redukion der erwareen Schäden zzgl. der Redukion der Opporuniäskosen einer Eigenkapialunerlegung für unerwaree Schäden einerseis und der Auszahlungen für Anfangsinvesiion und laufenden Berieb und Warung aufgrund der IT-Sicherheismaßnahme andererseis nowendig. Weierhin wird durch eine dynamische Berachung des opimalen 23
Invesiionszeipunks auf Basis von wachsenden erwareen und unerwareen Schäden einerseis und einer sinkenden Anfangsinvesiion andererseis den akuellen Enwicklungen in der Praxis Rechnung geragen. Auf Grundlage des Modells kann eine Enscheidungsunersüzung über die Voreilhafigkei von IT-Sicherheismaßnahmen zu unerschiedlichen Zeipunken erfolgen und der opimale Invesiionszeipunk besimm werden. Schließlich beseh weierer Forschungsbedarf in der empirischen Unersuchung und Überprüfung der Modellergebnisse. Weierhin kann das vorgeselle Modell auch in anderen Bereichen des Operaional Risk Managemens Anwendung finden, so bspw. bei der Bewerung von Maßnahmen zur Sichersellung des Geschäfsberiebs (Business Coninuiy Managemen). 45 Lieraur Alexander, C. (2003): Saisical models of operaional loss, in: Alexander, C. (Hrsg.): Operaional Risk Regulaion, Analysis and Managemen, Prenice Hall, London. Anders, U. (2001): Qualiaive Anforderungen an das Managemen operaiver Risiken, in: Die Bank, Nr. 5. Basel Commiee on Banking Supervision (2003): The 2002 Loss Daa Collecion Exercise for Operaional Risk: Summary of he Daa colleced, hp://www.bis.org/bcbs/qis/ldce2002.pdf. Abruf am: 2005-03-04. Basel Commiee on Banking Supervision (2001): Working Paper on he Regulaory Treamen of Operaional Risk, hp://www.bis.org/publ/bcbs_wp8.pdf. Abruf am: 2005-03-05. Beeck, H./Kaiser, T. (2000): Quanifizierung von Operaional Risk, in: Johannig, L./ Rudolph, B. (Hrsg.): Handbuch Risikomanagemen Band 2. Uhlenbruch Verlag, Bad Soden/Ts., S. 633-654. Brauers, J./Weber, M. (1986): Szenarioanalyse als Hilfsmiel der sraegischen Planung: Mehodenvergleich und Darsellung einer neuen Mehode, in: Zeischrif für Beriebswirschaf, 56. Jg, H. 7, S. 631-652. Brink, J. van den (2000): Operaional Risk: Wie Banken das Beriebsrisiko beherrschen. Disseraion, S. Gallen. Buhr, R. (2000): Messung von Beriebsrisiken ein mehodischer Ansaz, in: Die Bank, Nr. 3, S. 202-206. Bundesam für Sicherhei in der Informaionsechnik (BSI) (2006): IT-Grundschuzhandbuch, hp://www.bsi.de/gshb/deusch/index.hm, Abruf am 2006-03-03. CERT (2005): CERT/CC Saisics 1988-2005, hp://www.cer.org/sas/#vulnerabiliies, Abruf am 2005-11-30. 24
Chavez-Demoulin, V./Embrechs, P./Neslehová, J. (2005): Quaniaive Models for Operaional Risk: Exremes, Dependence and Aggregaion, hp://www.mah.ehz.ch/%7ebales/fp/manuscrip_cen.pdf. Abruf am: 2005-03-03. Cruz, M.G. (2002): Modeling, Measuring and Hedging Operaional Risk. John Wiley & Sons. Ebnöher, S./Vanini, P./ McNeil, A./Anolinez-Fehr, P. (2001): Modelling Operaional Risk, hp://www.mah.ehz.ch/~mcneil/fp/operaional.pdf. Abruf am: 2005-03-03. Ecker, C. (2004): IT-Sicherhei: Konzepe, Verfahren, Konrolle. Oldenbourg Verlag, München. Eller, R./Gruber, W./Reif, M. (2002): Handbuch Operaionelle Risiken. Schäffer-Poeschel Verlag, Sugar. Faiss, U. (2004): Ein Modell zur Seuerung operaioneller Risiken in IT-unersüzen Bankprozessen, in: Banking and Informaion Technologie (BIT) Sonderhef zur Mulikonferenz Wirschafsinformaik 2004 in Essen, 1, S. 35-50. Faiss, U./Kovacs, M. (2003): Quanifizierung operaioneller Risiken ein Mehodenvergleich, in: Die Bank, Nr. 5, S. 342-349. Faiss, U./Prokein, O. (2005): An Opimizaion Model for he Managemen of Securiy Risks in Banking Companies, in: Müller, G., Lin, K.-J. (Hrsg.): Proceedings of he 7h IEEE Iner naional Conference on E-Commmerce Technology (CEC) 2005, München, Juli 2005, IEEE Compuer Sociey Press, Los Alamios, CA, 2005, S.266-273. Fonnouvelle, P. de/dejesus-rueff, V./Jordan, J./Rosengren, E. de (2003): Using Loss Daa o Quanify Operaional Risk, hp://www.bis.org/bcbs/evens/wkshop0303/p04deforose.pdf. Abruf am: 2006-03-03. Fonnouvelle, P./Rosengren, E. de (2004): Implicaions of Alernaive Operaional Risk Modeling Techniques, hp://www.nber.org/books/risk/defonnouvelle-jordan3-22-5.pdf. Abruf am: 2005-03-03. Franke, G./Hax, H. (2003): Finanzwirschaf des Unernehmens und Kapialmark, 5. Auflage, Springer Verlag, Berlin e al. Füser, K./Rödel, K./Kang, D. (2002): Idenifizierung und Quanifizierung von Operaional Risk, in: FinanzBerieb, Nr. 9, S. 495-502. Gordon, L./Loeb, M. (2006): Budgeing Process for Informaion Securiy Expendiures, in: Communicaions of he ACM, Vol. 49, No. 1, S. 121-125. Gordon, L./Loeb, M. (2002): The Economics of Informaion Securiy Invesmen, in: ACM Transacions on Informaion Sysems and Securiy, Vol. 5, No. 4, S. 438-457. Gordon, L./Loeb, M./Lucyshyn, W./Richardson, R. (2005): 2005 CSI/FBI Compuer Crime and Securiy Survey, hp://i.cmpne.com/gocsi/db_area/pdfs/fbi/fbi2005.pdf, Abruf am 2005-10-24. Grzebiela, T. (2002): Inerne-Risiken: Versicherbarkei und Alernaiver Risikoransfer. Deuscher Universiäsverlag, Wiesbaden. 25