Überblick
In diesem Buch soll das Risikomanagement vor allem aus den Perspektiven der Governance und der Compliance auf die Vorgehensweisen rund um die Risiken der Informationstechnologien und Informationen heruntergebrochen werden. Wie in Abschn. 5.5.1 ausgeführt, erwarten die Anspruchsgruppen von der Governance eines Unternehmens, dass das Unternehmen Nutzen generiert unter gleichzeitiger Optimierung der Risiken und der Optimierung der dafür notwendigen Ressourcen. Das heute praktizierte Risikomanagement der Informationssicherheit zielt vor allem auf die Verhinderung von Risiko-Ereignissen und der Verminderung grosser Schäden ab. Inwieweit daraus ein Nutzen für das Unternehmen generiert wird ist mit den gebräuchlichen Methoden schwer zu beantworten. Jedoch sind die Fragen der Nutzengenerierung bei der Finanzierung der meist aufwendigen und kostenintensiven Sicherheitsmassnahmen notwendig. In diesem Kapitel werden daher einige der heute angewandten Lösungsansätze zur möglichen Optimierung von Informationssicherheits-Risiken unter gleichzeitiger Optimierung der Ressourcen diskutiert. Das heute oft angewandte Verfahren einer „Return on Security Investments“-Berechnung (ROSI) ist in einigen Aspekten fragwürdig, wie aus den Ausführungen dieses Kapitels hervorgeht. Die Nutzenbestimmung auf die Erfüllung der an das Unternehmen gestellten Anforderungen und Bewertung der Erfüllung von Unternehmenszielen zurückzuführen, ist ein alternativer und erfolgversprechender Ansatz. Selbstverständlich gilt es auch bei einem solchen Ansatz den Risiken weiterhin angemessene Massnahmen entgegenzusetzen und die Kosten der Massnahmen mit geeigneten Verfahren, wie sie in diesem Kapitel vorgeschlagen werden, zu kontrollieren.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
In der anglo-amerikanischen Literatur ist dieser jährlich zu erwartende Verlust unter der Bezeichnung „Annual Loss Exposure “ oder kurz ALE zu finden (vgl. [Sonn06]).
- 2.
Vorsicht: Analogien zur Finanzkennzahl ROI sind nicht ohne weiteres zulässig, da die Finanzkennzahl ROI eine Ertrags-Kennzahl darstellt, hingegen in eine ROSI-Berechnung keine Erträge eingehen.
- 3.
Die Vollkostenrechnung berücksichtigt entgegen der Teilkostenrechnung auch die Kosten (Gemeinkosten), die nicht einem Kostenträger direkt zugerechnet werden können.
- 4.
Die „Total Cost of Ownership“ enthalten, zusätzlich zur „Vollkostenrechnung“, die alles umfassenden Gesamtkosten einer Investition über die gesamte Lebensdauer, einschliesslich der zum Teil versteckten indirekten Kosten und der Folgekosten wie beispielsweise für die Entsorgung.
- 5.
Interessant ist die in [Dübe04] anhand des Modells vorgenommene Schadenseinschätzung, die für den Fall einer „massiven“ DDOS-Attacke auf das Internet Schweiz (Totalausfall 1 Woche) einen wirtschaftlicher Schaden von CHF 6 Mia. ausweist.
Literatur
Dübendorfer, Thomas, Arno Wagner und Bernhard Plattner: „An Economic Damage Model for Large-Scale Internet Attacks“, in Proceedings of 13th IEEE International Workshops on Enabling Technologies (WET ICE 2004); Enterprise Security (ES), IEEE, 2004.
Dübendorfer, Thomas: Impact Analysis, Early Detection and Mitigation of Large-Scale Internet Attacks. Dissertation Swiss Federal Institut of Technology Zürich, Zürich: ETH, 2005.
ISACA: IS Auditing Guideline Return on Security Investment Exposure Draft. Rolling Meadows: Information Systems Audit and Control Association, 2006.
Sonnenreich, Wes, Jason Albanese and Brouce Stout: „Return On Security Investment (ROSI) – A Practical Quantitative Model.“ Journal of Research and Practice in Information Technology, Vol. 38, February 2006, 55–66.
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 2017 Springer Fachmedien Wiesbaden GmbH
About this chapter
Cite this chapter
Königs, HP. (2017). Kosten/Nutzen-Relationen der Risiko-Behandlung. In: IT-Risikomanagement mit System. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-12004-7_11
Download citation
DOI: https://doi.org/10.1007/978-3-658-12004-7_11
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-12003-0
Online ISBN: 978-3-658-12004-7
eBook Packages: Computer Science and Engineering (German Language)