Skip to main content
SpringerLink
Log in

Kosten/Nutzen-Relationen der Risiko-Behandlung

  • Chapter
  • First Online:
IT-Risikomanagement mit System

Part of the book series: Edition <kes> ((EDKES))

  • 12k Accesses

Überblick

In diesem Buch soll das Risikomanagement vor allem aus den Perspektiven der Governance und der Compliance auf die Vorgehensweisen rund um die Risiken der Informationstechnologien und Informationen heruntergebrochen werden. Wie in Abschn. 5.5.1 ausgeführt, erwarten die Anspruchsgruppen von der Governance eines Unternehmens, dass das Unternehmen Nutzen generiert unter gleichzeitiger Optimierung der Risiken und der Optimierung der dafür notwendigen Ressourcen. Das heute praktizierte Risikomanagement der Informationssicherheit zielt vor allem auf die Verhinderung von Risiko-Ereignissen und der Verminderung grosser Schäden ab. Inwieweit daraus ein Nutzen für das Unternehmen generiert wird ist mit den gebräuchlichen Methoden schwer zu beantworten. Jedoch sind die Fragen der Nutzengenerierung bei der Finanzierung der meist aufwendigen und kostenintensiven Sicherheitsmassnahmen notwendig. In diesem Kapitel werden daher einige der heute angewandten Lösungsansätze zur möglichen Optimierung von Informationssicherheits-Risiken unter gleichzeitiger Optimierung der Ressourcen diskutiert. Das heute oft angewandte Verfahren einer „Return on Security Investments“-Berechnung (ROSI) ist in einigen Aspekten fragwürdig, wie aus den Ausführungen dieses Kapitels hervorgeht. Die Nutzenbestimmung auf die Erfüllung der an das Unternehmen gestellten Anforderungen und Bewertung der Erfüllung von Unternehmenszielen zurückzuführen, ist ein alternativer und erfolgversprechender Ansatz. Selbstverständlich gilt es auch bei einem solchen Ansatz den Risiken weiterhin angemessene Massnahmen entgegenzusetzen und die Kosten der Massnahmen mit geeigneten Verfahren, wie sie in diesem Kapitel vorgeschlagen werden, zu kontrollieren.

This is a preview of subscription content, log in via an institution to check access.

Access this chapter

Log in via an institution
Chapter
USD 29.95
Price excludes VAT (USA)
  • Available as PDF
  • Read on any device
  • Instant download
  • Own it forever
eBook
USD 69.99
Price excludes VAT (USA)
  • Available as EPUB and PDF
  • Read on any device
  • Instant download
  • Own it forever

Tax calculation will be finalised at checkout

Purchases are for personal use only

Institutional subscriptions

Notes

  1. 1.

    In der anglo-amerikanischen Literatur ist dieser jährlich zu erwartende Verlust unter der Bezeichnung „Annual Loss Exposure “ oder kurz ALE zu finden (vgl. [Sonn06]).

  2. 2.

    Vorsicht: Analogien zur Finanzkennzahl ROI sind nicht ohne weiteres zulässig, da die Finanzkennzahl ROI eine Ertrags-Kennzahl darstellt, hingegen in eine ROSI-Berechnung keine Erträge eingehen.

  3. 3.

    Die Vollkostenrechnung berücksichtigt entgegen der Teilkostenrechnung auch die Kosten (Gemeinkosten), die nicht einem Kostenträger direkt zugerechnet werden können.

  4. 4.

    Die „Total Cost of Ownership“ enthalten, zusätzlich zur „Vollkostenrechnung“, die alles umfassenden Gesamtkosten einer Investition über die gesamte Lebensdauer, einschliesslich der zum Teil versteckten indirekten Kosten und der Folgekosten wie beispielsweise für die Entsorgung.

  5. 5.

    Interessant ist die in [Dübe04] anhand des Modells vorgenommene Schadenseinschätzung, die für den Fall einer „massiven“ DDOS-Attacke auf das Internet Schweiz (Totalausfall 1 Woche) einen wirtschaftlicher Schaden von CHF 6 Mia. ausweist.

Literatur

  1. Dübendorfer, Thomas, Arno Wagner und Bernhard Plattner: „An Economic Damage Model for Large-Scale Internet Attacks“, in Proceedings of 13th IEEE International Workshops on Enabling Technologies (WET ICE 2004); Enterprise Security (ES), IEEE, 2004.

    Google Scholar 

  2. Dübendorfer, Thomas: Impact Analysis, Early Detection and Mitigation of Large-Scale Internet Attacks. Dissertation Swiss Federal Institut of Technology Zürich, Zürich: ETH, 2005.

    Google Scholar 

  3. ISACA: IS Auditing Guideline Return on Security Investment Exposure Draft. Rolling Meadows: Information Systems Audit and Control Association, 2006.

    Google Scholar 

  4. Sonnenreich, Wes, Jason Albanese and Brouce Stout: „Return On Security Investment (ROSI) – A Practical Quantitative Model.“ Journal of Research and Practice in Information Technology, Vol. 38, February 2006, 55–66.

    Google Scholar 

Download references

Author information

Authors and Affiliations

  1. Olsberg, Schweiz

    Hans-Peter Königs

Authors
  1. Hans-Peter Königs
    View author publications

    You can also search for this author in PubMed Google Scholar

Rights and permissions

Reprints and permissions

Copyright information

© 2017 Springer Fachmedien Wiesbaden GmbH

About this chapter

Cite this chapter

Königs, HP. (2017). Kosten/Nutzen-Relationen der Risiko-Behandlung. In: IT-Risikomanagement mit System. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-12004-7_11

Download citation

Publish with us

Policies and ethics

Search

Navigation