PresseBox
Pressemitteilung BoxID: 235631 (CAST e.V.)
  • CAST e.V.
  • Rheinstrasse 75
  • 64295 Darmstadt
  • http://www.cast-forum.de
  • Ansprechpartner
  • Christoph Busch
  • +49 (6151) 155-536

WORKSHOP: ENTERPRISE SECURITY am 19.02.09

Hauptthema: (ROSI) Rendite der Informationssicherheit

(PresseBox) (Darmstadt, ) Im Jahre 1979 hat das NIST (USA) in der bekannten FIPS 65 Publikation erste Ideen zur Diskussion der IT-Risiken und deren finanziellen Auswirkungen veröffentlicht. Diese Ideen wurden in den darauf folgenden Jahren in der Industrie und Wissenschaft vielfach umgesetzt, verfeinert und weiterentwickelt. Dabei wurde von Beginn an die Kostenbetrachtung der IT-Sicherheit bzw. Informationssicherheit höchst kontrovers diskutiert. Viele Beiträge in der Literatur verweisen in einer Return on Security Investment (ROSI) Betrachtung auf die Kalkulation des Aufwands zur Absicherung, also die Verteidigungsmassnahmen. Es wird ein möglicher Ertragsverlust der Organisation dem Schutz für die Assets der IT gegenüber gestellt. Im Ergebnis wird dann eine Abschätzung zwischen den Kosten einer erfolgreichen Attacke und den Absicherungskosten vorgenommen. Viele Unternehmen orientieren sich heute nach diesem Ansatz.

Andere Überlegungen in der Literatur beschäftigen sich mit dem Ertragsverlust, der als Produktivitätsverlust, z.B. Nicht-Verfügbarkeit eines Fileservers, beziffert wird und eine bestimmte Anzahl von Mitarbeitern nicht tätig sein können. Weiterhin werden Meinungen in der Literatur vertreten, die Ausführen, dass noch kein geeignetes Zahlenmaterial für ein Leistungsvergleich (Benchmark) für derartige Abschätzungen vorliegt. Die Betrachtung des Ertragsverlust zielt auf die Erhöhung der Betriebskosten und auf den Einfluss der Geschäftsprozesse ab und markiert einen weiteren Punkt in der ROSI Diskussion. Teilweise wird in der Literatur auch die Meinungen vertreten, dass eine Kostenbetrachtung nach ROSI überhaupt nicht erfolgversprechend sein kann.

Waren die Anfänge der ROSI Forschungsaktivitäten mehr auf technische Aspekte und deren Schadenauswirkungen konzentriert, so sind diese in den letzten Jahren mehr und mehr durch ökonomische Fragestellungen erweitert worden. Gorden und Loeb argumentieren z.B., dass bei allen bisherigen Ansätzen die Diskontinuierung des eingesetzten Kapitals völlig außer Acht gelassen wurde. Sie empfehlen einen erweiterten ROSI-Ansatz, indem der interne Zinsfuß oder die Kapitalwertemethode einzubeziehen sei. Ein Verhältnis zwischen Umsatz, Einsparungen und Risikovarianz bezogen auf die Investitionen wird z.B. von Purser favorisiert.

Unternehmen, die sich nach modernen Managementsystemen zur Informationssicherheit ausrichten, wie z.B. der ISO/IEC 27001:2005(Original), verfolgen das vordergründige Ziel ihre Wertschöpfungskette absichern zu wollen. Entsprechend wird mit den Investitionen i.d.R. nur das eine Ziel verfolgt: Umsätze zu sichern indem ein adäquater Risikoumgang praktiziert wird. Jedoch muss sich die Investition des Risikoumgangs in einer adäquaten Absicherung der Wertschöpfungskette widerspiegeln, da sonst die Investitionen verfehlt sind und für das betreffende Unternehmen keinen Nutzen bringen. Mit anderen Worten, ein Sicherheitsmanagement ist ein Risikomanagement nach ISO 27001 und ein Risikomanagement entspricht einem Kostenmanagement. Somit sind Risiken unmittelbar mit Kosten verknüpft und erfordern eine detaillierte Betrachtung. Hierzu äußerte sich Bruce Schneier in seinem Essay am 15.09.2008:

"ROI" as used in a security context is inaccurate. Security is not an investment that provides a return, like a new factory or a financial instrument. It's an expense that, hopefully, pays for itself in cost savings. Security is about loss prevention, not about earnings. The term just doesn't make sense in this context.

Welche Entwicklungen sich in der Theorie und Praxis als zweckmäßig erwiesen haben werden von dem CAST Workshop "Enterprise Security" aus unterschiedlichen Blickwinkeln beleuchtet. Es werden Best-Practice Verfahren diskutiert, unterschiedliche industrielle Ansätze verfolgt als auch neueste akademische Untersuchungen zur Diskussion gestellt.

Termin 19. Februar 2009
Dauer: 10:00 - 17:00
Ort: Fraunhofer Institut für Graphische Datenverarbeitung in Darmstadt, Fraunhoferstr. 5
Moderation: Wolfgang Böhmer (TU Darmstadt)

Hier die Themen und die Referenten:

- "Wirtschaftlichkeit von IT-Security-Maßnahmen aus Sicht des IT-Controllers" (Andreas Gadatsch, FH Bonn-Rhein-Sieg)
- "Wirtschaftlichkeitsüberlegungen zu Investitionen in Information unter quantitativen und qualitativen Gesichtspunkten" (Rainer Kalwait, FH Coburg / Steinbeis-Hochschule Berlin)
- "Der Wert der IT oder VAL IT" (Markus Gaulke, KPMG Frankfurt)
- "Wege aus der ROSI-Sackgasse mittels Kennzahlensystem eines ISMS auf Basis von ISO 27001" (Wolfgang Böhmer, TU Darmstadt)
- "Der Nutzen von Investitionen in Informationssicherheitsprojekte" (Rainer Rumpel, FHW Berlin)
- "Praktische Prüfung der Umsetzung und Steuerung der Informationssicherheit am Beispiel von CoREx" (Klaus Schmidt, Innomenta GmbH Fulda)
- "ROI und KPI in der operativen Praxis" (Alexander Tsolkas, CISM)

Das detaillierte Programm des Workshops und die notwendigen Informationen zur Anmeldung finden Sie unter: http://www.cast-forum.de/...

Bei einer Anmeldung bis zum 9. Februar gilt ein reduzierter Preissatz. Um den Workshop optimal vorbereiten zu können bitten wir Sie, von dieser Möglichkeit Gebrauch zu machen.