Rechnen mit RoSI

IT-Sicherheit braucht jeder. Aber was ist sie wirtschaftlich wert? Und was darf sie kosten? Für erfolgreiche IT-Security-Strategien suchen Unternehmen eine Methode, um gegenwärtige oder zusätzliche Budgets zu bewerten. Wie die Kennzahl „Return on Security Invest (RoSI)“ dabei helfen kann.

Jedes Unternehmen ist mit IT-Sicherheitsrisiken konfrontiert: Phishingversuche, Hackerangriffe auf die Lieferkette oder Ransomware. Und jede dieser Attacken kann das Geschäft massiv schädigen. Deshalb sind gewisse Sicherheitsausgaben erforderlich, um IT-Risiken zu kontrollieren und Angriffe zu stoppen. Dennoch fällt die Entscheidung schwer, in welche Bereiche das Geld fließen soll. In die Abwehr? In Mitarbeiterschulungen? Oder aber in das Incident Management? „IT-Sicherheitsmaßnahmen verursachen Kosten, doch ihr Nutzen ist oft schwer sichtbar, weil verhinderte Schäden nicht als Gewinn verbucht werden können“, sagt Yvonne Berger, IT-Security-Solution-Spezialistin bei der AQ Secure GmbH. „Daher müssen IT-Security-Experten den Wert von IT-Sicherheit anders quantifizieren, um ihn geschäftlich greifbar zu machen.“ Ferner sollten Verantwortliche in der IT-Sicherheit nachweisen können, dass sich frühere Ausgaben gelohnt haben.

Das ist mit klassischen Kennzahlen, wie etwa dem Return on Investment (ROI), nicht darstellbar. Er misst den direkten finanziellen Nutzen einer Investition, indem der Ertrag mit den dazugehörigen Kosten verglichen wird. Für die IT-Sicherheit hat sich eine andere Kennzahl etabliert: der Return on Security Investment (RoSI). „Er ermöglicht eine wirtschaftliche Bewertung von Security-Maßnahmen und hilft bei der Priorisierung von Investitionen“, sagt Ralf Kleinfeld, Information Security Officer (ISO) bei der Otto GmbH & Co. KGaA. „Andererseits liefert die RoSI-Kennzahl am Ende eines Jahres lediglich eine Bewertung, welche ­finanziellen Schäden Security-Maßnahmen verhindert hätten, sofern sie eingetreten wären – und nicht, welche Maßnahmen welchen ‚Return‘ geliefert haben.“

Somit könnte eine Retrospektive auch kontraproduktiv wirken, wenn die Erkenntnis, dass im Ideal­fall kein Schaden eingetreten ist, zu ablehnenden Entscheidungen von Security-Maßnahmen führt. „Daher ist es wichtig, dass ein regelmäßiger Dialog mit der Geschäftsführung besteht, um die Erkenntnisse über potenzielle Angriffe und verhinderte Schadensfälle zu teilen“, sagt Kleinfeld. „Denn das Eintreten des Schadens ist im besten Fall gerade durch die Security-Maßnahmen verhindert worden.“
 

Vorbereitende Maßnahmen für ein RoSI-Projekt

Für den Projektstart sind die Risiken zu bewerten, denen ein Unternehmen ausgesetzt ist, einschließlich potenzieller Bedrohungen und Schwachstellen. Dazu gehört, die Wahrscheinlichkeit von Sicherheitsvorfällen und deren potenziellen Auswirkungen (finanzieller Verlust, Reputationsschaden usw.) zu bewerten. Im Anschluss daran müssen Unternehmen alle sicherheitsrelevanten Investitionen in Bezug auf die herausgestellten ­Risiken identifizieren, etwa IT-Security-Maßnahmen, Schulungen, Personal und andere Ressourcen zur Verbesserung der Sicherheitslage. In einem weiteren Schritt sind die potenziellen Verluste abzuschätzen, die im Falle eines Sicherheitsvorfalls entstehen könnten. Dazu gehören direkte Kosten (wie Kosten für Datenschutzverletzungen, Anwaltskosten und Bußgelder) und indirekte Kosten (wie Verlust von Kundenvertrauen und Geschäftsmöglichkeiten). Ferner ist zu bestimmen, wie viel Risiko durch die Sicherheitsinvestitionen gemindert werden könnte.
 

Berechnung des RoSI

Im Gegensatz zum ROI, basiert die RoSI-Formel also auf einer Bewertung spezifischer Risiken, die Investitionen in die IT-Sicherheit abdecken. Aus diesem Grunde muss das IT-Team die Sicherheitsrisiken genau kennen und den Wert jedes IT-Assets einschätzen, den die Investition schützen soll. Dafür sind folgende Parameter zu bestimmen:

  • Annual Rate of Occurrence (ARO): die Wahrscheinlichkeit, dass Sicherheitsverletzungen auftreten
  • Single Loss Expectancy (SLE): Kosten, die im Falle des Auftretens eines Risikos voraussichtlich anfallen
  • Annual Loss Expectancy (ALE): der gesamte erwartete Verlust pro Jahr, berechnet als ALE = SLE x ARO
  • Mitigation Ratio: der Prozentsatz der Risiken, die eine geplante Lösung abdecken kann

 

Aus diesen Parametern ergibt sich die Formel für den Return on Security Invest:

  • RoSI (in Prozent) = (ALE x Mitigation Ratio – Kosten der Investition) : Kosten der Investition

     

Bewertung der Kennzahl

Ein RoSI von 100 Prozent sagt aus, dass Investitionen in die IT-Security voraussichtlich eine finanzielle Rendite durch die Reduzierung potenzieller Verluste erbringen. Eine niedrigere Kennzahl deutet an, dass die Kosten der Sicherheitsmaßnahmen den Nutzen überwiegen. „Unternehmen sollten daher ihre RoSI-Berechnungen regelmäßig überprüfen und aktualisieren, wenn neue Bedrohungen auftreten, Sicherheitstechnologien sich weiterentwickeln und sich die Geschäftsanforderungen ändern“, betont Berger.

„Da der RoSI auf Annahmen, Erfahrungswerten und Schätzungen basiert, kann er nicht immer exakt sein“, sagt Kleinfeld. „Die Berücksichtigung indirekter positiver Effekte, wie Reputationswirkung, sind schwierig unterzubringen, weil sie noch komplexer zu ermitteln sind.“
 

Optimierung der Ergebnisse

Security-Investments lassen sich auf unterschiedliche Weise steigern. Den Fokus sollten IT-Teams jedoch auf folgende Aktivitäten richten: „Für Unternehmen ist es angezeigt, die Investitionen dort zu priorisieren, wo das Risiko und der potenzielle Schaden am größten ist“, sagt Berger. „Eine gründliche Risikoanalyse identifiziert diese ‚Low Hanging Fruits‘, bei denen eine Sicherheitsmaßnahme besonders viel Verlustpotenzial eliminiert.“ Ein Beispiel: Oft sind die Mitarbeiter die „erste Verteidigungslinie“, um Social-Engineering- und Phishing-Angriffe zu vermeiden. Deshalb können Investitionen in Mitarbeiterkompetenz und gute Prozesse ein größerer Sicherheitsgewinn sein als hohe Ausgaben für Technologie.
 


Quelle: Magazin "Creditreform"
Text: Otto Geißler
Bildnachweis: Getty Images