(Kein) Skandal um ROSI – Wirkung und Kosten von Security-Maßnahmen
Milliarden Dollar und Euro fließen jedes Jahr in die Cybersicherheit. Doch wie bewertet man Kosten und Leistungen? Angelehnt an die Berechnung des ROI (Return on Investment), sollen mit Hilfe des ROSI (Return on Security Investment) diese Ausgaben rechtfertigbar sein und deren Kosteneffizienz gemessen werden.
Nicht 32, nicht 16, nicht 8 (Grüße an die Spider Murphy Gang) – sondern immense 150 Milliarden Dollar an Investitionen wurden vom Marktforschungsinstitut Gartner für Maßnahmen der Cybersicherheit im Jahr 2021 prognostiziert. Dies entspricht einer Steigerung von 12,4 Prozent gegenüber dem Vorjahr. In der Gartner 2021 CIO Agenda Survey hatte Cyber-Sicherheit die höchste Priorität für neue IT-Ausgaben in Unternehmen. Doch welchen Mehrwert bringen diese signifikanten Investitionen?
Die meisten Organisationen scheitern daran, die Wirksamkeit der Investitionen in Informationssicherheit zu bewerten, weil diese nicht zu einer Steigerung des Profits oder der Effizienz führen, sondern klassischerweise Maßnahmen zur Vermeidung von Verlust sind. Nun könnte man sich ganz salopp fragen, warum dann überhaupt in Informationssicherheit investieren? Der ehemalige US-Staatsanwalt Paul McNulty sagte einmal: „If you think compliance is expensive, try non-compliance“. Ähnlich verhält es sich bei der Informationssicherheit.
Wieviel darf Sicherheit kosten?
Doch viele Entscheidungsträger plagen die Fragen: Wie kann mein Unternehmen sicher werden? Wie viel Sicherheit ist genug? Woher weiß ich, wann mein Sicherheitsniveau angemessen ist? Also: Wie viel Geld und Zeit sollen wir in Sicherheit investieren? Ob das Unternehmen nun von einem super ausgefeilten Informationssicherheits-Managementsystem (ISMS) oder einem zahnlosen Tiger bewacht wird, spielt für die meisten Geschäftsführer keine große Rolle. Für sie gilt die Regel: Die Investition muss finanziell gerechtfertigt und insbesondere wirtschaftlich sinnvoll sein. Deshalb sind die gestellten Fragen durchaus berechtigt. Wie findet man also heraus, was angemessene und sinnvolle Investitionen in die Informationssicherheit sind?
ROI meets ROSI
Die klassische Betriebswirtschaftslehre hat eine Kennzahl zur Messung der Rendite einer unternehmerischen Tätigkeit entwickelt. Der Return on Investment (ROI) bemisst sich am Verhältnis der Kosten zum Gewinn einer Investition. Eine ähnliche, aber weitestgehend unbekannte, Kennzahl gibt es auch für die Informationssicherheit, den Return on Security Investment ROSI (Callback zur Spyder Murphy Gang).
ROSI erleichtert es Entscheidungsträgern, eine sinnvolle und nachhaltige Entscheidung zu den Ausgaben für Cyber- und Informationssicherheit zu treffen. Dabei geht es um die Ermittlung des sogenannten betriebswirtschaftlichen Optimums, denn eine Investition, bei der die Kosten höher sind als der Schaden bei Eintreten des Risikos, ergibt schlichtweg wenig Sinn.
ROSI berechnen
Für die Berechnung des ROSI möchten wir ermitteln, wie viel erwarteten Verlust das Investment verhindert. Hierfür muss eine quantitative Risikoberechnung (quantitative risk assessment) durchgeführt werden.
Das Ergebnis der quantitativen Risikoberechnung ist die jährliche Verlusterwartung (Annual Loss Expectancy, ALE). Diese setzt sich aus der jährlichen Eintrittsrate (Annual Rate of Occurrence, ARO) und der einmaligen Verlusterwartung (Single Loss Expectancy, SLE) wie folgt zusammen:
ALE = ARO x SLE
Die Eintrittsrate ARO beschreibt die Wahrscheinlichkeit, dass ein Risiko in einem Jahr auftritt. Dies hängt von vielen Faktoren ab und muss durch die jeweiligen Experten geschätzt werden. (5 Eintritte pro Jahr -> ARO = 5; Ein Eintritt alle 5 Jahre -> ARO = 0,2)
Die SLE beschreibt den erwarteten Verlust bei Eintritt des Risikos. Dabei wird von den gesamten Kosten bei einem einmaligen Eintritt ausgegangen. Die gesamten Kosten umfassen sowohl direkte (z.B. Verlust des Assets) als auch indirekte Kosten (z.B. Verlust der Reputation). Auch hier müssen Experten zu Rate gezogen werden.
Darüber hinaus müssen die jährlichen Kosten der geplanten Maßnahme (Cost of Solution, CoS) sowie eine modifizierte Verlustrate ALE (modified ALE, mALE) ermittelt werden. Die CoS setzen sich aus jeglichen Kosten, die bei der Implementierung und Durchführung der Maßnahme entstehen, zusammen. Die mALE stellt das Nettorisiko dar und somit die jährliche Verlusterwartung nach Implementierung der Maßnahme. Der ALE hingegen beschreibt die Bruttorisiken.
Anschließend kann der ROSI folgendermaßen berechnet werden:
ROSI = (ALE - mALE) -CoS/CoS
ROSI beziffert also das Verhältnis zwischen reduziertem Verlust und den Kosten für die Maßnahmen. Liegt ROSI über 100 Prozent so ist von einer kosteneffizienten Lösung auszugehen.
Aber Vorsicht: Aus unterschiedlichen Gesichtspunkten kann es natürlich auch sinnvoll sein, eine kostenineffiziente Lösung mit einem ROSI von unter 100% zu implementieren. Beispielsweise, um ein unternehmensgefährdendes Risiko abzuwenden. Daher sollte jedes Unternehmen einen eigenen Korridor des ROSIs für sinnvolle Investments definieren.
Beispielrechnung
Im Folgendem wird ein fiktives Beispiel beschrieben:
Jedes Jahr werden durch unachtsame Mitarbeitende vier Phishing-Vorfälle verursacht (ARO = 4). Diese Vorfälle sorgten durch Aufklärungs-, Wiederherstellungs- und weitere Maßnahmen jeweils für einen Schaden in Höhe von 10.000€ (SLE = 10.000€). Dieser jährliche Schaden (ALE = 40.000€) soll in Zukunft durch eine Sensibilisierung der Mitarbeitenden reduziert werden. Die gewünschte Phishing-Kampagne kostet das Unternehmen 15.000€ (CoS = 15.000€) und soll die jährlichen Vorfälle auf eins senken (mALE = 10.000€).
Somit ergibt sich ein ROSI von 100% und die Erkenntnis, dass die Phishing-Kampagne eine kosteneffiziente Lösung ist.
ROSI = (40.000€ -10.000€) - 15.000€ /15.000€ = 1 = 100%
Fazit: Nicht die Zauberformel, aber ein Teil davon
Mit dem ROSI lassen sich Investitionen für Cyber- und Informationssicherheit besser beziffern. Damit haben CISOs wie ISOs eine Möglichkeit, die Verwendung ihres Budgets zu rechtfertigen und kosteneffizient zu gestalten.
Die Berechnung des ROSI ist im ersten Moment simpel. Aber genau in dieser Simplizität verbirgt sich das Problem. Sowohl bei der Berechnung der ARO als auch des SLO müssen Wahrscheinlichkeiten und Auswirkungen, von teilweise voreingenommen Personen, geschätzt werden. Daher können immer wieder Ungenauigkeiten auftreten.
Des Weiteren kann es gefährlich sein, sich nur auf eine Kennzahl, basierend auf dem ROI, zu verlassen. Sie sagt noch nichts über die absolute Höhe des abgewendeten Risikos aus (Effizienz vs. Effektivität).
Der ROSI sollte somit nur ein Teil der gesamtheitlichen Betrachtung von Budget und Investments sein, bietet jedoch eine einfache Möglichkeit, um einen guten ersten Eindruck über das optimale Investment zum Schutz vor Risiken zu erhalten.
Sollten Sie Fragen zum ROSI oder anderen Informationssicherheitsthemen wie Managementsysteme, ISO/IEC 27001 Zertifizierungen oder TISAX Prüfungsvorbereitungen haben, melden Sie sich einfach bei uns über die Autorenprofile!
Quelle Titelbild: AdobeStock/Tsurukame Design