- Systemmanagement
- Netzwerkmanagement
- Datenmanagement
- Usermanagement
![[externer Link]](../../../../images/link.gif)
http://www.golem.de/0002/6177.html)Die obigen Zahlen sind beeindruckend, gehen aber von der Voraussetzung eines totalen Datenverlustes aus – eine Annahme, die nicht sehr wahr-scheinlich ist. Ein Minimum an IT-Sicherheit kann bei allen Unternehmen vorausgesetzt werden.
In der UIMC-BSI-Studie (s. a. KES 2/00) wurde systematisch die Kostenseite zur Gestaltung sicherer Systeme aufgearbeitet. Dieser Gestaltungsprozess findet in Unternehmen mit unterschiedlichen situativen Ausgangsbedingungen statt. Die jeweiligen Kosten-/Aufwandspositionen wurden dann für diese drei Prototypen von Unternehmen ausgewiesen.
Da die Unternehmen durchweg die Investitionen sowohl über einen längeren Zeitraum verteilt vornehmen als auch unterschiedliche Schwerpunkte setzen, sollen die Kosten der Erzielung sicherer Systeme anhand von exemplarischen Szenarien rechnerisch dargestellt werden.
Der Prozeß zur Gestaltung sicherer Informationssystems läßt sich in sinnvolle Teilgebiete gliedern. Die Teilgebiete eines solchen Prozesses sind:
http://www.golem.de/0002/6177.html)Es soll darüber hinaus festgestellt werden, dass die darzustellenden Lösungen Lücken aufweisen. Im Folgenden werden zunächst die Kosten der Sicherheitsstrategie- und Konzeptionsentwicklung dargestellt. Danach folgen die Kosten der Produkte und Dienstleistungen mit der Unterscheidung zwischen einem kleinen, mittleren und großen Unternehmen.
Bei kleineren Unternehmen, die z. B. keine Zweigstellen, Tochtergesellschaften o. ä. haben, ist eine Sicherheitsstrategieentwicklung einfacher möglich als bei großen, komplexen Unternehmen (z. B. Konzernen).
Vor allem für kleine und mittelgroße Unternehmen ist die Möglichkeit der Standardisierung der Beratungsleistung von Vorteil. Weiterhin sind Größe, Branche und Organisationsgrad von Bedeutung.
Im Folgenden werden zunächst die zu erbringenden Leistungen für ein beliebiges kleines, mittleres und großes Unternehmen dargestellt (Abb. 1).
![[Abb.1]](80-1.jpg)
Abbildung 1: Beispiel für eine Sicherheitsstrategie- und Konzeptionsentwicklung
Die Basisanalyse muss in jedem Fall durchgeführt werden, unabhängig von der Größe des Unternehmens. Weiterhin sollten die Bereiche Organisation, Systemtechnische Sicherheit, Netze, Datenträgersicherheit und BDSG durchgeführt werden, da diese für fast jedes Unternehmen relevant sind. Die weiteren Bereiche können bzw. sollten – je nach Bedeutung für das Unternehmen – variiert werden. Insofern handelt es sich um Preise, die je nach Unternehmen und Auftragsumfang einen Zu- oder Abschlag erhalten.
Für das untersuchte Unternehmen gilt, dass auch die Kosten berücksichtigt werden müssen, die dadurch entstehen, dass Mitarbeiter des Unternehmens Zeit aufwenden müssen, um die internen Aufgaben des Projektes zu lösen.
Gerade für große Unternehmen gilt, dass die Kostenermittlung prinzipiell auf zwei Wegen erfolgen kann, zum einen als individuelle Berechnung, indem der Zeitbedarf, also die Mitarbeitertage für die Berechnung zugrunde gelegt wird und daran anschließend nach Beratertyp hochgerechnet wird. Der zweite Weg unterscheidet sich vom ersten dadurch, dass der Zeitbedarf in den Kosten der Module berücksichtigt ist. Es handelt sich also um eine pauschalisierte Berechnung.
Im Folgenden wird anhand einiger ausgewählter Dienstleistungen gezeigt, welche Preisstrukturen im Markt gegeben sind. Es sei allerdings darauf hingewiesen, daß nahezu alle Preise Verhandlungssache sind und daher die aufgeführten Angaben lediglich Beispiels- und Richtwertcharakter haben. (Abb. 2)
![[Abb.2]](80-2.jpg)
Abbildung 2: Business Recovery
Beim Recovery können Disaster Recovery und Business Continuity Services unterschieden werden.
Bei den folgenden Kostenangaben muss berücksichtigt werden, dass mit steigender Anzahl der Lizenzen der Preis pro Lizenz abnimmt. Die Beratung/Konzepterstellung wird so durchgeführt, dass zunächst beim potenziellen Kunden die Testsoftware installiert wird, und dieser somit die Möglichkeit zum Testen hat. Die folgenden Preise (Abb. 3) sind ohne Mehrwertsteuer.
![[Abb.3]](80-3.jpg)
Abbildung 3: Verschlüsselung auf Softwarebasis
In der LANline ist eine Übersicht über die Anbieter von Firewalls und über die Preise dargestellt. Zunächst werden die reinen Softwarekosten dargestellt, danach folgt eine Beispielrechnung für ein großes Unternehmen, in der auch die unternehmensinternen Kosten der Anschaffung einer Firewall berücksichtigt sind.
Die Preise fangen bei 478 DM für das Produkt Secure Access von Ascend Communications an und gehen bis 50.000 DM für das Produkt M-Wall von Matranet/IS Internet Services.3 Die Preise hängen auf jeden Fall aber davon ab, wie "gut" eine Firewall ist (Abb. 4 + 5).
![[Abb.4+5]](80-45.jpg)
Abbildung 4: Anschaffungskosten eines Firewall-Systems (lt. Pohlmann, 1997)
Die SecureWall NetWall 4 kostet 1.850 Dollar für den Schutz von bis zu 25 IP-Adressen.4 Für ein kleines Unternehmen kann als Preis ca. 3.000 DM bis 5.000 DM angenommen werden. Allerdings sind hier noch nicht die Betriebskosten enthalten.
Für ein mittleres Unternehmen kann der Preis als zwischen 5.000 DM und 20.000 DM liegend angenommen werden.
Die SecureWall NetWall 4 kostet 20.000 Dollar für eine unbegrenzte Anzahl von geschützten IP-Adressen.7 Die Kosten für andere Produkte fangen bei ca. 20.000 DM an und können bis zu 50.000 DM steigen.
Die Aufwendungen sind reale Aufwendungen, die unabhängig vom jeweiligen Zeitpunkt erbracht werden müssen (Die Darstellung der folgenden Ausführungen erfolgt in Anlehnung an Pohlmann, N. (1997), S. 338-345).
Bei der Aufrechterhaltung des Betriebs eines Firewall-Systems, bei dem 1000 Benutzer unter den beschriebenen Annahmen über das Firewall-System kommunizieren dürfen, ergibt sich ein Kostenaufwand von ca. 153.000 DM im Jahr. Das sind ca. 153 DM Kosten pro Benutzer im Jahr.
Es gibt die Möglichkeit, eine softwarebasierte plattform- und systemübergreifende Sicherheits-Management-Lösung einzusetzen. Die Kosten für den Einsatz der Software werden überwiegend von drei Faktoren beeinflusst
Insbesondere ist zu beobachten, dass mit der Größe des Unternehmens (Komplexität der Systeme, Anzahl Benutzer) der Wunsch nach kundenspezifischen Anpassungen der Standardsoftware tendenziell steigt.
Der Wunsch nach Automatisierung der Sicherheitsadministration findet sich insbesondere in großen Unternehmen. Die User-ID-Konsolidierung ist kein unabdingbarer Bestandteil einer modernen IT-Security Policy; wird jedoch von den meisten Unternehmen angestrebt. In der überwiegenden Zahl der Projekte werden die strategischen DV-Systeme an die Software angebunden; somit ist die Anzahl der Sicherheitsadministrations-Software-Benutzer meist nahezu identisch mit der Zahl der DV-Benutzer des Unternehmens.
Die System-Komplexität spiegelt sich unter Kostengesichtspunkten in der Anzahl der benötigten Target System Interfaces (TSIs) wider. Hier sind entsprechende Kosten für Wartung/Infrastruktur zu berücksichtigen.
Bei einer gleichzeitigen Abnahme des IV-Basissicherheitshandbuches und des Datenschutz-Basishandbuches reduziert sich aufgrund der sich überschneidenden Inhalte der Preis auf 20.000 DM zuzüglich Modulpreise und Anpassungsaufwand (Abb. 6).
![[Abb.6]](80-67.jpg)
Abbildung 7: Kosten für ein kleines Unternehmen
Es darf bei der folgenden Betrachtung nicht übersehen werden, dass die Gesamtkosten sehr stark differieren können. Wenn beispielsweise verschiedene mittlere Unternehmen betrachtet werden, sind nicht alle Maßnahmen für jedes Unternehmen unbedingt notwendig oder gleich wichtig, z. B. bei der digitalen Signatur oder bei der Verschlüsselung. Insofern wird bei den folgenden Beispielen ganz bewusst auf eine Summenbildung verzichtet. Weiterhin sind die folgenden Beispiele sehr spezifisch und sollten nicht verallgemeinert werden, denn bei den folgenden Kosten sind hauptsächlich die Produkt-/ Dienstleistungskosten erfasst, aber i. d. R. nicht die Betriebskosten (Abb. 8).
![[Abb.8]](80-8.jpg)
Abbildung 8: Kosten für ein mittleres Unternehmen
Aufgrund der zunehmenden Bedeutung der digitalen Signatur sollen im Folgenden noch einige Kostenangaben über dieses Gebiet folgen (Abb.9). Auch hier gilt, daß die Preise veröffentlichte Listenpreise darstellen und vermutlich in konkreten Verhandlungsfällen noch Varianten erbringen könnten, Auch liegt in der Auswahl des Anbieters keine Empfehlung begründet: dies sowohl im Hinblick auf den Anbieter selbst noch in Bezug auf seine Preisgestaltung.
![[Abb.9]](80-9.jpg)
Abbildung 8: Kosten für ein großes Unternehmen
Der Anbieter TC TrustCenter gehört seit ein bis zwei Jahren der Deutschen Bank, Dresdner Bank, Commerzbank und Hypo Vereinsbank zu je 25%. Das Unternehmen strebt an, den hohen Anforderungen des deutschen Signaturgesetzes gerecht zu werden. Der Antrag auf Zulassung bei der Regulierungsbehörde für Telekommunikation und Post (RegTP) ist gestellt (23.02. 2000).
Das TC-Org-Certificate ermöglicht es einer Abteilung oder mehreren Personen eines Unternehmens, mit einem gemeinsamen Ausweis vertraulich und authentisch zu kommunizieren. Dieses ist vor allem dann sinnvoll, wenn mehrere Mitarbeiter einer Abteilung bestimmte Vorgänge gleichberechtigt bearbeiten und unterschreiben dürfen, z. B. Mitarbeiter der Personalabteilung oder des Einkaufs.
![[Abb.10]](80-10.jpg)
Abbildung 10
Die Ausführungen sollten belegen, daß es im Vorfeld zur Konzeptionierung und Gestaltung sicherer Systeme möglich ist, einigermaßen zutreffende Überlegungen zu den zu erwartenden Kosten anzustellen. Wie bereits betont, sind alle genannten Preise veröffentlichte (Listen-) Preise und als solche im konkreten Fall meist Verhandlungssache. Dies geht z. B. auch aus den in periodischen Abständen von der KES veröffentlichten Beraterstudien hervor.
Prof. Dr. Reinhard Voßbein ist Professor für Wirtschaftsinformatik, Vorstand der GDD und Senior Partner bei der UIMC Unternehmensberatung, Wuppertal
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2000, Seite 80
