Vergleicht man die 900.000 DM Ausgaben für die Sicherheit, die bei einer Umfrage der Zeitschrift WIK ermittelt wurden, mit den durchschnittlichen Gesamtkosten durch eingetretene Schäden in Höhe von 20.000 DM bis hin zu 5Mio. DM, so wird deutlich, dass sich Ausgaben für die IT-Sicherheit durchaus rechnen können. Denn die in den Studien und Fallsammlungen bezifferten Kosten machen teilweise nur einen Bruchteil des Gesamtschadens aus, da sie Umsatzverluste häufig nicht einbeziehen. Weiterhin ist bei dem Vergleich auch der qualitative Nutzen der Sicherheit zu berücksichtigen, ebenso wie das Risiko, dass durch einen Schaden ein Konkurs ausgelöst werden kann.
Bei der gesamtwirtschaftlichen Betrachtung ist nicht nur die Höhe der Kosten erschreckend, sondern auch die möglichen Folgen, wie vor allem die unter "sozioökonomische Schäden" erfassten Meldungen zeigen. Insofern verdient die IT-Sicherheit nicht nur unter Kostengesichtspunkten, sondern auch unter gesellschaftlichen Aspekten einen sehr hohen Stellenwert.
Betriebswirtschaftliche Betrachtungen zeigen, dass es eine Vielzahl von Möglichkeiten gibt, relevanten Nutzen zu erzielen. Dieser kann sowohl quantitativer als auch qualitativer Art sein. Es ist jedoch kaum möglich, die angegebenen Ersparnisse von den zu leistenden Aufwendungen zu trennen, wobei die Gesamtheit der vorgelegten Ergebnisse belegt, dass es durchweg erheblich leichter ist, Kosten und Aufwendungen zu erfassen als Ersparnisse und Nutzen.
Die Ergebnisse gesamtwirtschaftlicher Ersparnis-/Nutzenbetrachtungen stützen sich im Wesentlichen auf Schäden, die aufgrund von Gesetzen verfolgt werden können. Auch die vorgelegten Fälle waren durchweg solche, bei denen bestimmte Verletzungen von Gesetzen oder gesetzesähnlichen Vorschriften zu verzeichnen waren. Die geschätzten Schäden durch mangelnde Sicherheit sind von der Schätzbasis her häufig wenig zuverlässig und daher nur unter Bedenken in eine Kosten/Nutzen-Rechnung einzubeziehen.
Die positiven Faktoren, die sich in Form der produktionswirtschaftlichen und arbeitsmarktspezifischen Einflüsse ergeben, sind durchweg eher auf den Gesamtmarkt der Informationstechnologie als speziell auf die Sektoren der IT-Sicherheit zu beziehen. Hier sind nur einige exemplarische Ergebnisse vorzulegen, die sich insbesondere auf Markt- und Fallstudien unterschiedlicher Quellen beziehen.
Für die Erfassung der gesamtwirtschaftlich entstandenen Schäden durch mangelnde Sicherheit sind die vorliegenden Studien bzw. Fallsammlungen wenig geeignet, da dort nur spezielle Aspekte betrachtet oder nur ein Teil der Unternehmen untersucht wurden. Für die Kosten der eingetretenen Schäden gilt, dass es sich nur um einen Bruchteil der tatsächlich entstandenen Kosten handelt. Schäden die durch Viren, Nachlässigkeit der Mitarbeiter oder technische Defekte entstehen, werden nicht erfasst. Neben den quantitativen ergeben sich weitere, kaum zu konkretisierende Belastungen. Schäden in der öffentlichen Verwaltung führen z.B. zu verminderter Effektivität (Informationsverluste) und Effizienz des öffentlichen Sektors.
Wie anhand des Umsatzes und der Schätzungen belegbar, wird das Wachstumspotenzial der digitalen Märkte sehr hoch eingeschätzt. Eine Beschleunigung ihrer Ausweitung erfolgt z.B. durch die vereinfachte internationale Ausrichtung und verstärkte globale Verflechtung.
Die Abhängigkeit der IT-Sicherheit vom Einsatz der Informationstechnologie drückt sich auf betriebswirtschaftlicher Ebene im Anteil des IT-Sicherheitsbudgets vom Gesamtbudget für Informationstechnologie aus. Als Problem erweist sich, dass eine exakte Erfassung der gesamtwirtschaftlichen Bedeutung der IT-Sicherheit zurzeit eher auf betriebswirtschaftlicher als auf gesamtwirtschaftlicher Ebene möglich ist.
Die Tabellenübersichten fassen die Ergebnisse der Projektstudie im Hinblick auf diejenigen Punkte zusammen, aus denen sich eine Begründung für über betriebswirtschaftliche Betrachtungen hinausgehende gesamtwirtschaftliche Überlegungen ergibt. Hierbei sollte man beachten, dass eine Realisierung ohne Beteiligung der Politik kaum möglich ist.
Die Ergebnisse der Studie zeigen, dass eine Sicherheitsökonomie, die gesamtwirtschaftliche Aspekte integriert und ihrer Bedeutung nach erfasst und behandelt, nicht vorhanden ist. Das Projekt hat deutlich belegt, dass auf diesem Gebiet noch viel zu tun ist, wenn die Frage nach den gesamtwirtschaftlichen Auswirkungen beantwortet werden soll.
| Projektergebnis | Sicherheitsökonomische Anmerkungen |
| Beim Einsatz von dem Stand der Technik entsprechenden Sicherheitsmaßnahmen sind moderne Systeme sicher. | |
| Der Einsatz der Sicherheitsmaßnahmen erfolgt bei den befragten, sicherheitsbewussten Institutionen recht umfassend, und der Stellenwert der eingesetzten Sicherheitsmaßnahmen/-produkte ist relativ hoch. Katastrophen sind so gut wie nie aufgetreten und Störungen nur selten. Die Realisierung umfangreicher Sicherheitsvorkehrungen für das Y2K-Problem liefert einen überzeugenden Beleg. Nach Meinung von Fachleuten sind Schäden wegen der durchgeführten Sicherheitsvorkehrungen ausgeblieben. | Da im nationalen und internationalen Bereich die Systemsicherheit unterschiedlich ist, sollten wirtschaftssystemübergreifend Schadensverläufe und -vorfälle erfasst und einem Vergleich unterzogen werden. Hilfsweise sollten man die Systemvertreiber zu einer Erfassungsaktion auffordern. Auch scheinen Outsourcing und Recovery-Dienstleister sowie Versicherer geeignet, als Datenlieferanten einbezogen zu werden. |
| Budgeting für Sicherheit ist unter Unternehmensführungs- und Controlling-Aspekten in Bezug auf das Budgetingverhalten und die -qualität kritikwürdig. | |
| Dies wird unter anderem dadurch belegt, dass über die Hälfte der befragten Institutionen kein Budget für Sicherheit hat. Weiterhin wird der Anteil der IT-Sicherheit an den Gesamtkosten der IT meist nur geschätzt, nicht jedoch exakt budgetiert und berechnet. | Es sollte ein IT-Sicherheitscontrolling mit
eigenen Budgets gefördert werden, dabei sind
|
| Outsourcing- und Recovery-Verträge sind unter dem Aspekt der Absicherung gegen Sicherheitsmängel beim Auftragnehmer wenig durch Sicherheitsbewusstsein geprägt. Versicherungen als Risikofolgenbeschränkungsstrategie werden vergleichsweise wenig genutzt und die Absicherung bleibt prinzipiell unzureichend. | |
| Ausfall-Ersatzansprüche werden i. d. R. nicht vertraglich festgelegt. Die Kunden verlangen nicht grundsätzlich ein Sicherheitskonzept vor Vertragsabschluss vom Anbieter der Leistung, und von der System-Auditierung wird nicht grundsätzlich Gebrauch gemacht. Während relativ häufig Feuer-, Elektronik- und Sachversicherungen abgeschlossen werden, schließen nicht einmal die Hälfte der Befragten weitere Versicherungen ab. Hieraus ergibt sich ein erklärungsbedürftiges Defizit an Maßnahmen der Risikobeschränkung und ‑überwälzung. | Die angebotenen Möglichkeiten der Risikoabsicherung werden nur unzureichend genutzt. Da z. B. Kostennutzenrechnungen nur wenig eingesetzt werden, um Entscheidungen auf diesem Gebiet zu fällen, sollten die Methoden der Kostennutzenrechnung, der Kostenvergleichsrechnung und der Nutzwert-Analyse besser transferiert und in ihrer Aussagefähigkeit dargestellt werden. |
| Bei den meisten Institutionen besteht nur ein geringes Interesse an der Offenlegung der Kosten für Störungen/Pannen. | |
| Über die Hälfte der befragten Institutionen wollte oder konnte keine Angaben zu den wirtschaftlichen Auswirkungen der Schäden machen. Die Auswertung anderer Quellen als der eigenen Erhebung erbrachte stark divergierende Kosten/Aufwendungen, die teilweise jedoch auch wenig substantiiert erscheinen. | Es ist vielfach nicht im Interesse der
IV-Verantwortlichen, Störungen und Pannen offen zu legen.
Im Sinne einer Sicherheitsökonomie wäre es erforderlich,
Folgendes zu registrieren
|
| Sicherheitsmaßnahmen werden mehr eingesetzt, weil es dem Stand der Sicherheitstechnik entspricht, als dass sie auf einem rundum ausgeprägten Sicherheitsbewusstsein beruhen. | |
| Dies wird unter anderem dadurch belegt, dass über die Hälfte der befragten Institutionen keine IT-Sicherheitsgesamtstrategie und keine schriftlich fixierten IT-Sicherheitsziele für das Gesamtsystem hatte. | Dies ist unter betriebs- und volkswirtschaftlichen Aspekten nicht ideal, aber auch nicht sehr kritikwürdig: Es ist der Gedanke, Sicherheitsziele aufzustellen und zu transferieren. Hieraus sollte sich dann die Budgetierung als betriebswirtschaftliche Form der Konkretisierung anschließen mit dem Ziel der Planung von Sicherheitsmaßnahmen entsprechend ihrer Notwendigkeit. |
| Wirtschaftlichkeit als Beurteilungsgröße für Sicherheit spielt eine eher untergeordnete Rolle. | |
| Bei über der Hälfte der Befragten ist das Top-Management für die Wirtschaftlichkeit der IT-Sicherheit zuständig. Weiterhin wird bei den wenigsten Institutionen bei Investitionen in IT-Sicherheit generell eine Wirtschaftlichkeitsrechnung gefordert bzw. vorausgesetzt. Diese zwei Feststellungen illustrieren das Problem: Das Top-Management müsste dann seine Verantwortlichkeit wahrnehmen, ohne dass Wirtschaftlichkeitsaspekte zur Entscheidung berücksichtigt werden können. | Wirtschaftlichkeitsrechnungen sowie Kosten-Nutzen-Analysen werden in zu geringem Maß eingesetzt. Außerdem fördert die Bindung an einige wenige Lieferanten die Übernahme von Lösungen nach dem "state-of-the-art"-Prinzip. Auch gilt häufig der Meinungsaustausch "unter Fachleuten" als Entscheidungskriterium. Wenn eine auf Wirtschaftlichkeitskriterien beruhende Entscheidung gefällt wurde, existiert meist kein Kontrollinstrument, um die gefällte Entscheidung in ihren Wirkungen nachvollziehen zu können. Auch diese Feststellung führt wiederum zu der Forderung nach einem IT-Sicherheitscontrolling. |
| Zwischenebene "betriebswirtschaftliche/gesamtwirtschaftliche Betrachtung" | |
Hier sei die Ebene der Branchen und
Betriebsgrößenklassen angesprochen. Es ist sinnvoll und
erforderlich:
|
|
| IT-Sicherheit wird zunehmend mehr zu einem gesamtwirtschaftlich bedeutsamen Faktor, dessen Bedeutungsgewicht mit dem Wachstum der Informationstechnologie eng verbunden ist. | |
| Die Unternehmen geben im Durchschnitt circa 8 Prozent vom Gesamtbudget für IT-Sicherheit aus. Bei sicherheitssensitiven Unternehmen liegt ein häufiger Wert bei 10 Prozent, mit Spitzenwerten von 15 Prozent (eigene Erhebung). Sicherheit schafft Arbeitsplätze: In den befragten Unternehmen sind zwischen einem und 100 Mitarbeitern mit Sicherheitsaufgaben betraut. Durchschnittlich sind es 10 Mitarbeiter. Der Sektor der Sicherheitsdienstleistungen ist als neuer Dienstleistungssektor in ständigem Wachstum begriffen. Die Anzahl der mit der IT-Sicherheit betrauten Personen macht klar, dass die Angaben von sicherheitsbewussten Großunternehmen stammen müssen: In Klein- und Mittelunternehmen kann nicht von vergleichbaren, proportional ähnlich gearteten Werten ausgegangen werden. | Unter gesamtwirtschaftlichen Aspekten ist das
IT-Sicherheitsproblem nicht klar abzugrenzen und zu erfassen. Hier
helfen Markt- und Fallstudien meist weiter als die offizielle
amtliche Statistik. So wäre es im Rahmen einer
gesamtwirtschaftlich orientierten Sicherheitsökonomie
sinnvoll, mindestens folgende Datenkreise zu erfassen:
|
Prof. Dr. Reinhard Voßbein ist Professor für Wirtschaftsinformatik, Vorstand der GDD und Senior Partner bei der UIMC Unternehmensberatung, Wuppertal.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2000, Seite 80