Thema der Woche
29. Januar 2001
Was kostet, was bringt Sicherheit?
Die Zahlen schwanken, wenn man nach Kosten und Nutzen von
IT-Sicherheit fragt - zuverlässig und allgemeingültig
sind sie nur bedingt. Auch die Initiative
Sicherheit im Internet muss sich auf die Ergebnisse einer
für EDV-Verhältnisse bereits betagten Studie von 1999
berufen und weiterhin beklagen, dass "die Bereitschaft zur
Offenlegung von Schadensereignissen zu wünschen übrig
lässt." Dabei wären gute Statistiken besonders unter den
Aspekten der Ursachenforschung und Schadensvermeidung sowie zur
Risikoeinschätzung äußerst wertvoll.
Dennoch kann die Initiative in ihrem Beitrag auch einige Ergebnisse liefern, die aus der
Studie und dem letztjährigen BSI-/ UIMC-Kongress hervorgingen:
- Die Budgetierung in deutschen Unternehmen ist
kritikwürdig: Über 60 Prozent der Befragten hatte kein
IT-Sicherheits-Budget - dieselbe Gruppe gab an, jährlich etwa
5,8 Mio. DM für IT-Sicherheit auszugeben. Die Firmen
mit Budget gaben hingegen im Durchschnitt nur 3,6 Mio. DM
aus. Vermutlich wurden die Ausgaben in den meisten Unternehmen
nicht exakt berechnet, sondern nur geschätzt.
- IT-Sicherheit wird zunehmend zum gesamtwirtschaftlich
bedeutenden Faktor. Die gemeldeten Schäden aufgrund von
Gesetzesübertretungen belaufen sich in Deutschland auf
75 Mio. DM, Experten und BKA schätzen die
tatsächlichen Schäden einschließlich
Wirtschaftskriminalität auf rund 300 Mrd. DM, wobei
Unfälle, Natur- oder "Anwenderkatastrophen" nicht
berücksichtigt sind.
- Ein mittelgroßes Unternehmen mit hohem Sicherheitsbedarf
muss mit rund 400.000 DM Aufwendungen für IT Security
rechnen, dazu gehören zum Beispiel eine Firewall und
Verschlüsselungssoftware, aber auch die Erstellung einer
Sicherheitsstrategie und jährliche Gebühren für
einen Business-Recovery-Vertrag.
- Die Kosten durch einen einzelnen Virusbefall variieren stark,
sowohl im Vergleich verschiedener Studien, als auch verschiedener
Ländern: In Großbritannien liegen sie - je nach Studie -
mit knapp 4000. DM oder gut 10.000. DM am niedrigsten, in
den USA mit über 81.000. DM am höchsten. Deutschland
rangiert mit etwa 11.000. DM im Mittelfeld. Die
durchschnittlichen Gesamtkosten für Schäden zeigen ein
ähnliches Bild.
Insgesamt habe der Kongress gezeigt, dass wir von einer
"Sicherheitsökonomie" noch weit entfernt sind, obwohl
erfolgversprechende Ansätze vorlägen. Wer mehr wissen
möchte: Die Ergebnisse der Studie und des Kongresses wurden
auch bereits ausführlich in einer dreiteiligen Serie in
KES 2000/2, Seite 44, KES 2000/3, Seite 80 und
KES 2000/4, Seite 80 erläutert (der zweite und dritte
Teil stehen KES-Abonnenten unter folgenden passwortgeschützten
Links auch in unserem Online-Archiv im Volltext zur Verfügung:
KES 2000/3-80
und KES
2000/4-80).
zum nächsten Thema der Woche
zum vorigen Thema der Woche