Thema der Woche

29. Januar 2001

Was kostet, was bringt Sicherheit?

Die Zahlen schwanken, wenn man nach Kosten und Nutzen von IT-Sicherheit fragt - zuverlässig und allgemeingültig sind sie nur bedingt. Auch die externer Link Initiative Sicherheit im Internet muss sich auf die Ergebnisse einer für EDV-Verhältnisse bereits betagten Studie von 1999 berufen und weiterhin beklagen, dass "die Bereitschaft zur Offenlegung von Schadensereignissen zu wünschen übrig lässt." Dabei wären gute Statistiken besonders unter den Aspekten der Ursachenforschung und Schadensvermeidung sowie zur Risikoeinschätzung äußerst wertvoll.

Dennoch kann die Initiative in ihrem Beitrag auch externer Link einige Ergebnisse liefern, die aus der Studie und dem letztjährigen externer Link BSI-/externer Link UIMC-Kongress hervorgingen:

  1. Die Budgetierung in deutschen Unternehmen ist kritikwürdig: Über 60 Prozent der Befragten hatte kein IT-Sicherheits-Budget - dieselbe Gruppe gab an, jährlich etwa 5,8 Mio. DM für IT-Sicherheit auszugeben. Die Firmen mit Budget gaben hingegen im Durchschnitt nur 3,6 Mio. DM aus. Vermutlich wurden die Ausgaben in den meisten Unternehmen nicht exakt berechnet, sondern nur geschätzt.
  2. IT-Sicherheit wird zunehmend zum gesamtwirtschaftlich bedeutenden Faktor. Die gemeldeten Schäden aufgrund von Gesetzesübertretungen belaufen sich in Deutschland auf 75 Mio. DM, Experten und BKA schätzen die tatsächlichen Schäden einschließlich Wirtschaftskriminalität auf rund 300 Mrd. DM, wobei Unfälle, Natur- oder "Anwenderkatastrophen" nicht berücksichtigt sind.
  3. Ein mittelgroßes Unternehmen mit hohem Sicherheitsbedarf muss mit rund 400.000 DM Aufwendungen für IT Security rechnen, dazu gehören zum Beispiel eine Firewall und Verschlüsselungssoftware, aber auch die Erstellung einer Sicherheitsstrategie und jährliche Gebühren für einen Business-Recovery-Vertrag.
  4. Die Kosten durch einen einzelnen Virusbefall variieren stark, sowohl im Vergleich verschiedener Studien, als auch verschiedener Ländern: In Großbritannien liegen sie - je nach Studie - mit knapp 4000. DM oder gut 10.000. DM am niedrigsten, in den USA mit über 81.000. DM am höchsten. Deutschland rangiert mit etwa 11.000. DM im Mittelfeld. Die durchschnittlichen Gesamtkosten für Schäden zeigen ein ähnliches Bild.

Insgesamt habe der Kongress gezeigt, dass wir von einer "Sicherheitsökonomie" noch weit entfernt sind, obwohl erfolgversprechende Ansätze vorlägen. Wer mehr wissen möchte: Die Ergebnisse der Studie und des Kongresses wurden auch bereits ausführlich in einer dreiteiligen Serie in KES 2000/2, Seite 44, KES 2000/3, Seite 80 und KES 2000/4, Seite 80 erläutert (der zweite und dritte Teil stehen KES-Abonnenten unter folgenden passwortgeschützten Links auch in unserem Online-Archiv im Volltext zur Verfügung: KES 2000/3-80 und KES 2000/4-80).


zum nächsten Thema der Woche

zum vorigen Thema der Woche