Interview

Cybersicherheitsinvestitionen – Wie misst man den ROI in der IT Security?

Während in der Betriebswirtschaft der ROI als Rentabilitätskennzahl wichtig ist, sieht es bei Investitionen in die IT-Sicherheit anders aus. Dort gibt es den ROSI. Er berechnet, wie hoch der Schaden für das Unternehmen sein könnte, wenn IT-Sicherheits-Investitionen unterbleiben.

Uwe Gries, Country-Manager DACH bei Stormshield, spricht darüber mit Ulrich Parthier, Herausgeber it security.

Anzeige

ROI („Return on Investment“) von Cybersecurity-Investitionen oder ROSI („Return on Security Investment“): Welcher Begriff ist zutreffender?

Uwe Gries: Der ROI ist eine Rentabilitätskennzahl für eine bestimmte Investition. Er hilft normalerweise dabei zu entscheiden, ob ein Kauf getätigt oder ausgelassen werden sollte oder wie sich eine bestimmte Investition bisher (positiv oder negativ) entwickelt hat.

Die ROI-Gleichung funktioniert nur bei Investitionen, die positive Ergebnisse erzielen, also etwa Kosteneinsparungen oder Ertragssteigerungen. Ausgaben für die Cybersicherheit erhöhen weder die Erträge direkt, noch sorgen sie für eine sofortige Amortisation. Es geht hingegen grundsätzlich um Schadensverhütung und -begrenzung, also um Risikomanagement-Maßnahmen. Der ROSI zielt daher darauf ab, perspektivisch zu berechnen, wie hoch die Verluste wären, die eine Organisation durch ihre Investitionen zur Absicherung ihrer Infrastruktur und Daten vermeiden kann. Die Berechnungsformel des ROSI unterscheidet sich zudem deutlich von der für den ROI aufgrund der Unmenge an zu berücksichtigenden Variablen.

Anzeige

Warum ist die ROI-Berechnung in Bezug auf IT-Sicherheit so komplex?

Uwe Gries: Der Kern der Aufgabe ist es, den finanziellen Nutzen der Sicherheitsausgaben zu beziffern. Allerdings fallen unter die Kalkulationsvariablen sowohl mögliche Lösegeldforderungen (Ransomware) als auch direkte oder indirekte Kosten für die Wiederinstandsetzung der Systeme nach einem Cyberangriff, dessen Schweregrad zu dem Auswertungszeitpunkt nicht definierbar ist. Potenzielle Geldstrafen aufgrund aktueller Gesetzeslagen, deren Höhe nur gemutmaßt werden kann, und/oder die Verluste durch die rufschädigenden Auswirkungen eines Sicherheitsvorfalls müssen ebenfalls mit einkalkuliert werden.

Hinzu kommt die Tatsache, dass ein bestimmtes Risiko für eine Organisation viel relevanter sein kann als für andere Unternehmen, was natürlich die Gewichtung aller Faktoren maßgeblich beeinflusst. Wie viel kostet zum Beispiel eine Stunde Nichtverfügbarkeit einer beliebten E-Commerce-Website während des Schlussverkaufs aufgrund eines DDoS-Angriffs? Wie hoch sind die Schäden für eine ausgespähte Erfindung, die noch nicht patentiert wurde, oder für den Verlust von Patientenakten?

Ergibt es überhaupt Sinn, eine Kalkulation basierend auf Prognosen anzustellen? Gibt es keine felderprobten Modelle, worauf IT-Manager zurückgreifen können?

Uwe Gries: Wir sind der Meinung, die Vorteile geeigneter IT-Sicherheitsmaßnahmen sollten mittlerweile so klar auf der Hand liegen, dass sich die ROSI-Berechnung von vornherein erübrigt. Doch bedauerlicherweise ist das heute nicht der Fall. Die Kalkulation wird unerlässlich, wenn man, dem allgemein verbreiteten Kostenvermeidungsprinzip zum Trotz, das Budget verhandelt. Ohne eine klare Kehrtwende der aktuellen Wahrnehmung der Cybersicherheit als Kostenfaktor wird uns diese Haltung noch lange begleiten.

Bei der ROI-Messung wäre es nur wünschenswert, sich auf Modelle stützen zu können, doch erschwert es die Vielfalt der zu bewertenden Risiken, allgemein gültige Bezugswerte für diese Bewertung zu erschaffen. Statistiken oder Daten über bekannte Sicherheitsvorfälle bei ähnlichen Unternehmen können zur Orientierung beitragen, doch im Endeffekt muss diese Kalkulation ad hoc durchgeführt werden, auch unter Berücksichtigung der Tatsache, dass sich die zu evaluierenden Cybersicherheitslösungen parallel zum jeweils auszumerzenden Cyberrisiko differenzieren.

Dabei bleibt den CISOs („Chief Information Security Officer“) oder Sicherheitsbeauftragten nicht viel mehr übrig, als auf die x Mio. Euro an Verlusten hinzuweisen, die vermieden werden könnten, wenn man einen Bruchteil davon in die Absicherung der eigenen Infrastruktur investiert, anstatt deren Vorzüge zu benennen. Im Grunde zwingt man dadurch den IT-Manager in die Rolle des Versicherungsmaklers, der auf Gefahren hinweist, um Policen zu verkaufen. Doch die Cybersicherheit ist viel mehr als das.

Zusätzlich zu diesen bereits komplexen Berechnungen müssten zwei weitere Aspekte berücksichtigt werden. Der erste geht auf die Tatsache zurück, dass Lösungen für Cybersicherheit häufig mit Funktionen verbunden sind, die sich nicht unbedingt auf das digitale Cybernetz beziehen. Es geht also um Komplexitätsfragen. Eine Firewall beispielsweise geht mit einer QoS-Verwaltung, einer URL-Filterung oder der Verwaltung von Mehrfachverknüpfungen einher und gewährt damit eine bessere Konnektivität für die wichtigsten Nutzungsbereiche. Auf dieselbe Weise bieten die Funktionen SSL-VPN und IPSec-VPN die Gelegenheit, Telearbeit oder Fernwartung einzurichten, was wiederum die Produktivität erhöhen kann. Durch das Hinzufügen einer Cybersicherheitsschicht kann man im Allgemeinen bestimmte Nutzungsbereiche, für die zuvor die Anwesenheit des Mitarbeiters erforderlich war, modernisieren.

Wie gewinnbringend die Investition in Security für das Unternehmen ist, wird leider viel zu oft unter den Teppich gekehrt.

Trotz der oben genannten Hindernisse gibt es ja erste Lösungen. Ist beispielsweise das EBIOS-Riskmanager-Verfahren dafür geeignet, dass Unternehmen ihre eigenen Risiken identifizieren und verstehen?

Uwe Gries: Ja, das wäre ein pragmatischer Ansatz. Mit dieser Methode wird jeder Cyberangriffstyp aufgelistet, anhand seiner Auswirkung für das Unternehmen eingestuft und mit einem Kostenaufwand versehen. Dadurch wird es möglich, anschließend einen Plan zur Risikobehandlung (Antivirensoftware, Firewalls, Unternehmenssensibilisierung usw.) einzuführen, der wiederum klar bezifferbar ist. Somit kann also eine ROI-Analyse durchgeführt werden, indem die zu investierende Summe von den zu erwartenden Verlusten abgezogen wird.

Sobald die Berechnung abgeschlossen wird, ist es wichtig, im Rahmen der Logik der Kostenkontrolle auch die Effektivität des Risikomanagementplans zu evaluieren. Und darin liegt eine weitere Hürde: Wenn es eine Lösung für Zwischenfälle gibt, aber kein solcher vorkommt, liegt das daran, dass es keinen Zwischenfall gegeben hat oder dass die eingesetzte Lösung effizient ist? Selbst wenn die regelmäßige Kontrolle der Logs über versuchte Cyberangriffe eine Antwort darauf geben können, ist es sogar empfehlenswert, stets Zweifel an der Effizienz der Lösung zu haben. Penetrationstests schaffen hier oft Abhilfe, doch die Rentabilität von dieser Art von Cybersicherheits-Investitionen zu begründen, ist keine leichte Aufgabe, denn genau genommen verdient das Unternehmen durch diese Penetrationstests ebenfalls kein Geld.

Aber müssen beim kostenorientierten Ansatz nicht ebenfalls die Schutzmaßnahmen effizient gestaltet werden?

Uwe Gries: Darin liegt eben die aktuell größte Herausforderung hinsichtlich der Cybersicherheit. Man versucht, den Mix an Lösungen möglichst zu optimieren, ohne dabei auf Pluralität oder eine zweite Verteidigungslinie zu verzichten. Das ist bei diesem Ansatz alles andere als einfach.

Wie kann man einen qualitativen Sprung in Bezug auf die Cybersicherheit praxisnah erreichen?

Uwe Gries: Die Messung des ROI bei Cybersicherheit liegt genau zwischen der Risikoanalyse und der Rationalisierung der Schutzmaßnahmen und ist damit eine komplexe Aufgabe. Was sich langsam abzuzeichnen beginnt, ist die Notwendigkeit, das Paradigma zu ändern und von einer absolut quantitativen Analyse zu einer, die auch den qualitativen Faktor berücksichtigt, umzuschwenken. Beim Wechsel von einem ausschließlich monetär orientierten ROI, der auf dem Kostenansatz basiert, hin zu einer Rentabilität, die sich schwerpunktmäßig auf den Wert der Investitionen in Sicherheit konzentriert, wird vollständig die Perspektive geändert. Es ist höchste Zeit, dass die Führungsebenen Cybersicherheit auch als eine Gelegenheit und nicht mehr als eine Bedrohung oder als Kostenfaktor wahrnehmen!

Gibt es Beispiele von Unternehmen, die diesen Sprung geschafft haben?

Uwe Gries: Die gibt es tatsächlich. Zum Beispiel ein Modell, bei dem die Monetarisierung von Investitionen in Cybersicherheit Geld einbringen kann. Vor kurzem hat beispielsweise die französische Geschäftsbank Société Générale „OPPENS“ eingeführt, einen auf Kleinst- bzw. kleine und mittlere Unternehmen ausgerichteten sicheren Coaching-Service. Das Ziel: Intern entwickeltes Know-how an andere Firmen zu verkaufen und damit diese Investitionen zu monetarisieren. Ein weiteres Paradebeispiel aus Frankreich: Imprimerie nationale, die öffentliche Einrichtung, die französische Reisepässe und Personalausweise druckt. 2018 führte die Staatsdruckerei die Anwendung INWallet ein, eine Lösung zur Sicherung der digitalen Identität. Bei diesen beiden Beispielen ermöglicht der Verkauf von Cyberdiensten eine Erweiterung des Service-Angebots und stellt somit die Möglichkeit dar, Geld zu verdienen.

Darüber hinaus ist noch ein weiterer Aspekt es wert, angesprochen zu werden: Immer öfter kommen Ausschreibungen vor – insbesondere die von großen Auftraggebern –, bei denen die von den Kandidaten getroffenen Maßnahmen für IT-Sicherheit in zunehmendem Maße bewertet werden, sprich ein Auswahlkriterium darstellen. Cybersicherheit kann also ein Unterscheidungsmerkmal gegenüber dem Wettbewerb werden.

Herr Gries, wir danken für das Gespräch!

Uwe

Gries

Country Manager DACH

Stormshield

Uwe Gries ist seit Januar 2018 als Country Manager DACH bei Stormshield tätig. Mit über 20 Jahren Erfahrung in Führungs- und Managementpositionen im Vertrieb von Soft- und Hardware, verfügt er über umfangreiche Kenntnisse der IT/ITC-Märkte und leitet erfolgreich die Aktivitäten des Unternehmens im gesamten deutschsprachigen Raum.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.