Sicherheit, die sich rechnet

Return-on-Investment in der IT-Security

Ohne eine sorgfältige Kosten-Nutzen-Abwägung investiert heute kein Entscheider mehr in die Sicherheit seiner Computer-Systeme. Um so wichtiger ist für IT-Sicherheits-Experten daher der Umgang mit zwei Instrumenten der Finanzmathematik: der Total Cost of Ownership (TCO) und dem Return on Investment (ROI).

Entstanden sind die beiden Begriffe TCO und ROI Mitte der neunziger Jahren, als immer mehr Kunden von ihren IT-Lieferanten verlangten, hinsichtlich der prognostizierten Einsparungspotentiale genaues Zahlenmaterial vorzulegen. So kam es, dass die beiden genannten Werkzeuge innerhalb kurzer Zeit zu einem wichtigen Vertriebsinstrument in der IT-Branche wurden.

Das einfachere der beiden finanzmathematischen Werkzeuge ist die TCO, die für die Gesamtheit aller Kosten eines IT-Systems steht. Neben dem Kaufpreis gehören dazu auch Schulungs-, Installations-, Betriebs-, Wartungs- und Ersatzkosten, die zusammen die Ausgaben für die Anschaffung oft um ein Vielfaches übersteigen. Eine sorgfältig berechnete TCO ermöglicht es dem Entscheider, die Kosten einer Investition über den gesamten Lebenszyklus zu überblicken. Nutzen und Erträge bleiben bei einer TCO-Betrachtung jedoch unberücksichtigt.

Einen Schritt weiter geht eine ROI-Berechnung. Hierbei werden Investitionen (cost) dem Nutzen (benefit) gegenübergestellt, wobei die so genannte Amortisationsrechnung das Herzstück bildet. Diese gibt an, zu welchem Zeitpunkt sich die Investition bezahlt macht. Finanzmathematisch ausgedrückt bedeutet dies, dass berechnet wird, wann die Anschaffungskosten durch den mit der Investition erwirtschafteten Ertrag gedeckt werden. ROI wird daher oft mit Rentabilität gleichgesetzt. Obwohl Messgrößen und Verfahren in diesem Zusammenhang nicht standardisiert sind, bildet der ROI eine wichtige Kennzahl, ohne deren Berechnung heute kaum noch eine größere IT-Investition mehr genehmigt wird.

ROI in Security-Projekten

Um in Zeiten knapper Kassen Budgets freizumachen, wird der ROI-Begriff längst auch im Bereich der IT-Sicherheit verwendet. Die zentrale Frage dabei ist, wie die berechneten Kennzahlen beschaffen sein müssen, damit sich der Betreiber einer IT-Infrastruktur dafür entscheidet, ein Security-Projekt in Angriff zu nehmen. Das Problem dabei ist, dass IT-Security-Maßnahmen wie Verschlüsselung, Virenschutz oder Firewalls in den wenigsten Fällen dazu beitragen, die zugrunde liegenden Prozesse wirtschaftlich günstiger zu gestalten. Stattdessen sind sie meist mit steigender Komplexität und erhöhten Kosten verbunden.

Ein positiver ROI - im Sinne von TCO-basierter Kostenreduktion - ist in der IT-Sicherheit daher oft nur über eine periodische Risikoabwägung darstellbar, bei der sich der Verantwortliche die Frage stellt, ob er ermittelte Risiken trägt oder entsprechende Gegenmaßnahmen startet. Diese Vorgehensweise ist aus der Versicherungswirtschaft bekannt: Gegenüber untragbaren Risiken ist Vorsorge zu treffen, deren Auswirkungen sind zu minimieren. Deutlich einfacher ist eine ROI-Betrachtung dagegen, wenn ein IT-Security-Projekt eine Kostenreduktion ermöglicht. Dass es solche Projekte überhaupt gibt, ist nicht selbstverständlich, wird aber durch zahlreiche Beispiele belegt. Im Folgenden werden zwei davon vorgestellt.

ROI durch Single Sign-On

Dass der Einsatz von immer mehr Passwörtern zur Absicherung von IT-Systemen Probleme mit sich bringt, ist für Sicherheits-Experten längst sprichwörtlich. Unzählige Helpdesk-Anrufe von Mitarbeitern, die ihr Passwort vergessen haben, belegen, dass dies nicht nur ein Sicherheitsproblem ist, sondern auch handfeste Kosten verursacht. Das Zauberschwert, um diesen Knoten zu durchschlagen heißt "Single Sign-On" (SSO). Ein SSO-System sorgt dafür, dass sich ein Anwender nur einmal gegenüber einer dafür geschaffenen Instanz authentisieren muss - entweder durch ein Passwort oder durch eine Chipkarte (Smartcard). Diese zwischengeschaltete Instanz hat die Passwörter für alle benötigten Anwendungen gespeichert und öffnet so für den Anwender auf transparente Weise alle Türen.

Dass durch SSO ein positiver ROI darstellbar ist, hat eine große Schweizer Bank eindrucksvoll unter Beweis gestellt1. Die Bank führte vor einigen Jahren ein SSO-System mit 30.000 Anwendern ein, die zuvor pro Monat für etwa 30.000 passwortbezogene Anrufe beim Helpdesk gesorgt hatten. Diese Zahl konnte binnen kurzer Zeit um mehr als ein Drittel gesenkt werden - mit weiter fallender Tendenz. Da jeder Anruf mit einem Produktivitätsausfall von durchschnittlich 20 Minuten verbunden ist, ergab sich bei einem internen Stundensatz von 60 Euro ein Einsparungspotential von 2,4 Millionen Euro pro Jahr. Die frei werdenden Kapazitäten im Helpdesk sind in dieser Rechnung noch gar nicht berücksichtigt. Laut Vertreter des Unternehmens haben sich Aufbau- und bisherige Betriebskosten inzwischen amortisiert, wobei allerdings die nicht belegbare Voraussetzung unterstellt wird, dass mit der eingesparten Zeit (20 Minuten pro Vorfall) auch tatsächlich eine Produktivitätssteigerung verbunden ist. Ein angenehmer Nebeneffekt ist dagegen unstrittig: Die Zufriedenheit der Anwender mit ihrer IT ist erheblich gestiegen.

ROI durch digitale Signaturen

Andere Beispiele für IT-Sicherheits-Projekte mit positivem ROI finden sich in der Automobilindustrie, wo die Mikroprozessortechnologie in den letzten zehn Jahren erheblich an Bedeutung gewonnen hat. Antiblockiersysteme, Stabilitätsprogramme und Fahrererkennung werden heutzutage von einem zentralen Fahrzeugcomputer, der sogenannten Motorsteuerung, überwacht und gesteuert. Dies bringt durchaus auch Sicherheitsprobleme mit sich, da sich durch unautorisiertes "Chiptuning" (Manipulation der Software im Motorsteuerungsgerät) die Leistung eines Motors erhöhen lässt. Durch Chiptuning entstehen den Automobilherstellern jährlich hohe Verluste, da eine manipulierte Motorsteuerung fast zwangsläufig mit stärkerem Verschleiß, erhöhtem Wartungsaufwand und einer geringeren Produkthaltbarkeit verbunden ist.

Um dem Chiptuning zu begegnen, hat die Automobilindustrie Projekte initiiert, die durch den Einsatz digitaler Signaturen unerwünschte Manipulationen in den Motorsteuerungsgeräten verhindern sollen.2 Da sich in diesem Zusammenhang die TCO über die auftretenden Schadenshöhen sowie Projekt- und Betriebskosten relativ genau berechnen lässt, ist auch der ROI meist einfach zu ermitteln. Begreift man die digitalen Signaturen als Bestandteil eines Gesamtprozesses, so fällt der ROI fast zwangsläufig positiv aus.

Die genannten Positivbeispiele sollten jedoch nicht darüber hinweg täuschen, dass sich ein positiver ROI in der IT-Sicherheit oft nicht rechnen lässt. Dies hat zur Folge, dass der Motivator für Security-Projekte in vielen Fällen nach wie vor in der Risiko- und nicht in der Kostenreduktion liegen muss. Genauso wie beispielsweise eine Brandversicherung auch nicht aus Renditeüberlegungen abgeschlossen wird, sondern ausschließlich der Vorsorge dient, so muss dann auch ein IT-Sicherheits-Projekt als Vorsorgemaßnahme betrachtet werden. Wer hier Investitionen tätigt, zeigt seinen bewussten Umgang mit den Unabwägbarkeiten des Lebens und seine Verantwortung gegenüber dem Unternehmen und den involvierten Menschen. Vor diesem Hintergrund haben Investitionen in die IT-Security heutzutage mehr Berechtigung denn je.