Das Controlling der Wirtschaftlichkeit von Sicherheit in der Informationsverarbeitung bedeutet nach dem allgemeinen Controlling-Verständnis faktisch ein Sicherheits-Controlling. Das IV-Sicherheits-Controlling ist damit als ein Spezialgebiet des allgemeinen Controllings zu verstehen, das die Methoden und Instrumente einsetzt, die sich im allgemeinen Controlling bewährt haben.
Wirtschaftlichkeit ist als Effizienz und/oder Angemessenheit zu verstehen. So ließe sich Angemessenheit näher charakterisieren durch Merkmale wie
- der Größe und Komplexität der Institution entsprechend,
- dem Schutzzweck des Informationssystems angepaßt,
- der individuellen Risiko- und Gefahrensituation oder
- den Zielvorstellungen des Managements angemessen.
Es liegt nahe zu sagen, daß die "richtige Angemessenheit" sämtliche dieser Komponenten zu berücksichtigen hat. Diese zweifellos logische und auch in der Praxis erfahrungsgemäß nachzuvollziehende Feststellung ist aber faktisch nur schwer zu operationalisieren. Das Angemessenheitsprinzip kann kaum zutreffend ohne eine Berücksichtigung von Kosten- und Nutzenüberlegungen charakterisiert werden. So ließe sich ohne Berücksichtigung der oben genannten Punkte ein IV-Sicherheitssystem dann als angemessen bezeichnen, wenn Kosten und Nutzen in einem optimalen Verhältnis stehen. Hiermit wird jedoch eine wenig exakte Aussage - nämlich die der Angemessenheit - durch eine ebenso ungenaue Bestimmung, nämlich die des optimalen Verhältnisses zwischen Kosten und Nutzen, ersetzt. Es scheint daher unerläßlich, zur Präzisierung des Angemessenheitsprinzips die Realisierung bestimmter Kosten-Nutzen-Prinzipien heranzuziehen.
Eine weitere Problematik des IV-Sicherheits-Controllings ergibt sich aus dem Prinzip verteilter Systeme. Moderne IV-Lösungen sind, unabhängig von der jeweils konkret vorzufindenden Topologie, im Regelfall als verteilte Systeme strukturiert.
Dies bedeutet, daß das Sicherheitsproblem ebenfalls "verteilt" anzugehen und zu lösen ist. Ein hochkomplexes IV-System wird sich aufgrund des Verteilungsprinzips in verschiedene Sicherheits-Cluster zerlegen lassen.
So läßt sich vorstellen, daß ein Großunternehmen ein Sicherheits-Cluster für den Bereich Rechenzentrum sowie weitere für Zweigwerke, Abteilungen und/ oder klar identifizierbare und abgrenzbare Netze aufweist.
Auch ein Client-Server-System komplexer Art wird als Subsysteme mehrere Domains oder möglicherweise innerhalb dieser Domains, eigenständige Subnetze aufweisen. Es ist im Regelfall nicht anzunehmen, daß die gleichen Angemessenheitsvorstellungen für alle diese Subsysteme gültig sind. Wenn Angemessenheit als Kosten-Nutzen-Optimierung verstanden wird, heißt das, daß unter Umständen je nach Subsystem unterschiedliche Kosten-Nutzen-Optima anfallen dürften, da in Sicherheits-Clustern unterschiedliche Sicherheitsanspruchsniveaus oder Risiken festzustellen sind.
In Anbetracht der Feststellung, daß Kosten und Nutzen beachtet werden müssen, kommt dem Kostenproblem eine besondere Bedeutung zu. Im Rahmen von Kostenrechnung und Kostenbetrachtungen ist es üblich, eine Unterscheidung nach Kostenarten, -stellen und -trägern vorzunehmen. Unabhängig vom Problem der Operationalisierung gibt es keinen Grund, für das Kostenproblem der IV-Sicherheit von diesen Überlegungen abzuweichen. Es soll also angenommen werden, daß die drei genannten Kostenrechnungsmethoden grundsätzlich brauchbar sind.
Sicherheit in Mark und Pfennig planen
Das Controlling-Prinzip basiert auf dem Grundsatz der Planung. Somit ist die Forderung nach einer Budgetierung der Kosten für Sicherheit unerläßlich, wenn ein IV-Sicherheits-Controlling betrieben werden soll. Die Überlegungen zur Kostenarten-, Kostenstellen- und Kostenträgerrechnung zeigen jedoch, daß das Kostenerfassungs- und -zurechnungsproblem nur schwer zu lösen ist.
Wenn Sicherheitskosten budgetiert werden sollen - und dies wird im Regelfall anhand von Erfahrungswerten aus der Kostenrechnung der Vergangenheit passieren -, so wird man sich, was exakte Erfassung und Zurechnung anbetrifft, möglicherweise auf einige wenige Gebiete beschränken müssen und insbesondere das Budgetierungsproblem der IV-Sicherheitskosten verteilter Systeme schwer lösen können.
Die Problematik der Kostenzurechnung, und hierauf basierend auch einer Budgetierung, geht aus den Erhebungen der KES (KES-Sicherheitsumfragen der Jahre 1985 bis 1998, verschiedene Hefte und Sonderauswertungen) hervor, deren Ergebnisse in der Tabelle aufgeführt sind: Die stark unterschiedlichen Aufwendungen für Sicherheit in Prozent vom IV-Budget belegen - ohne daß eine zuverlässige Aussage hierüber möglich ist -, daß mit hoher Wahrscheinlichkeit verschiedene Ansätze und Kosten-/Budgetarten in den befragten Unternehmen praktiziert werden.
Zur Erfassung und Quantifizierung von Nutzen, die die Positivseite der Betrachtung bilden, bieten sich Nutzenrechnungen und Nutzwertanalysen an. Die Nutzenrechnungen sind im Regelfall die Positivseite einer Kosten-Nutzen-Rechnung, wobei rechenbare Nutzen gegeben sein sollten. Die Nutzwertanalyse arbeitet mit eher qualitativen Elementen. Ihr Hauptbestandteil sind Nutzen, die sich in der Regel einer Bewertung in Geld entziehen, wobei die Vorteilhaftigkeit von Investitionslösungen von besonderer Bedeutung ist.
Da die Kosten-Nutzen-Rechnung daran gebunden ist, daß sich die entsprechenden Nutzen in Geld bewerten lassen, besteht ihre Problematik vor allem darin, daß auf dem IV-Sicherheitssektor rechenbare Nutzen mit wenigen Ausnahmen nur schwer vorstellbar und erfaßbar sind. Aufgrund dieser Probleme hat die Nutzwertanalyse die tendenziell größere Bedeutung.
Die Nutzwertanalyse besteht in der Aufstellung eines Nutzenkatalogs, wobei die so erarbeiteten Nutzen quantifizierbar, zumindest aber skalierbar sein sollten. So wäre zum Beispiel der Nutzen einer hohen Verfügbarkeit quantifizierbar durch die Forderung "Verfügbarkeit nicht unter 98 Prozent". Ein skalierbarer, das heißt mit Hilfe eines Rating-Systems bewertbarer Nutzen wäre zum Beispiel "Vorhandensein eines hohen Sicherheitsbewußtseins bei den Mitarbeitern". Hierbei würde es in der Regel Schwierigkeiten machen, den Nutzen eines hohen Sicherheitsbewußtseins zu quantifizieren. Er wäre jedoch im Rahmen einer Skalierbarkeit durchaus differenzierbar von einem niedrigen zu einem mittleren bis zu einem hohen Sicherheitsbewußtsein. So müßte es durchaus einleuchtend sein, daß das Ziel "Hohes Sicherheitsbewußtsein bei den Mitarbeitern" einem mittleren oder niedrigeren Sicherheitsbewußtsein vorzuziehen ist. Wenn dafür allerdings umfangreiche Trainingsaufwendungen notwendig sind, könnte die Akzeptanz im Hinblick auf das Kosten-Nutzen-Verhältnis durchaus problematisch werden.
Studie soll den Istzustand erfassen
Wie verhalten sich Unternehmen in Sachen IV-Sicherheits-Controlling? Die Ergebnisse einer Studie nehmen zu den Fragen Stellung:
Die vom Bundesamt für Informationssicherheit (BSI), Bonn, geförderte Studie - ein Projekt der UIMC Wuppertal - ist von der Zielsetzung wie folgt zu charakterisieren:
Ziel der zu erarbeitenden Studie ist es, die Kosten und die Dynamik fehlender oder unzureichender IT-Sicherheit - systematisch und methodisch abgesichert - transparent und nachvollziehbar zu machen. Damit einhergehend ist die Wertschöpfung durch IT-Sicherheit zu untersuchen.
Es seien folgende Fragen aus den Ergebnissen herausgegriffen:
Wie und in welcher Qualität wird für Sicherheit budgetiert?
Wie werden die Kosten von Schäden und Sicherheitsverletzungen erfaßt?
Wo sind die Hauptmängel und Probleme zu finden?
Das Problem soll an zwei Grundfeststellungen und den Ergebnissen mehrerer Fragen exemplarisch verdeutlicht werden.
Weitere Ergebnisse des Projekts unter anderem zu Fragen des Nutzens der IV-Sicherheit, zur Frage des Outsourcings, zu Versicherungsproblemen und zum Business-Recovery sind als vorläufige Projektergebnisse zwar vorhanden, für den hier dargestellten Zusammenhang aber von geringerer Bedeutung.
Kritikwürdig
Feststellung 1:
Budgetierung für IT-Sicherheit ist unter Unternehmensführungs- und Controlling-Aspekten in bezug auf das Budgeting-Verhalten und die -qualität höchst kritikwürdig.
Über die Hälfte der Befragten hat kein Budget für Sicherheit.
Nur bei der Hälfte der Befragten, die überhaupt ein Budget haben, enthält dieses auch anteilige Gemeinkosten.
Bei den Befragten, die ein Budget für Sicherheit haben, enthält dieses bei über der Hälfte Lohnkosten und Zuschläge.
Durchschnittlich wird für die direkten Personalkosten ein Betrag von zirka 700 000 Mark in das Budget gestellt.
Bei allen der Befragten, die ein Budget für Sicherheit haben, sind hierin Ansätze für Hard- und Softwarekosten enthalten.
Bei der Hälfte der Befragten sind Ansätze für Lager- und Raumkosten enthalten.
Bei über der Hälfte der Befragten sind Energiekosten, Abschreibungen und sonstige Sachkosten enthalten.
Im Durchschnitt werden rund sechs Prozent der Gesamtkosten der IT für IT-Sicherheit ausgegeben.
Die Gesamtkosten der IT betragen im Durchschnitt 5 000 000 Mark.
Am häufigsten werden die Gesamtkosten der IT und der Anteil der IT-Sicherheit gepeilt und geschätzt, nicht exakt berechnet.
Zuständig
Feststellung 2:
Wirtschaftlichkeit als Beurteilungsgröße für Sicherheit spielt eine eher untergeordnete Rolle.
Bei über der Hälfte der Befragten ist das Topmanagement für die Wirtschaftlichkeit der IT-Sicherheit zuständig.
Bei etwa der Hälfte der Befragten ist der Leiter IT/DV in Personal-Union zuständig für die Wirtschaftlichkeit.
Der IT-Sicherheitsbeauftragte, der Leiter Organisation und die jeweilige Fachabteilung sind nur bei jeweils ein bis zwei der Befragten für die Wirtschaftlichkeit der IT-Sicherheit zuständig.
Bei keinem der Befragten sind der Datenschutzbeauftragte, die Administratoren, die IT/DV-Revision, die interne Revision, der Benutzerservice und Externe für die Wirtschaftlichkeit der IT-Sicherheit zuständig.
Nur bei einem Befragten wird bei Investitionen in IT-Sicherheit generell eine Wirtschaftlichkeitsrechnung gefordert beziehungsweise vorausgesetzt.
Von den anderen Befragten setzt die eine Hälfte keine Wirtschaftlichkeitsrechnung ein und die andere Hälfte nur für bestimmte Projekte.
Angeklickt
Was kostet es, wenn die Sicherheit von IT-Systemen mangelhaft ist?
Was kostet die Realisierung eines sicheren Systems?
Welchen Nutzen bringen Investitionen in IT-Sicherheit? Diese Fragen können in der Praxis heute nur selten, und auch dann meist nur ungenau beantwortet werden. Eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, geförderte Studie soll Licht ins Kostendunkel bringen.
*Professor Dr. Reinhard Voßbein ist Seniorpartner von UIMC in Wuppertal.