4. Der RoI von Security-Ausgaben lässt sich nicht bestimmen
Lacey: "Viele Leistungen können Sie mit Hilfe von Erfahrungswerten und Statistiken einschätzen, aber nicht alle sind messbar. Für noch ausstehende Leistungen haben Sie keine Garantie."
Schneier: "Es gibt viele Wege, den Return on Investment (RoI) Ihrer Sicherheitsaufwendungen zu messen. Leider sind alle unvollständig oder fehlerhaft. Das bedeutet aber nicht, dass wir es nicht wenigstens versuchen sollten."
Yeomans: "Der RoI ist in erster Linie für den Verkäufer wichtig, nicht für den Käufer. Die Vermeidung eines möglichen Lecks kann nicht als Gewinn verbucht werden; ansonsten wäre ich schon steinreich, wenn ich nie Lotto spiele! Andere Investitionen wiederum erzielen einen messbaren Profit wie den Anstieg von Kundenzahlen oder niedrigere Ausgaben. Dass wir mittlerweile feststellen können, wie sicher eine Online-Banking- oder eine Online-Shopping-Site ist, hat einen positiven Effekt auf diese Angebote. Ihr Einsatz durch die Kunden nimmt zu, die Anbieter freuen sich. Im Gegenzug haben sie höhere Ausgaben, weil es gewisse Sicherheitsstandards einzuhalten gilt, damit die Kunden nicht abwandern."
Pescatore: "Es gibt viele Wege, den Sicherheits-RoI zu ermitteln, in den seltensten Fällen hat das jedoch wirtschaftlich Sinn. Haben Sie schon einmal einen CEO gesehen, der sich nach dem RoI der Türschlösser oder des Daches Ihrer Unternehmenszentrale erkundigt? Es geht darum, das Thema Security in die Geschäftsanforderungen einzubinden - das bestimmt den ROI."