Studie zum ROI und Sicherheit

Software-Security rechnet sich

17.09.2010
Einer aktuellen Erhebung zufolge zahlen sich Investitionen in Sicherheit aus.

Wie viel Kosten können Unternehmen sparen, wenn ihre Software von Anfang an sicher und fehlerfrei ist? Dieser Frage ist das Analystenhaus Mainstay Partners nachgegangen. Es wurde von Fortify Software, Anbieter Sicherheitslösungen, beauftragt. Dennoch lohnt der Blick auf die Ergebnisse: Demnach sind jährliche Einsparungen von durchschnittlich rund zwei Millionen Euro (2,4 Millionen US-Dollar) möglich. Dabei unterstellt die Studie, dass sich Investitionen in Effizienz- und Produktivitätsverbesserungen lohnen, weil spätere Kosten und Schäden vermieden werden können. Zu den möglichen Verbesserungen gehören beispielsweise schnelleres, kostengünstigeres Auslesen von Codes und das Schließen von Sicherheitslücken bereits während der Softwareerstellung sowie optimierte Compliance- und Penetrationstests.

Im Rahmen der Studie wurden Führungskräfte von 17 weltweit agierenden Kunden von Fortify befragt, darunter Fortune-500-Unternehmen aus dem Finanzdienstleistungs- und Staatssektor. Mainstay analysierte die Ergebnisse und zog daraus den Schluss, dass die Unternehmen, bereits in der Softwareentstehung die IT-Sicherheit beachten, den größten Nutzen haben. Die analysierten Einsatzbeispiele waren unter anderem die Integration von Software-Sicherheitskontrollen und Best Practices in den gesamten Anwendungs-Entwicklungszyklus.

Die Studie von Mainstay zeigte außerdem, dass dazu die Unterstützung der IT-Leitung einschließlich des CIOy und der Leitung der Anwendungsentwicklung wichtig ist.

Weitere Effekte, die die Analysten beobachtet haben:

  • Reduzierung der Sicherheitslücken pro Anwendung von über 1.000 auf unter 100.

  • Senkung der durchschnittlichen Zeit zum Schließen von Sicherheitslücken von ein bis zwei Wochen auf ein bis zwei Stunden.

  • Rückgang des prozentualen Anteils erneut auftretender Sicherheitslücken von 80 auf 0 Prozent.

  • Senkung der Kosten für Compliance- und Penetrationstests von rund 500.000 auf 250.000 US-Dollar.

  • Schnellere Markteinführung von Produkten und Anwendungen, weil es weniger Sicherheitslücken gab. (jha)