3.5.1. Komponenten und Wertbeitrag

Der erste Schritt bei der Berechnung eines BCs ist das Aufzeigen der potentialen Vorteile der Investition. Hierbei werden die einzelnen Komponenten, die einen Wertbeitrag liefern können, in verschiedene Kategorien eingeteilt. Abbildung 11 zeigt diese Einteilung in vier Kategorien. In dieser Darstellung ist der positive Beitrag der Maßnahmen zur Informationssicherheit entlang ihrer Belegbarkeit auf Basis von harten Faktoren geordnet. Während die unteren beiden Kategorien, in denen Maßnahmen zur Vermeidung von direkten und indirekten Ausfällen und Verlusten zusammen gefasst sind, welche in der Regel gut belegbar sind, sind die oberen beiden Kategorien, bei denen es um einen positiven Beitrag zum Entstehen von neuen Geschäften geht, eher schwieriger belegbar. So ergibt sich für die Investition von Abwehrmaßnahmen gegen z.B. „malicious code“,¹⁸ wie Firewalls oder Virenschutz, in der Regel innerhalb von zwölf Monaten ein positiver BC. Dieser Effekt ist auf eine Absenkung der „Total cost of ownership“ zurück zu führen (Troni, 2011). Demgegenüber ist ein positiver Beitrag für den Schutz von Forschungs- oder Marktforschungsergebnissen zahlenmäßig nur schwer darzustellen, wenngleich unstrittig vorhanden.

Beitrag der Informationssicherheit zum Geschäftserfolg." class="wp-image-10170 size-full" height="311" src="https://sgbs.ch/wp-content/uploads/Abbildung-11-Beitrag-der-Informationssicherheit-zum-Geschaftserfolg..png" width="554"> Abbildung 11: Beitrag der Informationssicherheit zum Geschäftserfolg.

Neben den in Abbildung 11 dargestellten Beiträgen ergeben sich im Konzernverbund eine Reihe von anderen weiteren indirekten Wertbeiträgen. Hierbei ist vor allem die direkte Unterstützung des im Konzern vorhandenen Rahmenwerkes zur Darstellung der Finance- Compliance, sowie der Beitrag zu Maßnahmen der Qualitätssicherung und der Beitrag zur pharmazeutischen Compliance zu nennen, wie diese auch durch staatliche chinesische Aufsichtsbehörden, wie die SFDA,¹⁹ eingefordert werden.

Zusammenfassend lässt sich sagen, dass der Wertbeitrag der IT-Security, wie dieser in Kapitel 3.2.3 definiert wurde, im Gegensatz zur Information Security deutlich einfacher darzustellen ist. Unstrittig ist auch, dass Information Security einen Beitrag zur IT-Compliance leistet (siehe Kapitel 3.4.1). Dieser besteht hier aus einer Minimierung des Risikos für Zwangsgelder, Vertragsstrafen, Umsatzausfällen aber auch Freiheitsstrafen und Imageschäden.

¹⁸ „malicious code“ = Sammelbegriff für Anwendungen, die einem Computer schaden sollen, wie Trojanische Pferde, Computerviren oder Computerwürmer.
¹⁹ SDA, heute State Food and Drug Administration, SFDA, http://eng.sfda.gov.cn/WS03/CL0755/