3.5.2. Berechnung eines ROIs für Maßnahmen der Informationssicherheit

Der ROI ist zweifelsfrei eine anerkannte Kenngröße zur Beurteilung der Wirtschaftlichkeit einer Investition. Wie bereits dargestellt, gestaltet sich die Berechnung für Investitionen der Informations-Sicherheit nicht immer ganz einfach und ist von den spezifischen Bewertungen des Einzelfalls abhängig. Grundsätzlich kann jedoch stets der erwartete finanzielle Schaden bei Eintritt des zugrundeliegenden Risikos mit den Aufwänden für die Reduzierung der Eintrittswahrscheinlich in eine Relation gesetzt werden. Hierbei müssen praktikable Vergleichswerte oder historische Daten heran gezogen werden, die mit Augenmaß auf die aktuelle Situation des Unternehmens angepasst werden müssen. So ist z.B. der Verlust eines Web-Auftrittes für ein bestimmtes Produkt vor allem danach zu bewerten, wie lange auf diesen Service verzichtet werden kann. Falls der Webauftritt lediglich einen darstellenden, repräsentativen Charakter hat, kann auf diesen mit Sicherheit länger verzichtet werden als wenn es sich um einen Web-Shop mit B2B²⁰ oder B2C²¹ Kopplung handelt und ein Umsatzverlust droht. Dem entsprechend wurden die Maßnahmen und damit auch die Aufwände für risikoreduzierende Maßnahmen völlig anders ausfallen. Die Kalkulation des ROIs gestaltet sich wie folgt:

Zweifellos ist bei dieser Kalkulation die Modifikation der Eintrittswahrscheinlichkeit (Probability of Incident) durch die risikoreduzierende Maßnahmen (Mitigation Measure) der entscheidende Schritt. Neben Erfahrung ist hier der Vergleich verschiedener Szenarien zur Reduzierung des Risikos gängige Praxis (Kark, 2009).

Die hier dargestellte Kalkulation eines ROIs ist vor allem für Investitionen überzeugend, bei denen ein direkter Bezug zwischen Invest und Nutzen hergestellt werden kann. Je abstrakter die Investition oder der Nutzwert, desto „weicher“ wird der ROI des kalkulierten Business Cases.

²⁰ Die Bezeichnung business-to-business (Abkürzungen: B2B oder B- to-B) wird allgemein für Beziehungen zwischen mindestens zwei Unternehmen benutzt
²¹ Business-to-Consumer (abgekürzt B2C oder BtC) steht für Kommunikations- und Handelsbeziehungen zwischen Unternehmen und Privatpersonen (Konsumenten)