3.5.4. Darstellung des Kosten-Nutzen - Aufwandes

Beim Management von Risiken der Informationssicherheit geht es um die Reduzierung der Eintrittswahrscheinlichkeit für einen Schadensfall oder um eine Minderung der Schadenshöhe durch Transfer (siehe Kapitel 3.4.2). Hierbei werden durch beide Maßnahmen die Risikoverteilung verändert, d.h. die Anzahl von signifikanten Risiken kleiner. Alternativ können Risiken, vor allem die mit geringerer Schadenshöhe, durch Vorsorge, Rücklagen und Heranziehen von Eigenkapital, abdeckt werden. Dem gegenüber steht der Umstand, dass sehr seltene, aber unter Umständen existentielle Risiken, wie Naturgewalten, Kriege etc. in Kauf genommen werden müssen, da kaum vernünftige vorbeugenden Maßnahmen ergriffen werden können. Hier schließt sich an das Risiko-Management das Krisen-Management an (Witty & Morency, 2011).

Aus der Möglichkeit Risikodeckung über das Eigenkapital zu steuern leitet sich die Notwendigkeit ab, Kosten und Nutzen von Schutzmaßnahmen gegenüber zustellen. So ist das weitere Optimieren bereits gut behandelter Risiken ein ineffizienter Einsatz von Ressourcen. Auf der anderen Seite muss aber sichergestellt werden, das die Höhe der Verluste bei Eintritt eines Schadens sich auf einem akzeptablen Niveau bewegen. Deshalb sind potentielle Verluste und Vorsorgekosten stets gegeneinander abzuwägen. Abbildung 13 zeigt die Funktionen der Vorsorgekosten und der Schadenshöhe gegen die Eintrittswahrscheinlichkeit des Risikos. Das Ziel des Risiko-Managements muss es stets sein, den optimalen Kostenpunkt zu erreichen, an dem die Aufwände für Risiko minimierende Maßnahmen in einem optimalen Verhältnis zur Reduzierung des möglichen Schadens stehen.

Abbildung 13: Kosten-Nutzen - Relation für die Risiko - minimierende Maßnahmen

Dem folgend bedeutet das Management von Informationsrisiken nicht das Minimieren aller Risiken auf den geringstmöglichen Wert. Trifft man keine Vorsorgemaßnahmen, entstehen keine Vorsorgekosten, allerdings steigt der zu erwartende Schaden auf den Unternehmenswert an. Versucht man anderseits das Risiko auf einen Wert von null zu reduzieren, also jegliches Risiko zu verhindern, stößt man auf exponentiell steigende Kosten, die sich zu unendlicher Größe summieren, da jedes nahezu undenkbare Szenario durch entsprechende Maßnahmen verhindert werden muss. Der optimale Weg liegt zwischen den beiden Extremen. Da die Kosten für das Unternehmen sich sowohl auf den entstandenen Schaden aufgrund nicht verminderter Risiken beziehen, als auch auf Vorsorgekosten, die nötig sind, um Risiken zu minimieren, ergibt sich sowohl für die Gesamtheit des Unternehmens, als auch dir jedes Untergebiet oder Einzelmaßnahme ein Optimum an Vorsorgeaufwand. Die Methoden der Vorsorge können sowohl organisatorischer als auch technischer Natur sein.