3.5. Darstellung des Nutzens von Informationssicherheit

Die Ausgaben für IT-Sicherheit in Unternehmen sind im Laufe der letzten Jahre stetig angestiegen und erreichen mit einem Anteil von 10,5% am Gesamtbudget der Ausgaben für IT für das Jahr 2011 ein neues Hoch (Pingree, Ahlm, & Contu, 2011). Der Anteil am Gesamtbudget der IT-Kosten ist innerhalb einzelner Branchen relativ konstant, während er zwischen den Branchen stark divergiert. In jedem Fall steigt die Notwendigkeit, die Ausgaben für Informationssicherheit, die traditionell nicht als wertschaffende Ausgaben gelten, gegenüber anderen konkurrierenden Ausgaben zu rechtfertigen. Hierbei erweist sich der Hinweis auf die pure Schutzfunktion vor externen und internen Bedrohungen, dem allgemeinen „Angst- und Unsicherheitsfaktor“, als ein wenig nützliches Argument. Wenn Informationsrisiken quantitativ und damit letztendlich auch monetär bewertet werden können, muss eine Bewertung der Investitionen für Maßnahmen des Informations-Schutzes auch in Form eines Business Cases (BCs) möglich sein.

Die Kalkulation für einen Business Case basiert häufig auf einer Kombination von harten und weichen Fakten. Während die harten Fakten auf Daten und Zahlen beruhen, stehen hinter den weichen Faktoren häufig eine Reihe von Abschätzungen und Annahmen. Im Gegensatz zu Kalkulationen in anderen Bereichen dominieren bei der Berechnung eines BCs für Informationssicherheit die weichen Faktoren. Dies liegt vor allem daran, dass Daten zum Eintritt und seines Entdeckung abgeschätzt werden müssen.