Return on Security Investments

Master-Studiengang Information Security

Dipl.-Ing. Florian Keck, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Es ist keine triviale Aufgabe, die investierte Menge Geld für einen Vermögenswert in eine Gleichung zu bringen, die dann direkt den Return on Investment ausgibt. Tritt zum Beispiel nach einer getätigten Investition in die Sicherheit einer Infrastruktur kein Sicherheitsvorfall mehr auf, ist es schwer, den Wert der Investition festzumachen. Auch wenn nach dem Kauf einer neuen Software oder Hardware kein sicherheitsrelevanter Vorfall mehr auftritt, kann dies entweder an der Investition liegen oder auch daran, dass kein Angriff auf das nun gut geschützte System mehr stattgefunden hat. AngreiferInnen neigen nämlich dazu, den einfachsten Weg zu wählen, und wenn dieser nun besser beschützt wird, versucht der/die AngreiferIn, einen neuen Weg zu finden.

Ziel

Diese Arbeit beschäftigt sich mit den Problemen bei der Berechnung eines Returns on Investment für sicherheitsrelevante Systeme und Informationen. Während die Anwendung dieser Methode in der Logistik keinesfalls neu ist, treten auf der anderen Seite einige Probleme auf, wenn sie für die Informationssicherheit angepasst werden sollen. Ein kurzer Einblick in die Abläufe und Annahmen ohne Fokus auf sicherheitsrelevante Technologien ist notwendig, um ein besseres Verständnis für die Schwierigkeiten des Forschungsthemas zu schaffen.

Ergebnis

Ein abgeleiteter Ansatz wurde entwickelt, um es Informations- und Vermögenswerteigentümern zu ermöglichen, einen ungefähren Return on Security Investment zu berechnen. Die abgeleitete Methode kann in fünf Teilschritte zusammengefasst werden. Der erste Schritt ist, den Wert aller Informations- und Vermögenswerte innerhalb des Unternehmens zu bewerten, um zu wissen, welche die wertvollsten sind. Danach muss sichergestellt werden, dass alle Angriffsvektoren und mögliche Bedrohungen bekannt, dokumentiert und ausgewertet sind. Wichtig ist zu erheben, welche Auswirkungen auf die Wirtschaftlichkeit der Organisation entstehen, sollte eine Information beschädigt werden oder verloren gehen – dies zu definieren ist Ziel des zweiten Schritts. Anschließend müssen die gesammelten Informationen der ersten beiden Schritte kombiniert werden, um eine Matrix zu befüllen, die die Schwachstellenbewertung, aufgeteilt in drei Kategorien von niedrig bis hoch, darstellt. Jetzt ist es möglich, den Return-on-Security-Investment-Wert zu berechnen, indem alle benötigten Informationen vorhanden sind und bestehende Gleichungen verwendet werden. Als letzten Schritt muss das Ergebnis der Berechnung analysiert werden, wie sich dies auf eine Information oder einen Vermögenswert auswirkt.