Stochastischer Return On Security Investment (ROSI)
In der <kes> 03/09 hatte ich einen Artikel zum Thema “Business-Case Information Security” veröffentlicht, der einen Überblick über typische Ansätze zur Wirtschaftlichkeitsanalyse von Security-Investitionen liefert. Ein weiterer vielversprechender Weg, der im Artikel keine Betrachtung gefunden hat, ist der Ansatz eines stochastische ROSI, wie ihn Prof. Dr. Rainer Rumpel u.a. im e-Journal Practical Business Research veröffentlicht (PDF-File) hat.
“Ein Problem des ursprünglichen Return-on-Security-Investment-Ansatzes ist, dass präzise Berechnungen auf Basis grober Schätzungen durchgeführt werden. Eines der typischen Probleme der Nutzenermittlung von Sicherheitsinvestitionen ist der Mangel an genauen Daten zu Sicherheitsvorfällen. Heutzutage gibt es verschiedene Verfeinerungen des Ansatzes zur ROSI-Ermittlung, die Statistik, Analysis und Spieltheorie verwenden. Kann der Mangel an Genauigkeit der Inputdaten durch eine geeignete Verfahrenswahl kompensiert werden? Um diese Frage zu beantworten, wird der Ansatz von Kevin J. Soo Hoo hinsichtlich seiner praktischen Anwendbarkeit an zwei Sicherheitsinvestmentszenarien deutscher Unternehmen geprüft. Es sind Ergebnisse erzielbar, die für den Einsatz in der Praxis geeignet sind”, heißt es im Abstract zur Veröffentlichung.
Der stochastische ROSI-Ansatz wird insbesondere der Tatsache gerecht, dass die Input-Daten bei der Risikoanalyse im Allgemeinen nicht genau sind: Dazu werden Verteilungsfunktionen verwendet und als Ergebnis ein statistisches Ergebnisspektrum ermittelt. Insbesondere die Literaturhinweise bieten einige weitere Vertiefungsmöglichkeiten zum Thema Business-Case Information Security.
