Sie finden hier den "Appetizer" und den Link zu einem Artikel in der KES. Der Autor Michael Phan ist
Datenschutzbeauftragter beim civitec:
 

Schäden im IT-Umfeld sind meist nicht-linear und beschränkt – die übliche einfache Risikoformel
passt dazu nicht. Wer mehr Aufwand betreibt, um potenzielle Schäden zu modellieren,
hat bessere Möglichkeiten, sein Risikomanagement sinnvoll zu begrenzen.

Wer sich mit Informationssicherheit beschäftigt, befasst sich automatisch auch mit der Frage nach Risiko und Höhe eines möglichen Schadens – wobei dies meist den zu erwartenden Kosten einer Maßnahme zur Schadensvermeidung oder -begrenzung gegenübergestellt wird (Return on Security Investment – ROSI). Dabei ist
das ROSI-Prinzip an sich schon fragwürdig, was man spätestens erkennt, wenn man die Investitionen in die Informationssicherheit mit einer Feuerlöschanlage vergleicht:

Niemand würde schließlich je auf einen Brand hoffen, nur damit sich die getätigte Investition irgendwann „rechnet“, während man bei der Informationssicherheit durchaus eine konkrete Anzahl vermiedener Angriffe erwartet.

Diese Erwartungshaltung ist umso mehr ein Grund, sich der Kostenfrage anzunehmen – nicht nur
unter dem Aspekt der Kostensenkung, sondern auch hinsichtlich einer optimierten Ressourcenallokation beim Abschließen von Service-Level-Agreements (SLAs)...

Weiter lesen: <kes> – Die Zeitschrift für Informations-Sicherheit - Jahrgang 2015

WK