Prozessorientierte wirtschaftliche Bewertung und Auswahl von IT-Sicherheitsmaßnahmen
Aufgrund der steigenden Bedrohung durch Cyberangriffe und neuer gesetzlicher Anforderungen sind Unternehmen gefordert, komplexe Bündel aus IT-Sicherheitsmaßnahmen (ITS-Maßnahmen) umzusetzen. Da sich Unternehmen zwischen verschiedenen ITS-Maßnahmen entscheiden müssen, wird deren sachgerechte Bewertung zur zentralen Herausforderung. Bei der Bewertung sind nicht nur die Investitions- und Betriebskosten maßgeblich. Vielmehr haben ITS-Maßnahmen einen weitreichenden Einfluss auf die Geschäftsprozesse, da sie u. a. die Prozesskomplexität, -flexibilität und -produktivität beeinflussen. “Klassische” Bewertungsansätze der Investitionskostenrechnung, wie der Return on Security Investment, stoßen schnell an ihre Grenzen, wenn es um die Auswirkungen auf die Prozesse geht.
Im Projekt „Prozessorientierte wirtschaftliche Bewertung und Auswahl von IT-Sicherheitsmaßnahmen“ (ProBITS) wird ein innovativer Ansatz erforscht, der zukünftig eine prozessorientierte Bewertung von ITS-Maßnahmen ermöglicht. Den Kern bildet ein multikriterielles Entscheidungsmodell, mit dem sich ITS-Maßnahmen im Hinblick auf die Unternehmensprozesse erfassen, bewerten und anhand von ökonomischen Zielgrößen auswählen lassen. Darüber hinaus sind weitere Unterstützungsleistungen geplant: Es wird eine erweiterte Prozessmodellierungssprache entwickelt, welche die Wechselwirkungen zwischen ITS-Maßnahmen und Unternehmensprozessen berücksichtigt. Ein entsprechendes Vorgehensmodell zur Einführung und Umsetzung von ITS-Maßnahmen erlaubt eine adäquate Skalierung, die auch den Unternehmensanforderungen von KMU gerecht wird. Schließlich kann mit Hilfe des entwickelten IT-Werkzeugs eine effiziente Bewertung und Auswahl angemessener ITS-Maßnahmen erfolgen. Die Effektivität des Bewertungsansatzes wird in zwei Demonstratoren gezeigt: Zunächst wird der entwickelte, prozessorientierte Ansatz mit klassischen Methoden verglichen. Anschließend wird die Anwendbarkeit des Ansatzes in den Domänen Gesundheit und Smart Meter erprobt.
Bisher können ökonomische Gesichtspunkte bei der Auswahl von ITS-Maßnahmen kaum betrachtet werden, da umfassende Modelle für die Bewertung weitgehend fehlen. Mithilfe der Projektergebnisse können Unternehmen Auswirkungen auf die Geschäftsprozesse in ihre ökonomische Bewertung der ITS-Maßnahmen miteinbeziehen, die bislang kaum kalkulierbar sind. Die Analyse von Adoptions- und Nutzungsbarrieren ermöglicht es, eventuelle Ursachen für bestehende Hemmnisse bei der Umsetzung von ITS-Maßnahmen zu identifizieren und entsprechende Unterstützung anzubieten. Das Projekt leistet somit einen wesentlichen Beitrag, um die IT-Sicherheit zu erhöhen und gleichzeitig ökonomische Kriterien nicht außer Acht zu lassen. Davon profitieren Unternehmen im Allgemeinen und KMU im Besonderen.