Wie sich Security-Ausgaben rechnen

Vierfache Kosten, 81 Prozent Risiko

Dieses Potpourri an absoluten Zahlen ergibt indes laut Aberdeen kein seriöses Bild. In den Mittelpunkt ihrer Bewertung des geschäftlichen Nutzens von Security-Investitionen und Risikoakzeptanz rücken die Analysten deshalb einen simplen Framework: im Zähler die jährlichen Gesamtkosten der vermiedenen Security-bezogenen Vorfälle, im Nenner die Summe aus jährlichen Kosten der nicht vermiedenen Vorfälle und jährlichen Ausgaben für IT-Sicherheits-Initiativen. Innerhalb dieses Dreisatzes machten sich Verbesserungen der Effizienz und der Effektivität positiv bemerkbar.

Auf Basis dieses Frameworks leitet Aberdeen eine Reihe von Indikatoren ab, die die Lage in den drei betrachteten Gruppen ins richtige Verhältnis setzen. Die Ausgaben werden dabei vor allem relativ zum Jahresumsatz betrachtet. Es zeigt sich, dass die reinen Firewall-Unternehmen effektiv ein Sicherheitsrisiko von 81 Prozent akzeptieren, die beiden anderen Gruppen indes nur jeweils 58 Prozent.

Am wirtschaftlichsten gehen wie erwartet die Klassenbesten vor. Die breit aufgestellten Firmen geben relativ gesehen 1,3mal so viel wie die Top-Firmen für ihre IT-Sicherheit aus, die Firewall-Puristen sogar vier Mal so viel. Dafür nehmen sie ungleich höhere Kosten durch Vorfälle in Kauf.

"Aberdeens Analyse bestätigt die vorherrschende Erkenntnis, dass alleine auf Firewalls basierende Netzwerksicherheit nicht ausreicht", lautet das Fazit der Studie. "Network-Security-Initiativen sollten in allen Firmen einem umfassenderen Defense-In-Depth-Ansatz folgen, um Betriebssysteme, Netzwerke, Anwendungen und Daten zu schützen." Die Studie "Network Security: Firewalls Alone are Not Enough" ist bei Aberdeen erhältlich. (mje)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO.de.