In publica commoda

Presseinformation: Welche Kosten verursachen IT-Sicherheitsmaßnahmen im Geschäftsalltag?

Nr. 78 - 26.05.2021

Forschungsprojekt unter Leitung der Universität Göttingen entwickelt Bewertungsmethode für Unternehmen


(pug) Wie können Unternehmen bewerten, ob spezielle Maßnahmen ihre IT-Sicherheit erhöhen und welche Kosten auf sie zukommen? Diesen Fragen widmen sich Forscherinnen und Forscher im Verbundprojekt „Prozessorientierte wirtschaftliche Bewertung und Auswahl von IT-Sicherheitsmaßnahmen“ (ProBITS) unter Leitung der Universität Göttingen. Das Bundesministerium für Bildung und Forschung (BMBF) fördert das Projekt drei Jahre lang mit insgesamt rund 1,4 Millionen Euro.

 

Aufgrund der sich ständig wandelnden Bedrohungslage, beispielsweise durch Cyberangriffe und neue gesetzliche Anforderungen, sind Unternehmen zunehmend gefordert, komplexe Bündel aus IT-Sicherheitsmaßnahmen (ITS-Maßnahmen) umzusetzen. „In der Praxis sehen wir, dass es nicht nur kostspielig ist, solche Maßnahmen umzusetzen. Vielmehr ist zu beobachten, dass ITS-Maßnahmen maßgeblich den Geschäftsalltag beeinflussen. Sie können  dazu führen, dass Geschäftsprozesse länger dauern und höhere Kosten verursachen. Zudem können sie Geschäftsprozesse komplexer und somit unflexibler machen, wenn sie angepasst werden müssen“, erklärt Prof. Dr. Simon Trang, Juniorprofessur für Informationssicherheit und Compliance an der Universität Göttingen. Klassische Bewertungsmodelle der Investitionskostenrechnung, wie beispielsweise der Return on Security Invest, greifen zu kurz, wenn es darum geht, auch die nicht-monetären Auswirkungen von ITS-Maßnahmen zu bewerten. Zudem verfügen Unternehmen häufig nicht über entsprechende Daten, wie häufig sie überhaupt Cyberangriffen ausgesetzt sind und wie hoch die durchschnittliche Schadenshöhe bei einem Angriff ist. „In kleinen und mittleren Unternehmen gibt es meist keinen eigenen ITS-Beschäftigten, häufig mangelt es an Anwendungswissen bezüglich der IT-Sicherheit“, so Trang.

 

Das Team von ProBITS will eine skalierbare Methode entwickeln, mit der Unternehmen die ITS-Maßnahmen wirtschaftlich bewerten und auswählen können. Dabei soll der Geschäftsprozess im Fokus stehen: „Unternehmen sollen die Auswirkungen auf den Prozess, die bislang kaum kalkulierbar sind, in ihre Bewertung miteinbeziehen können“, sagt Trang. „Wir wollen die Barrieren bei der Einführung und Nutzung von ITS-Maßnahmen aufspüren und mögliche Hemmnisse abbauen. Das Projekt leistet somit einen wesentlichen Beitrag, um die IT-Sicherheit zu erhöhen und gleichzeitig ökonomische Kriterien nicht außer Acht zu lassen.“ 

 

Partner im Projekt ProBITS sind die Universität Halle-Wittenberg, die msu solutions GmbH und die Rezeptprüfstelle Duderstadt GmbH. Im Rahmen des Teilprojektes „ProBITS einfach gemacht“ übernimmt die Universität Göttingen die Gesamtsteuerung für die Entwicklung der ProBITS-Methode. Der inhaltliche Fokus liegt darauf, Hürden bei der Einführung von ITS-Maßnahmen aufzuspüren und Unternehmen dabei zu unterstützen, die ProBITS-Methode bei sich einzuführen. Das BMBF fördert das Teilprojekt mit rund 486.000 Euro.

 

Kontakt:

Prof. Dr. Simon Trang

Georg-August-Universität Göttingen

Juniorprofessur für Informationssicherheit und Compliance

Platz der Göttinger Sieben 5, 37077 Göttingen

Telefon: 0551 39 29723

E-Mail:  simon.trang@wiwi.uni-goettingen.de