Zusammenfassung
Das vorgestellte Modell dient zur Entscheidungsunterstützung über die Durchführung von IT-Sicherheitsmaßnahmen und wird von einem führenden, internationalen Finanzdienstleister bereits eingesetzt. IT-Sicherheitsmaßnahmen werden dazu auf Basis der Kapitalwertmethode unter Berücksichtigung der Reduktion der erwarteten Schäden und der Reduktion der Opportunitätskosten einer Eigenkapitalunterlegung für unerwartete Schäden in Form von Einzahlungen, sowie anhand der Anfangsinvestition und den zusätzlichen laufenden Kosten für Betrieb und Wartung in Form von Auszahlungen bewertet. Darüber hinaus wird — unter der Annahme von periodig steigenden erwarteten und unerwarteten Schäden sowie einer periodig sinkenden Anfangsinvestition — die Vorteilhaftigkeit von IT-Sicherheitsmaßnahmen zu unterschiedlichen Zeitpunkten untersucht und daraus der optimale Investitionszeitpunkt ermittelt. Schließlich werden Auswirkungen von Risikobzw. Budgetlimiten untersucht.
Summary
The model presented serves to support decisions on the implementation of IT security measures and is already deployed at a leading international financial services company. IT security investments are analysed using the net present value method taking account of the reduction in expected losses and the reduction in opportunity costs of capital charge for unexpected losses in the form of cash inflows. The analysis is also performed on the basis of the initial investment amount and the additional recurring maintenance and running costs in the form of cash outflows. Assuming that expected as well as unexpected losses periodically increase and the investment amount periodically decreases, the effectiveness of IT security investments at various investment dates is examined and the optimal investment date determined. Finally, the impacts of risk limits and budget limits are evaluated.
Article PDF
Avoid common mistakes on your manuscript.
Literatur
Alexander, C. (2003): Statistical models of operational loss, in: Alexander, C. (Hrsg.): Operational Risk — Regulation, Analysis and Management, Prentice Hall, London.
Anders, U. (2001): Qualitative Anforderungen an das Management operativer Risiken, in: Die Bank, Nr. 5.
Basel Committee on Banking Supervision (2003): The 2002 Loss Data Collection Exercise for Operational Risk: Summary of the Data collected, http://www.bis.org/bcbs/qis/ldce2002.pdf. Abruf am: 2005-03-04.
Basel Committee on Banking Supervision (2001): Working Paper on the Regulatory Treatment of Operational Risk, http://www.bis.org/publ/bcbs_wp8.pdf. Abruf am: 2005-03-05.
Beeck, H./ Kaiser, T. (2000): Quantifizierung von Operational Risk, in: Johannig, L./ Rudolph, B. (Hrsg.): Handbuch Risikomanagement Band 2. Uhlenbruch Verlag, Bad Soden/Ts., S. 633–654.
Brauers, J./ Weber, M. (1986): Szenarioanalyse als Hilfsmittel der strategischen Planung: Methodenvergleich und Darstellung einer neuen Methode, in: Zeitschrift für Betriebswirtschaft, 56. Jg, H. 7, S. 631–652.
Brink, J. van den (2000): Operational Risk: Wie Banken das Betriebsrisiko beherrschen. Dissertation, St. Gallen.
Buhr, R. (2000): Messung von Betriebsrisiken — ein methodischer Ansatz, in: Die Bank, Nr. 3, S. 202–206.
Bundesamt für Sicherheit in der Informationstechnik (BSI) (2006): IT-Grundschutzhandbuch, http://www.bsi.de/gshb/deutsch/index.htm, Abruf am 2006-03-03.
CERT (2005): CERT/CC Statistics 1988–2005, http://www.cert.org/stats/#vulnerabilities, Abruf am 2005-11-30.
Chavez-Demoulin, V./ Embrechts, P./ Neslehová, J. (2005): Quantitative Models for Operational Risk: Extremes, Dependence and Aggregation, http://www.math.ethz.ch/%7Ebaltes/ftp/manuscript_cen.pdf. Abruf am: 2005-03-03.
Cruz, M.G. (2002): Modeling, Measuring and Hedging Operational Risk. John Wiley & Sons.
Ebnöther, S./ Vanini, P./ McNeil, A./ Antolinez-Fehr, P. (2001): Modelling Operational Risk, http://www.math.ethz.ch/:_mcneil/ftp/operational.pdf. Abruf am: 2005-03-03.
Eckert, C. (2004): IT-Sicherheit: Konzepte, Verfahren, Kontrolle. Oldenbourg Verlag, München.
Eller, R./ Gruber, W./ Reif, M. (2002): Handbuch Operationelle Risiken. Schäffer-Poeschel Verlag, Stuttgart.
Faisst, U. (2004): Ein Modell zur Steuerung operationeller Risiken in IT-unterstützten Bankprozessen, in: Banking and Information Technologie (BIT) — Sonderheft zur Multikonferenz Wirtschaftsinformatik 2004 in Essen, 1, S. 35–50.
Faisst, U./ Kovacs, M. (2003): Quantifizierung operationeller Risiken — ein Methodenvergleich in: Die Bank, Nr. 5, S. 342–349.
Faisst, U./ Prokein, O. (2005): An Optimization Model for the Management of Security Risks in Banking Companies, in: Müller, G., Lin, K.-J. (Hrsg.): Proceedings of the 7th IEEE International Conference on E-Commerce Technology (CEC) 2005, München, Juli 2005, IEEE Computer Society Press, Los Alamitos, CA, 2005, S. 266–273.
Fontnouvelle, P. de/ DeJesus-Rueff, V./ Jordan, J./ Rosengren, E. de (2003): Using Loss Data to Quantify Operational Risk, http://www.bis.org/bcbs/events/wkshop0303/p04deforose.pdf. Abruf am: 2006-03-03.
Fontnouvelle, P./ Rosengren, E. de (2004): Implications of Alternative Operational Risk Modeling Techniques, http://www.nber.org/books/risk/deFontnouvelle-jordan3-22-5.pdf. Abruf am: 2005-03-03.
Franke, G./ Hax, H. (2003): Finanzwirtschaft des Unternehmens und Kapitalmarkt, 5. Auflage, Springer Verlag, Berlin et al.
Füser, K./ Rödel, K./ Kang, D. (2002): Identifizierung und Quantifizierung von „Operational Risk“, in: FinanzBetrieb, Nr. 9, S. 495–502.
Gordon, L./ Loeb, M. (2006): Budgeting Process for Information Security Expenditures, in: Communications of the ACM, Vol. 49, No. 1, S. 121–125.
Gordon, L./ Loeb, M. (2002): The Economics of Information Security Investment, in: ACM Transactions on Information Systems and Security, Vol. 5, No. 4, S. 438–457.
Gordon, L./ Loeb, M./ Lucyshyn, W./ Richardson, R. (2005): 2005 CSI/FBI Computer Crime and Security Survey, http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2005.pdf, Abruf am 2005-10-24.
Grzebiela, T. (2002): Internet-Risiken: Versicherbarkeit und Alternativer Risikotransfer. Deutscher Universitätsverlag, Wiesbaden.
Hölscher, R. (2002): Von der Versicherung zur integrativen Risikobewältigung: Die Konzeption eines modernen Risikomanagements, in: Hölscher, R./ Elfgen, R.: Herausforderung Risikomanagement, Gabler-Verlag, Wiesbaden, S. 3–31.
Hoffman, D.G. (2002): Managing Operational Risk. John Wiley & Sons.
Hostettler, S. (1997): Das Konzept des Economic Value Added (EVA), Paul Haupt Verlag, Bern.
Jörg, M. (2002): Operational Risk — Herausforderung bei der Implementierung von Basel II. Diskussionsbeiträge zur Bankbetriebslehre, Hochschule für Bankwirtschaft, Frankfurt.
Kappler, E./ Rehkugler, H. (1991): Kapitalwirtschaft, in: Heine, E. (Hrsg.): Industriebetriebslehre. 9. Auflage, Gabler-Verlag, Wiesbaden, S. 897–1068.
Locarek-Junge, H./ Hengmith, L. (2003): Management des operationellen Risikos der Informationswirtschaft in Banken, in: Geyer-Schulz, A./ Taudes, A. (Hrsg.): Informationswirtschaft: Ein Sektor mit Zukunft — Symposium. GI-Edition Lecture Notes in Informatics, Wien, September 2003. Band, Köllen Druck + Verlag, Bonn.
Marshall, C.L. (2001): Measuring and Managing Operational Risk in Financial Institutions. John Wiley & Sons.
Müller, G./ Rannenberg, K. (1999): Multilateral Security in Communications, Vol. 3: Technology, Infrastructure, Economy, Addison-Wesley-Longman, New York.
Müller, G./ Eymann, T./ Kreutzer, M. (2003): Telematik- und Kommunikationssysteme in der vernetzten Wirtschaft. Oldenbourg Verlag, München.
Perridon, L./ Steiner, M. (2002): Finanzwirtschaft der Unternehmung, 11. Auflage, Verlag Vahlen, München.
Peter, A./ Vogt, H.-J./ Kraß, V. (2000): Management operationeller Risiken bei Finanzdienstleister, in: Johannig, L./ Rudolph, B. (Hrsg.): Handbuch Risikomanagement Band 2. Uhlenbruch Verlag, Bad Soden/Ts., S. 655–677.
Piaz, J.-M. (2001): Operational Risk Management bei Banken, Versus Verlag, Zürich.
Rannenberg, K. (1998): Zertifizierung Mehrseitiger Sicherheit: Kriterien und organisatorische Rahmenbedingungen, Vieweg-Verlag, Braunschweig, Wiesbaden.
Schierenbeck, H. (2001): Ertragsorientiertes Bankmanagement — Band 2: Risiko-Controlling und integrierte Rendite-/Risikosteuerung. 7. Aufl., Gabler-Verlag, Wiesbaden.
Schneier, B. (2001): Secrets & Lies. IT-Sicherheit in der vernetzten Welt. dpunkt-Verlag GmbH, Heidelberg.
Sonnenreich, W. (2005): Return On Security Investment (ROSI): A Practical Quantitative Model, http://www.infosecwriters.com/text_resources/pdf/ROSI-Practical_Model.pdf, Abruf am 2005-10-24.
Spahr, R. (2001): Steuerung operationeller Risiken im Electronic und Investment Banking, in: Die Bank, Nr. 9.
Tödtmann, C. (2005): Wo Vorstand draufsteht, ist Haftung drin, in: Handelsblatt vom 18.12.2005, Rubrik Karriere & Management, S. 6.
Wiedemann, A. (2004): Risikotriade Zins-, Kredit- und operationelle Risiken. Bankakademie Verlag, Frankfurt.
Willinsky, C. (2001): Wert- und risikoorientierte Steuerung dezentraler Einheiten von Banken, Botermann & Botermann Verlag, Köln.
Author information
Authors and Affiliations
Rights and permissions
About this article
Cite this article
Von Faisst, U., Prokein, O. & Wegmann, N. Ein Modell zur dynamischen Investitionsrechnung von IT-Sicherheitsmaßnahmen. Z. Betriebswirtsch 77, 511–538 (2007). https://doi.org/10.1007/s11573-007-0039-y
Received:
Published:
Issue Date:
DOI: https://doi.org/10.1007/s11573-007-0039-y