Der Return of Investment ist im Marketing zum Beispiel lange schon ein etablierter Begriff. Beim Return of Security Investment (kurz RoSI) handelt es sich um eine entsprechende Spezifikation, die als Wegweiser und Entscheidungshilfe im Kaufprozess dienen soll. Allerdings gibt es dabei einiges mehr zu beachten als simple Mathematik.

Was der RoSI ist

Das Verfahren Return of Security Investment basiert auf der Methodik von allgemeinem Return of Investment und Total Cost of Ownership. Daraus soll sich eine Entscheidungshilfe für IT-basierte Investitionen und die Planung eines entsprechenden Budgets. Geht es jedoch um größere, langfristige und präventive Investitionen und Maßnahmen, ist das Verfahren eher ungeeignet. Damit es einen echten Mehrwert bringt, sollten alle Methoden und Prozesse im Detail erfasst und beschrieben werden.

Den Unternehmen fehlt es immer noch an Experten

Daten und digitales Wissen sind für viele Unternehmen heute von ebenso unschätzbarem Wert geworden, wie ihn vor einigen Jahren nur das Bankkonto hatte. Digitales Wissen bestimmt heute sogar maßgeblich über den Unternehmenswert und die Wettbewerbsfähigkeit mit. Daten angemessen zu sichern ist eine neue, große Herausforderung unserer Zeit. Studien kann man entnehmen, dass in Unternehmen und Behörden immer mehr Geld in Cybersecurity investiert wird.  Traut man den Informationen, zeichnet sich allerdings auch ab, dass es auch in großen Konzernen meist noch keine interne und professionelle Kostenstelle für IT-basierte Investitionen gibt. So wird eine abschließende Analyse in Form von Controlling und Reporting der Investition erschwert, wenn nicht gar verhindert.

Der RoSI als Entscheidungshilfe für Unternehmer

Genau an dieser Problematik soll das Verfahren anknüpfen: Ausgehend von den etablierten Konzepten des Return of Investments und des Total Cost of Ownership soll bei der Entscheidung für oder gegen Investitionen und bei der Budgetplanung unterstützt werden. Wichtig ist an dieser Stelle dafür zu sensibilisieren, dass IT-Investitionen in aller Regel präventiv getätigt werden. Das bedeutet, dass sich die Ermittlung von konkreten Messzahlen schwierig gestalten kann. Als allgemeine Faustregel kann man jedoch festhalten, dass die Investition natürlich in keinem Fall höher ausfallen darf, als der zu erwartende Schaden, wenn diese nicht getätigt wird. Natürlich sind dem aber auch IT-basierte Investments möglich, die die laufenden Kosten kurzfristig senken und sich so positiv auf die Wirtschaftlichkeit eines Unternehmens auswirken können. Ein Beispiel dafür wäre das Single-Sign-On (SSO). Man kann also zusammenfassen, dass man Investitionen in die langfristige Sicherheit und IT-Investitionen in die Wirtschaftlichkeit eines Unternehmens nicht in einen Topf werfen kann.

Wo der RoSI nicht anwendbar ist

Bei der Investition in langfristige und funktionelle Sicherheitsmaßnahmen in die IT-Infrastruktur eines Unternehmens handelt es sich offenbar um Präventionsmaßnahmen. Von Natur aus ist es nicht möglich, die Rentabilität von präventiven Maßnahmen 100%ig einzuordnen: Es kann sein, dass nie ein Schadensfall eintritt, genauso wie es hingegen möglich wäre, dass es schon nächste Woche zu einem Schaden in Millionenhöhe kommt. Hier kann der RoSI in keinem Fall als qualifizierte Entscheidungshilfe dienen. Anstatt in Controller sollte man hier besser in Spezialisten investieren, die eine fachmännische Einschätzung des Risikos vornehmen. Hierzu multipliziert man die Eintrittswahrscheinlichkeit mit dem möglichen Ausmaß. Obwohl große IT-Investitionen meist schwerer planbar sind als andere, muss ihnen trotzdem eine enorme Priorität eingeräumt werden.

Wobei der RoSI helfen kann

Überall dort, wo Prozesse und Methoden klar identifiziert und benannt werden können, ist der RoSI anwendbar. Hierzu zählen vor allem Investitionen, die eine Verbesserung der Wirtschaftlichkeit zum Ziel haben. Das können im Konkreten Dinge wie Zeiteinsparungen im System sein.