QUANTSEC - Ein Modell zur Nutzenquantifizierung von IT-Sicherheitsmaßnahmen

Authors

Golriz Chehrazi
Christopher Schmitz
Oliver Hinz

Abstract

IT-Sicherheitsmaßnahmen unterstützen den sicheren Software-Entwicklungsprozess und tragen zur Reduktion von Angriffen und Schwachstellen bei. Art und Ausmaß einzusetzender Sicherheitsmaßnahmen beruhen in der Regel auf ökonomischen Kosten-Nutzen-Abwägungen. In dieser Arbeit wird ein generisches kennzahlenbasiertes Modell zur ökonomischen Wirkungsanalyse implementierter Sicherheitsmaßnahmen vorgestellt. Dazu werden technische und ökonomische Wirkungszusammenhänge und zugehörige, objektiv messbare Kennzahlen, wie z.B. Erkennungs- und Korrekturzeiten sowie Ursachenklassen, erarbeitet. Das Wissen um Wirkungszusammenhänge ermöglicht Analysen zur Messung des Nutzens implementierter Sicherheitsmaßnahmen. Der Einsatz des Modells wird exemplarisch anhand von Maßnahmen der Bedrohungsanalyse illustriert. Mit Hilfe statistischer Methoden können die Auswirkungen von Sicherheitsmaßnahmen und deren Nutzen quantifiziert werden. Das Modell, der Nutzen und die praktische Anwendbarkeit werden in sechs Experteninterviews diskutiert.

Recommended Citation

Chehrazi, Golriz; Schmitz, Christopher; and Hinz, Oliver, "QUANTSEC - Ein Modell zur Nutzenquantifizierung von IT-Sicherheitsmaßnahmen" (2015). Wirtschaftsinformatik Proceedings 2015. 76.
https://aisel.aisnet.org/wi2015/76