Basic HTML-Version
CM Controller magazin 6/04 - Andreas Gadatsch / Hubert Uebelacker
hoch
Keturn
on
Investment
niedrig
Kostensenkende
IT-Projekte mit
geringer Wirkung auf
die Unternelimensstrategie
Kostensenkende und
wertsteigernde
IT-Projekte
IT-Projekte mit geringer
Kostenwirkung und
Wirkung auf die Unter-
neliniensstrategie
Wertsteigernde IT-Projekte
mit geringem ROI
niedrig
Beitrag zur Unterstützung der
Untemehmensstrategie
hoch
Abb. 2: Nutzen- und strategieorientiertes
IT-Portfolio
wird jedoch selten nach dem Rol eines
Desaster Recovery Konzepts^ - oder
Virenschutz-Projekts
- gefragt, solange
die Schutzmaßnahmen noch nicht eta–
bliert waren. Wurde die Lösung bereits
implementiert, kann durch einen „Tech–
nologie Refresh"^ mit entsprechend re–
duzierten Betriebskosten durchaus ein
positiver Rol realisiert werden. Nur der
bloße Einsatz eines Backupsystems zur
Risikominimierung im Schadensfall führt
nicht zwangsläufig zu geringeren Total
Costs of Ownership (TCO) der Infor–
mationstechnik.
Was also bewegt Unternehmen, in IT
Security-Projekte zu investieren? In der
Regel führen sie eine Risikoabwägung
durch.
Risiko kann als Produkt einer
potenziellen Schadenshöhe und sei–
ner Eintrittswahrscheinlichkeit
definiert
werden. Entweder trägt das Unterneh–
men das erkannte Risiko und unternimmt
nichts weiter oder es hält das Risiko für
untragbar und wird aktiv, z. B. durch
•Installation einer Virenschutzsoftware.
Die Versicherungswirtschaft kennt diese
Verhaltensweise bereits seit langem: Die
wenigsten Menschen schl ießen eine
Brandversicherung aus reinen Rol-Über-
legungen ab, sondern zur Risikoab–
sicherung. ITSecurity-Projekte haben den
Auftrag, die IT-Infrastruktur, Daten und
Informationen des Unternehmens zu
schützen. Sie wirken sich absichernd auf
die Investitionen des Unternehmens aus.
Verschlüsselungs-, Virenschutz- und
Firewallprojekte sind typische Beispiele
dafür Der Geschäftsprozess als solcher
wird jedoch nicht „optimiert", sondern
lediglich durch die ITSecurity-Maßnahme
„abgesichert". Diese Projekte erhöhen
aufgrund der notwendigen Investition
und der laufenden Wartungskosten die
TCO der Infrastruktur Das aber bedeutet,
dass hier ein positiver Rol zunächst nicht
darstellbar ist.
3.2 Single Sign On (SSO)
Viele Unternehmen geben vor, Pass–
wörter zweckgebunden zu vergeben.
Sie sollten möglichst kryptisch (d. h.
schwer zu erraten) zusammengesetzt
und außerdem periodisch gewechsel t
werden. Viele Mitarbeiter verwalten zahl–
reiche Passwörter für unterschiedliche
ITSysteme in den Unternehmen und be–
nötigen Hilfe beim Passwort-Reset, wenn
Störungen auftreten. Eine Lösung zur
Vereinfachung dieser Problematik sind
Single Sign-On-Systeme" (SSO). Diese
Systeme sorgen dafür, dass sich ein An–
wender nur einmal gegenüber einer da–
für geschaffenen Instanz authentisieren
muss. Dies geschieht entweder durch ein
Passwort oder durch eine Chipkarte
(Smartcard). Diese zwischengeschaltete
Instanz hat die Passwörter für alle be–
nötigten Anwendungen gespeichert.
Bei der Einführung eines SSO-Systems
handelt es sich um ein Securityprojekt,
bei dem ein s i cherhe i t sge t r i ebener
Prozess mit Hilfe von Sicherheitstechno–
logien optimiert wird. Eine große Schwei–
zer Bank konnte nachweisen, dass bei
derartigen Maßnahmen ein positiver Rol
möglich ist.= Die Bank führte vor einigen
lahren ein SSO-System mit 30 . 000 An–
wendern ein. Vor der Einführung hatte
der Helpdesk etwa 30 . 000 passwort–
bezogene Anrufe pro Monat zu verzeich–
nen. Diese Zahl konnte binnen kurzer
Zeit um mehr als ein Drittel gesenkt wer–
den - mit weiter fallender Tendenz. Jeder
Anruf war mit einem Produktivitäts–
ausfall von durchschnittlich 20 Minuten
verbunden. Damit ergab sich bei einem
internen Stundensatz von 60 Euro ein
Einsparungspotenzial von 2 , 4 Millio–
nen Euro pro Jahr.
Die frei werdenden
Kapazitäten im Helpdesk sind hier noch
gar nicht berücksichtigt. Laut Vertreter
des Unternehmens ist der „break even"
seit langem erreicht - Aufbau und bishe–
rige Betriebskosten haben sich bereits
amortisiert.' Zusätzlich zu den Einspa–
rungen stellt sich ein
„Nebeneffekt" ein,
der in eine Rol-Berechnung nicht ein–
fließt: die Zufriedenheit der Anwender
mit ihrer IT
steigt erheblich.
3.3 Digitale Signatur
mobilindustrie
in der Auto-
Die Mikroprozessortechnologie hat die
Kraftfahrzeuge in den letzten zehn jäh–
ren völlig veränder t . Ant iblockier-
systeme, Stabilitätsprogramme, Fahrer–
erkennung werden von einem zentralen
Fahrzeugcomputer, der so genannten
Motorsteuerung, überwacht. Leistungs–
steigerungen sind heute nicht ausschließ–
lich durch mechanische Veränderungen
am Motor möglich. Sie lassen sich we–
sentlich einfacher durch ein
„Chip–
tuning"
realisieren. Darunter versteht
man eine
Manipulation der Software
im Mo t o r s t eue r ung s g e r ä t .
Durch
unautorisiertes Chiptuning entstehen den
Automobilherstellern jähriich hohe Ver–
luste. Mit dem stärkeren Verschleiß, dem
erhöht en War tungsaufwand in der
Garantiezeit,
der insgesamt geringeren
Produkthaltbarkeit wird vor allem die
Produkt- und Markenstrategie der
Her–
steller unterminiert.
Die Automobilindustrie hat daher Pro–
jekte initiiert, wo unter anderem durch
den Einsatz von Digitalen Signaturen
unerwünschte Manipulation in den
Motorsteuerungsgeräten unterbunden
werden kann.^ Ohne hier auf Details ein–
zugehen, konnte durch Einsatz von
Sicherheitstechnologie sehr schnell ein
positiver Rol dargestellt werden.
520