ETH-Modell berechnet Schaden bei IT-Ausfall

Dass ein Ausfall der IT-Infrastruktur ein Unternehmen viel kostet, steht ausser Frage. Wie gross der Schaden im Einzelnen werden kann, ist allerdings den wenigsten Unternehmen klar. Um zu entscheiden, wie viel in die Sicherheit der Systeme investiert werden soll, müsste aber genau das bekannt sein. An der ETH Zürich wurde jetzt ein Modell entwickelt, mit dem die finanziellen Konsequenzen eines allfälligen IT-Ausfalls berechnet werden können. Dazu bedarf es einer umfangreichen Risikoanalyse. Zur absoluten Schadenshöhe addieren sich dabei auch Folgeschäden wie Wiederherstellungskosten, Umsatzausfall und Produktivitätsverluste.

Das sogenannte Quantifizierungs-Modell ist Teil eines Forschungsprojekts zur Netzwerksicherheit. Die Studie umfasst sowohl die ganzheitliche Risikobetrachtung bevor ein Schaden entsteht, als auch die Schadensberechnung. Für die Berechnung wurde der Gesamtschaden in vier Teilbereiche aufgegliedert: Downtime, Wiederherstellung, Forderungen von Dritten und Verlust von Kunden. Die Faktoren, die dabei im Einzelnen berücksichtigt werden müssen, sind komplex.

Die Downtime-Kosten bestehen beispielsweise aus dem Umsatzausfall und dem Produktivitätsverlust. In die Kalkulation müssen die Mitarbeiter-Arbeitsstunden pro Jahr, die Mitarbeiter-Arbeitszeit während der Störung, die Anzahl Betriebsstunden pro Jahr und die von der Störung betroffene Dienstbetriebszeit miteinbezogen werden. Weiter müssen die jährlichen Mitarbeiterkosten mit den von der Störung betroffenen Mitarbeitern und dem prozentualen Anteils des Umsatzausfalls verglichen werden.

Die Formel für die Kostenberechnung für die Wiederherstellung des Betriebs setzt sich aus den Elementen Überstunden, Instandsetzungs-Team (Anzahl Mitarbeiter) sowie dem Stundenansatz des Teams und den Materialkosten zusammen. Die Berechnung der Forderungen von Dritten ergibt sich aus der Höhe von Konventionalstrafen und Haftpflichtansprüchen.

Um die Kundenverluste zu berechnen, müssen einerseits die Verluste an bestehenden sowie potentiellen neuen Kunden und deren durchschnittlich erwarteten Umsätzen erhoben werden. Andererseits gilt es, ein Zeitintervall zu definieren.

Das Modell versteht sich als eine Art Leitfaden für Unternehmen und kann unter www.tik.ee.ethz.ch/~ddosvax/#sadas kostenlos bezogen werden. Es beinhaltet neben Aufgaben- und Situationsanalysen sowie Lösungskonzepten auch zahlreiche Fallbeispiele. An der Entwicklung waren das Departement Betriebs- und Produktionswissenschaften und das Departement Informationstechnologie und Elektrotechnik beteiligt.