In den, diesem Beitrag zugrunde liegenden Arbeiten, wurde ein Kosten-Nutzen-Konzept entwickelt, welches die Ergebnisse einer vorhergehenden Risikoanalyse und die geschätzten Kosten und Nutzen von IT-Sicherheitsmaßnahmen integriert. In der vorhergehenden Risikoanalyse müssen die Bedrohungen, Schutzobjekte, Sicherheitsanforderungen, mögliche Maßnahmen und Schwachstellen identifiziert werden. Die identifizierten Daten, ihre Zusammenhänge, die Schutzbedarfe der Schutzobjekte und die Risiken, welche in der Risikoanalyse ermittelt wurden, werden in das Kosten-Nutzen-Konzept übernommen. Auf der Basis der Risikoanalyse wird die Relevanz von definierbaren Sicherheitsanforderungen und Schwachstellen bewertet. Bei der Anwendung des Kosten-Nutzen-Konzeptes wird mittels der Verrechnungslogik der Nutzen der Sicherheitskonzepte bzw. derer Maßnahmen ermittelt. Durch diese Nutzenwerte wird ersichtlich, in welchem Maß die Maßnahmen Bedrohungen und Schwachstellen abwenden und in welchem Maß die Sicherheitsanforderungen behandelt werden. Außerdem wird ermittelt, welches Maß an zusätzlichen Sicherheitsbemühungen mit den Sicherheitskonzepten bzw. Maßnahmen assoziiert wird. In diesem Beitrag wird eine mögliche Klassifizierung und die Ermittlung der Kosten der ITSicherheitsunternehmungen beschrieben. Aus den ermittelten Kosten und Nutzen wird über die Verrechnungslogik die Wirtschaftlichkeit der Sicherheitskonzepte bzw. ihrer Maßnahmen berechnet. Die Ergebnisse des Kosten-Nutzen-Konzeptes gewährleisten eine Vergleichbarkeit der Maßnahmen und Sicherheitskonzepte untereinander. Mit der Verwendung des Kosten-Nutzen-Konzeptes wird eine Entscheidungsfindung bzgl. unterschiedlicher Sicherheitsbemühungen objektiviert und präzisiert.