Cyber-Security-Budget: Mit Strategie zur Kostenoptimierung
Durchatmen Fehlanzeige: Hackeroffensiven auf Organisationen nehmen weiter zu. Mittlerweile ist jedoch das Bewusstsein für die geschäftsschädigenden Angriffe gewachsen und mehr und mehr Unternehmen ziehen eine zumindest auf den ersten Blick logische Schlussfolgerung: Sie erhöhen ihr Cyber-Security-Budget. Eine Rechnung, die nicht unweigerlich aufgeht. Denn mehr Investitionen führen nicht direkt zu mehr Sicherheit. Willkürliche Kostenverteilungen und sich überlappende Tools für den Unternehmensschutz lassen Lücken weiterhin geöffnet. Somit bleibt es trotz gestiegener Ausgaben ein leichtes Spiel für Cyber-Kriminelle, an Daten und Informationen zu gelangen.
Wie so oft heißt es demnach für Firmen: Zurück auf Anfang und einen Schritt nach dem anderen gehen. Verantwortliche müssen sich dafür eine Strategie zurechtlegen, die unter anderem Transparenz schafft und eine Risikobewertung ebenso wie Mitarbeiterschulungen beinhaltet. Selbstverständlich dürfen hier technische Maßnahmen nicht fehlen. Mit diesem Sicherheitsgespann ebnen Organisationen ihren Weg für ein intelligent geplantes Cyber-Security-Budget und erreichen das Universalziel: einen effizienten und nachhaltigen Unternehmensschutz.
Cyber-Security in Unternehmen – der Stand der Dinge
Dass Cyber-Kriminelle sich bei ihren Attacken lediglich auf große Unternehmen beschränken, gehört ganz eindeutig in die Kategorie "Ammenmärchen". Besonders seit 2019 nehmen die Überfälle auf den Mittelstand stark zu – in Quantität ebenso wie in Qualität [1]. Auf der einen Seite stehen Cyber-Angreifer, die stets neue Einfallstore entdecken, Sicherheitslücken ausnutzen und neueste Angriffsmethoden nutzen. Auf der anderen Seite erwarten sie oftmals veraltete IT-Systeme, unzureichende Sicherheitsstandards, mangelnde Ressourcen für die Identifikation von Schwachstellen und eine verlangsamte Reaktionszeit auf Angriffe im frühen Stadium. Eine Kombination, die nicht selten eine erfolgreiche Offensive nach sich zieht.
Standardlösungen sind eine notwendige Maßnahme, die nicht ausreicht.
Dazu kommt ein Sicherheitsrisiko, das viele Organisationen immer wieder mit einer abfälligen Geste abtun: die Mitarbeitenden. In der Studie "Cyber Security im Mittelstand" sahen über 60 Prozent der Befragten ungeschulte Angestellte als Hauptrisiko. Fehlt es an allgemeinen Informationen, Weiterbildungsmaßnahmen und regelmäßigen Updates über aktuelle Taktiken und Techniken der Cyber-Kriminellen, ist ein In-die-Falle-Tappen aus den eigenen Reihen durchaus realistisch. Auch die Nutzung mobiler Endgeräte oder Social-Media-Aktivitäten erweitern die Angriffsvektoren oft unbewusst. Somit stellt Cyber-Security eine Schlüsselkompetenz dar, die im gesamten Unternehmen Fuß fassen muss.
Schlankes Sicherheitsbudget: Wenn fehlende Investitionen ins Geld gehen
In den letzten Jahren deutete sich aber nicht nur ein Nachholbedarf beim Thema "Mitarbeiterbewusstsein stärken" an. Für den eigenen Schutz setzten viele Unternehmen auf Standardlösungen. Eine notwendige Maßnahme, die für sich genommen aber nicht ausreicht. Gleichzeitig verzichteten zwei Drittel der Teilnehmenden auf Versicherungen gegen Cyber-Bedrohungen. Alles zahlt auf ein schlankes IT-Sicherheitsbudget ein. Laut der Studie lagen bei gut 80 Prozent der Befragten die Ausgaben für Cyber-Security unter 50.000 Euro im Jahr. Bei der Hälfte davon betrugen sie sogar weniger als 10.000 Euro.
Für Cyber-Security-Experten ein Stich in die Brust. Fehlt es an einem soliden Fundament, kann dies Unternehmen teuer zu stehen kommen. Damit verbunden sind allenfalls knapp bemessene Sicherheitsmaßnahmen und Angreifer finden ihre Wege hinter die Organisationsmauern. Den auftretenden Schaden schnell abzuwenden, ist angesichts der häufig fehlenden Ressourcen kaum realistisch. Im jährlichen Cost-of-a-Data-Breach-Report von IBM Security beliefen sich global betrachtet die durchschnittlichen Kosten für ein Datenleck, das auf eine Verletzung der Sicherheit zurückzuführen ist, auf 4,3 Millionen US Dollar [2]. In Deutschland entstehen in der Wirtschaft allein durch Hackerangriffe jährlich Schäden in Höhe von mehr als 200 Milliarden Euro [3].
Wandel erkennbar: IT-Sicherheits-Budget nimmt zu
Das Ende vom Lied: Investieren Unternehmen in ihre Cyber-Security, sparen sie im Ernstfall Millionen. Ein Weckruf, der langsam Wirkung zeigt. Für dieses Jahr haben sich über 80 Prozent der deutschen Organisationen das Thema auf die Agenda gesetzt, so die "Digital Trust Insights"-Studie [4]. Ihr Ziel: Sie wollen das Cyber-Security-Budget um mindestens fünf Prozent erhöhen. Auch neue Möglichkeiten wie der Einsatz generativer KI-Tools für die Cyber-Abwehr planen Verantwortliche für die nächsten Monate ein. Ein kurzes Durchatmen ist an dieser Stelle erlaubt. Doch sich lediglich aufgrund höherer Investitionen in Sicherheit zu wähnen, wäre verfrüht.
Denn IT-Sicherheitsinvestitionen schrammen oftmals an den eigentlichen Zielvorstellungen vorbei. Anstelle eines ausgeklügelten Plans, der aktuelle Sicherheitslücken fokussiert, Prioritäten festlegt und Sicherheitstools hinsichtlich ihrer Funktionalitäten gegenüberstellt, macht Willkür das Rennen – mit ineffizientem Ausgang. So zeigt eine andere Studie, dass 42 Prozent der eingesetzten Sicherheitstools in Unternehmen die gleichen Funktionen abdecken [5]. Verantwortliche müssen sich also unweigerlich eine Frage stellen: Wie lässt sich das Cyber-Security-Budget optimieren?
Risikomanagement: Cyber-Gefahren priorisieren
Dafür muss wie so oft das richtige Verständnis geschaffen werden. Ja, es ist wichtig und richtig, das Budget angesichts der steigenden Cyber-Attacken zu erhöhen. Dies ergibt jedoch nur Sinn, wenn Unternehmen zunächst Transparenz gewinnen. Sicherheit sollten sie demnach genauso messen und bewerten wie andere Organisationsbereiche. Schutzziele wie Integrität und Vertraulichkeit müssen klar festgelegt sein. Somit lässt sich mit den passenden Key-Performance-Indikatoren die Sicherheit messen, bewerten und darstellen.
Was in letzter Konsequenz ebenso den Nutzen einzelner Sicherheitsmaßnahmen offenlegt. Ein Gewinn, den viele Geschäftsführer bislang vermissten. Zu intransparent und wenig greifbar war das Thema Cyber-Security für sie. Diese Basis ist somit unumgänglicher Ausgangspunkt.
Ist das Fundament gegossen, sollten Unternehmen den nächsten Baustein legen: die Durchführung einer Risikobewertung. Sie rückt Bedrohung, Anfälligkeit und Auswirkungen in den Mittelpunkt der Bemühungen. Durch ihren Blick auf die komplexen Beziehungsgeflechte in Unternehmen – zwischen Technik, Prozessen, Mitarbeitenden und Geschäftszielen – ermöglicht sie Priorisierungen. Somit bewältigen und beheben Verantwortliche zunächst die Sicherheitsrisiken, die als besonders relevant eingestuft wurden – egal ob sie aktuelle oder künftige Gefahren mit sich bringen. Die Risikobewertung stellt dabei einen fortlaufenden Prozess dar und sollte unabhängig von der Cyber-Security-Budget-Planung regelmäßig Platz auf der Tagesordnung der IT-Abteilung finden.
Bestehen noch Zweifel an der Relevanz einer Risikobewertung, sollten sich Bedenkenträger einem Gedanken widmen: Was kostet es die Firma, wenn alle Mitarbeitenden aufgrund eines Angriffs für einen Tag/eine Woche/einen Monat nichts tun? Bei wem sich bei dieser Überlegung bereits die Schweißperlen auf der Stirn formieren: Das Risiko eines Cyber-Angriffs lässt sich über die Risikobewertung erheblich minimieren. Deshalb sollten Unternehmen vorsorgen und sich regelmäßig fragen:
- Welche Risiken gibt es, die zu einem solchen Schaden führen könnten?
- Welche weiteren Auswirkungen sind damit verbunden?
- Wie hoch ist die Wahrscheinlichkeit, dass dieses Risiko einmal oder mehrfach pro Jahr eintritt?
- Wie lassen sich die identifizierten Risiken priorisieren?
- Welche Schutzmaßnahmen sind sinnvoll?
Mehr als ein (Sicherheits-)Risiko
Dass es nicht das eine Risiko gibt: Selbstredend! Doch dass diese Bedrohungen nicht nur unter Sicherheitsgefahren laufen, verdrängen Verantwortliche oftmals. Umso wichtiger ist es, die eigenen Geschäftsrisiken ganzheitlich und detailliert zu beleuchten. Am häufigsten treten hier neben Sicherheitsbedrohungen wohl die strategischen, operativen und finanziellen Risiken wie auch die Compliance- und Reputationsrisiken auf.
- Strategische Risiken: Lassen sich gesteckte Unternehmensziele nicht verfolgen, spricht man von einem strategischen Risiko. Auslöser können Mitbewerber, neue Technologien oder eine veränderte Verbrauchernachfrage sein.
- Operative Risiken: Arbeitsausfall oder Störungen, die das Tagesgeschäft beeinträchtigen, können mit Hackerangriffen in Verbindung stehen. Schlichtweg kann es sich aber auch einfach um einen Stromausfall handeln, der das Unternehmen zeitweise lahmlegt. Damit verbunden sind dann meist wiederum finanzielle Konsequenzen.
- Finanzielle Risiken: Werden die ein- und/oder ausgehenden Geldströme einer Organisation behindert, fällt das in die Kategorie "finanzielles Risiko".
- Compliance-Risiko: Gesetze und Regelungen beim Thema Compliance ändern sich oftmals in Windeseile. Nach sich ziehen kann dies die Tatsache, dass sich Risiken unbemerkt ihren Weg ins Unternehmen bahnen. Mögliche Bußgelder oder Strafen sollten tunlichst vermieden werden.
- Reputationsrisiko: Rufschädigungen können Organisationen lange Zeit nachhängen. Daher ist das Risiko nicht zu verachten. Skandale, Produktrückrufe oder Bußgelder sind diesbezüglich besonders bedrohlich.
Damit erscheinen die Vorteile klar und deutlich. Identifizierte Schwachstellen – nicht nur im Sicherheitsbereich – lassen sich nach Dringlichkeit ordnen. Beispielsweise bedarf nicht jedes System besonderer Sicherheitsmaßnahmen und nicht alle Unternehmensdaten sind gleich wichtig. Die Priorisierung der Risiken und damit verbunden der unentbehrlichen Maßnahmen ist für alle Verantwortlichen, unter anderem die Sicherheitsverantwortlichen, essenziell.
Über diese ganzheitliche Herangehensweise lassen sich Ressourcen effizient einsetzen. Die ersten aufgedeckten Informationen helfen dann wieder dabei, das Risikomanagement im Unternehmen anzugehen und einzelnen Budgets wie dem Cyber-Security-Budget im Speziellen mehr Form zu verschaffen.
Mit fünf Fragen zum optimierten Cyber-Security-Budget
Die Logik des Risikomanagements: Mehr hilft nicht immer mehr. Hohe Investitionen können bei fehlender Planung und ganzheitlicher Betrachtung existierender und möglicher Unternehmensrisiken nicht ihr volles Potenzial ausschöpfen. Viel eher gibt eine vorangestellte Risikoeinstufung den richtigen Ton für das erforderliche Cyber-Security-Budget an, zeigt auf, an welchen Stellen Maßnahmen nötig sind und spart Unternehmen durch intelligent geplante Investitionen bares Geld. Auch an dieser Stelle helfen Fragestellungen, um Vergangenheit, Gegenwart und Zukunft für das Cyber-Security-Budget zusammenzuführen.
- Wie viel IT-/Cyber-Security-Budget stand im letzten Jahr zur Verfügung?
- Inwiefern existierten prozessuale, technische und/oder organisatorische Schwachstellen?
- Welche geplanten Projekte könnten welche Auswirkungen auf die Sicherheit haben (neue Angriffsvektoren)?
- Welche Fachabteilungen brauchen welche Mittel?
- Benötigt das Unternehmen weitere Ressourcen (intern/extern) für die Cyber-Security?
Ein Tipp: IT- und Cyber-Security-Budgets sollten Organisationen getrennt voneinander betrachten. Die IT stellt diese Systeme mit sofortiger Verfügbarkeit bereit. Die Sicherheit will die langfristige Verfügbarkeit, Vertraulichkeit und Integrität der Umgebung gewährleisten. Durch eine Trennung der Budgets ist eine effektivere Planung und Umsetzung möglich. Die Kommunikation zwischen "Sicherheit" und "IT" sollte jedoch kontinuierlich Bestand haben, da die Ziele durchaus identisch sein können. So lassen sich die Investitionen teilen, um das restliche Budget an anderen Stellen effektiv einzusetzen.
Must-haves technischer Schutzmaßnahmen
So weit, so theoretisch. Doch welche technischen Schutzmaßnahmen sollten Unternehmen nun in ihrem Cyber-Security-Budget berücksichtigen? Selbstverständlich rücken hier die per Risikomanagement identifizierten Schwachstellen in den Mittelpunkt. Es gibt jedoch auch einige Schlüsselkonzepte, die in den meisten Organisationen sinnvoll und anwendbar sind.
- Vulnerability Management: Ein effektives Schwachstellen-Management ist unerlässlich, um Sicherheitslücken in den IT-Systemen zu identifizieren und zu beheben. Durch kontinuierliche Überprüfungen, Klassifizierung, Priorisierung und Behebung von Schwachstellen reduzieren Unternehmen ihre Angriffsfläche.
- Identitäts- und Zugangsmanagement (IAM): Unternehmen setzen auf IAM, um Zugriffsanfragen zu verwalten, Identitäten zu überwachen und Verwaltungsfunktionen zu steuern. Durch die zentrale Verwaltung sämtlicher Anmeldeinformationen schützen sie ihre Daten effizient vor unautorisiertem Zugriff.
- Security Information and Event Management (SIEM): SIEM-Technologien sammeln und analysieren relevante Daten von Geräten, Netzwerken und Anwendungen, die auf verdächtige Aktivitäten hindeuten. Somit bietet SIEM eine ganzheitliche Überwachung der IT-Infrastruktur.
- Zero-Trust-Prinzip: Angesichts der steigenden Zahl von Telearbeitsplätzen und der dadurch hinzugekommenen Einfallstore gewinnt das Zero-Trust-Prinzip an Bedeutung. Durch die Verifizierung eines jeden Users ermöglicht das Prinzip der IT, sich proaktiv gegen potenzielle Bedrohungen zu schützen.
- Endpoint Detection and Response (EDR): EDR-Lösungen analysieren das Verhalten von Endgeräten (PCs, Laptops, Smartphones und Servern). Erkennen sie verdächtige Aktivitäten, bieten sie sofortige Reaktionsmöglichkeiten.
Doch auch hier gilt: Seien Sie wachsam! Die letzten Jahre zeigen, dass sich Cyber-Angreifer immer weiter spezialisieren, neue Taktiken und Techniken für sich erkennen und mit diesen zur erfolgreichen Attacke ausholen. So hat beispielsweise die Einführung KI-gesteuerter Systeme ein neues Einfallstor in Unternehmen gebracht, das gleichzeitig Zugang zu einer immensen Datenmenge ermöglicht. In den nächsten Jahren, in denen SaaS, Cloud-Computing, vernetzte Maschinen und die Digitalisierung als Ganzes weiter an Relevanz gewinnen werden, müssen Verantwortliche schnell auf Entwicklungen reagieren und Sicherheitsmaßnahmen, wo nötig, anpassen.
Nicht vergessen sollten Firmen neben den technischen Maßnahmen auch organisatorische Aspekte, wie geregelte Verantwortlichkeiten (Schlagwort: Notfallplan) oder Passwort-Policy und letztlich Mitarbeiterschulungen. Social Engineering nimmt als Angriffstechnik stetig zu, auch weil Unternehmen nicht ausreichend an ihre Angestellten appellieren, Vorsicht walten zu lassen. Da sich Cyber-Kriminelle immer ausgefeilterer Methoden bedienen, sollten Firmen regelmäßig Workshops, Cyber-Trainings und Co. umsetzen.
Faustregel fürs Cyber-Security-Budget
Dass es nicht das eine Cyber-Security-Budget gibt, zeigt schon die oben beschriebene Herangehensweise. Dennoch lässt sich ein Musterbeispiel anführen, aus dem sich eine Faustregel ableiten lässt.
Grundvoraussetzung ist, dass Weiterentwicklungen der Sicherheit und der Anforderungen an diese gegeben sind.
Unser Muster-Unternehmen lässt sich als Firma mit gutem Schutz, ausreichender Governance und einem jährlichen Security-Budget beschreiben. Im Zuge einer Business-Impact-Analyse haben Sicherheitsverantwortliche kritische Geschäftsprozesse identifiziert. Eine Grundlage, um darunter liegende kritische Betriebsprozesse unter anderem bezüglich der IT abzuleiten. Daraus wiederum ergründen sich die kritischen Systeme und verarbeiteten Daten. Die Kritikalität ist vom Geschäftsprozess vererbt. Unter Berücksichtigung der Kritikalität erarbeiten IT-Spezialisten die Schutzklassen und notwendigen Schutzniveauklassen. Damit wandelt sich der umzusetzende Schutz in eine messbare Größe. Durch regelmäßige GAP-Analysen und Penetration-Tests deckt das Team schwächere Umsetzungen von Maßnahmen auf und steuert nach. Mittels dieses Vorgehens wird eine effektive Nutzung des Budgets mit Bezug auf die konkreten Maßnahmen möglich.
Dieses Beispiel zeigt, wann sich eine Faustregel anwenden lässt. Denn die Grundvoraussetzung ist, dass dauerhafte Weiterentwicklungen der Sicherheit und der Anforderungen an die Cyber-Security gegeben sind. Ist dies der Fall, kann sich das Cyber-Security-Budget an circa 10 Prozent des IT-Budgets orientieren. Dadurch schaffen Firmen eine gute Absicherung der Umgebung. Sobald sie jedoch sprunghaft agieren, kann dieses stark nach oben abweichen. Auch in diesem Szenario hilft eine Risikobewertung, um zur sinnvollen Investitionshöhe zu gelangen.
Setzt man noch einmal eine Ebene höher an – beim Thema Risikomanagement für das gesamte Unternehmen – hat sich der Total-Cost-of-Risk-Ansatz, kurz TCOR, etabliert. Im Gegensatz zu einfachen Risikoformeln, die beispielsweise Risikokosten als Produkt aus Risikowahrscheinlichkeit und Schadensausmaß fassen, berücksichtigt dieser direkte wie auch indirekte Kosten. So spielen Versicherungsprämien, Selbstbehalte und Eigenversicherungen, Schadensersatzleistungen, Betriebsunterbrechungen und Reputationsschäden mit in die Rechnung. Doch allzu kompliziert muss die Berechnung eines optimalen Cyber-Security-Budgets mit vorangestellter Risikoanalyse, grober Faustregel und IT-Experten nicht sein.
Fazit
Cyber-Bedrohungen stellen quantitativ wie auch qualitativ eine immense Herausforderung für Unternehmen dar. Das Bewusstsein, dass schlanke Security-Budgets kaum ausreichen, um sich gegen die Angreifer zu behaupten, verfestigt sich langsam in der Geschäftsführung. Doch Vorsicht ist geboten: Bevor Organisationen Geld in die Hand nehmen, müssen sie die Istsituation in den Fokus rücken. Erst wenn Transparenz und eine Priorisierung hinsichtlich Risiken und Schutzmaßnahmen bestehen, lässt sich ein Cyber-Security-Budget festlegen – optimiert und effizient.
- Deloitte: Cyber Security im Mittelstand: Chancen und Risiken für Unternehmen
- IBM: Cost of a Data Breach Report 2023
- Bitkom: Organisierte Kriminalität greift verstärkt die deutsche Wirtschaft an
- PwC: Digital Trust Insights 2024
- fastly: Neue globale Studie bestätigt einen erwarteten Anstieg der Cybersecurity-Ausgaben im Jahr 2023 um 73 %