Sei es wegen gesetzlichen Vorschriften, um präventiv Schaden abzuwenden, die Effizienz von Prozessen zu steigen oder auch um neue Potentiale zu schöpfen – Unternehmen investieren in IT-Sicherheit und das zunehmend mehr. Eine Studie aus dem Jahre 2019 der Bitkom Research and Tata Consulting Services bestätigt, dass ein deutlicher Teil aller Unternehmen auch in der nahen Zukunft ihre Investitionen in IT-Sicherheit ausbauen wollen. Laut der Eco-IT-Sicherheitsumfrage 2022 haben 54 Prozent der von ihnen befragten deutschen Unternehmen (145 Experten*innen aus der IT-Sicherheitsbranche wurden befragt) im vergangenen Jahr die Ausgaben für IT-Sicherheit erhöht (Quelle: it-business.de ). Zudem hat das Bundeskriminalamt (BKA) in der Bundeslage Cybercrime 2021 einen neuen Höchstwert bei Cyber-Straftaten in Deutschland verzeichnet. Ein solcher Trend ist nicht nur in Deutschland erkennbar, sondern auch weltweit. In Australien beispielsweise erreichten die Angriffsversuche im vierten Quartal 2021 ein Allzeithoch und stiegen gegenüber 2020-21 um 13 Prozent. Ein solche Zunahme der Angriffe ist nicht gerade günstig: Laut dem RiskIQ-Bericht „Evil Internet Minute 2021“ kostet Cyberkriminalität Unternehmen jede Minute 1,79 Millionen Dollar! Das entspricht 648 Cyber-Bedrohungen pro Minute.
Die Ausgaben steigen also, gleichzeitig aber auch die Bedrohungen und die Kosten. Wie kann diese angespannte Sicherheitslage zum Vorteil genutzt werden? Wie sollte man beim Gedanken an Investments in IT-Security überhaupt vorgehen? Dieser CyberCompare Artikel soll in diese Richtung einen kleinen Gedankenanstoß anregen.
Wirtschaftlichkeitsberechnung
Aus einer rein wirtschaftlichen Perspektive betrachtet kann mit Hilfe von IT-Schutzmaßnahmen das Risiko bei der Nutzung von IT-System reduziert werden. Ein optimales Kosten-Nutzen-Verhältnis kann bestimmt werden – und zwar mittels verschiedener Verfahren, die alle ihre Vor- und Nachteile haben.
Das TCO-Verfahren (Total Cost of Ownership) entspricht einer klassischen Kostenrechnung, worin Investitionskosten bestehend aus Beschaffungs- und Installationskosten sowie Betriebskosten berücksichtigt werden. Eine Vergleichbarkeit ist somit gewährleistet und die Kosten transparent aufgeschlüsselt. Allerdings werden mögliche Risiken nicht betrachtet und nur statische Größen benutzt. Im Vergleich dazu wird beim RoSI (Return on Security Investment) nicht nur die Kosten und Erlöse gegenübergestellt, sondern eine monetarisierte Risikobewertung (Schadenshöhe x Eintrittswahrscheinlichkeit) fließt ebenfalls ein. Der Vorteil stellt gleichzeitig ein Nachteil dar. Denn die Sicherheitsrisiken werden zwar bewertet, allerdings stellt sich die Bewertung selbst oft als schwierig heraus. Ein Verfahren, das nicht speziell auf IT-Sicherheit angewendet wird und bei in der Bundeverwaltung Einsatz findet, ist die WiBe (Wirtschaftlichkeitsbetrachtung), eine Kombination aus Kapitalwertrechnung und Nutzwertanalyse. Das Verfahren ist klar und zukunftsgerichtet. Allerdings ist es mit einem höheren Aufwand verbunden und derzeit auf Behörden fokussiert. Ein weiteres Vorgehen ist die QUANTSEC (Quantifying Security), ein hierarchisches Vorgehensmodell zur objektiven, kontinuierlichen und automatisierbaren Messung des Nutzens von IT-Sicherheitsmaßnahmen. Ein Fokus wird auf die Software-Entwicklung gelegt und die Analyse erfolgt nachgelagert. Zudem ist das Verfahren recht komplex. Vorteilhaft sind die hohe Objektivität und Transparenz sowie das damit einhergehende Bewusstsein für Themen.
Um die Investitionen auch effizient einzusetzen, sollten nicht nur die Vor- und Nachteile verschiedener Verfahren abgewogen, sondern zudem auch zwei Aspekte mitbedacht werden:
- Das Pareto-Prinzip (80/20-Regel): Das gilt auch für die IT-Sicherheit. Mit 20 Prozent der möglichen IT-Sicherheitsmaßnahmen richtig eingesetzt, kann 80 Prozent Schutz vor potentiellen Bedrohungen erreicht werden. Mit dem Einsatz der richtigen IT-Sicherheitsmaßnahmen kann somit bereits mit einem relativ geringen Aufwand, ein vernünftiger Grundschutz für IT-Systeme hergestellt werden.
- Nicht nur aus Gründen der Wirtschaftlichkeit investieren: Wenn ein Grundschutz bereits implementiert ist, können andere wichtige Gründe dazu führen, zu investieren, z. B. gesetzliche Notwendigkeiten und ein übertriebenes Sicherheitsgefühl.
Wollen Sie mehr zur Wirtschaftlichkeitsberechnung erfahren? Case Studies und Berechnungen werden in den folgenden Quellen (Deutsch) aufgegriffen
- Vortrag im Seminar IT-Sicherheit am 17. Januar 2018, Lehrstuhl für Wirtschaftsinformatik (Universität Potsdam)
- Wirtschaftlichkeitsbetrachtung von IT-Sicherheitsmechanismen von Prof. Dr. Norbert Pohlmann, Fachbereich Informatik (Fachhochschule Gelsenkirchen)
- Return on Security Investment (RoSI) – Glossar Prof. Pohlmann (norbert-pohlmann.com)
Strategische Ansätze für Cybersicherheitsinvestitionen
Ein etwas weniger mathematischer Ansatz für Cybersecurity Investments wird im Forbes-Magazin vorgeschlagen: Unternehmen sollten einen Blueprint für Investitionen in die Cybersicherheit verfolgen, der auf den sich abzeichnenden Herausforderungen des kommenden Jahres basiert. Grob gesagt sollte dieser Plan drei verschiedene Phasen umfassen: Planen, Vorbereiten und Schützen.
- Planen: Als Erstes müssen Ziele festgelegt und definiert werden, z. B. die Konsolidierung von Cybersicherheitslösungen und die Verringerung des Risikos in der Cybersicherheitslieferkette.
- Vorbereiten: Anschließend sollten konkrete, taktische Schritte, um kritische Elemente zu identifizieren und Richtlinien zu deren Schutz zu entwickeln. Dies kann z. B. durch Datenermittlung und -verwendung oder durch die Vorbereitung auf Datenschutzbestimmungen erfolgen.
- Schützen: An diesem Punkt angelangt, gilt es, die Daten je nach Problem- und Zielstellung zu beschützen.
In eine Veröffentlichung von PwC werden vier weiterführende Cyber-Investitionsstrategien vorgeschlagen:
Interne Partnerschaften sollten eingegangen werden, um Werte zu schaffen und zu erhalten, anstatt sie nur zu schützen. 30 bis 40 Prozent der Cyber-Investitionen sollte in den Schutz, etwa 30 Prozent in die Erkennung und die restlichen ca. 30 Prozent in die Reaktion und Wiederherstellung investiert werden. Damit verbunden sollen nicht Technologien die Investitionsstrategien bestimmen, sondern das große Ganze, also ein langfristig ausgerichteter Plan. So können nicht nur größere Risiken abgedeckt und Lücken geschlossen werden, sondern gleichzeitig eine gewisse Fähigkeit und Flexibilität aufgebaut werden, um auf mögliche Bedrohungen zu reagieren. Hierbei sollte ein datengesteuerter Ansatz verfolgt werden. Ein solcher Ansatz geht einher mit der Quantifizierung von Cyberrisiken, was für Unternehmen vorteilhaft ist, um neue Bedrohungen systematisch zu bewerten. Des Weiteren wurde erkannt, dass Unternehmen ihr Potenzial bei Cloud-Investitionen oft nicht voll ausschöpfen, weil CISOs und Risikoverantwortliche häufig nicht effektiv zusammenarbeiten und unterschiedliche Erwartungen bestehen. Wenn also von einem lokalen System auf ein Cloud-basiertes System umgestiegen wird, sollten die bestehenden Richtlinien und Verfahren neu bewertet werden, um festzustellen, ob die bestehenden Erwartungen auf die Cloud-Umgebung zutreffen und welche Anpassungen möglicherweise erforderlich sind, um das Modell der geteilten Zuständigkeiten zu berücksichtigen.
Wie viel sollte in Cybersicherheit investiert werden?
Diese Frage kann pauschal nicht beantwortet werden. Es gibt jedoch einen Bericht der International Data Corporation (IDC) Canada von 2015, in den Organisationen in vier verschiedene Kategorien je nach Investitionsverhalten unterteilt werden (Quelle: stickmancyber.com ):
- „Besiegte“ = 23 Prozent der Unternehmen – IT-Sicherheit ist schwach und unterfinanziert, 6 Prozent vom IT-Budget wird in Sicherheit investiert.
- „Verweigerer“ = 37 Prozent der Unternehmen – IT-Sicherheit ist schwach, aber sie verstehen oder erkennen diese Tatsache nicht an, 6 Prozent vom IT-Budget wird in Sicherheit investiert.
- „Realisten“ = 23 Prozent der Unternehmen – Die IT-Sicherheit ist zufriedenstellend, aber sie wollen sie verbessern, 14 Prozent vom IT-Budget wird in Sicherheit investiert.
- „Egoisten“ = 17 Prozent der Unternehmen – die IT-Sicherheit ist gut, aber sie riskieren Selbstüberschätzung, 12 Prozent vom IT-Budget wird in Sicherheit investiert.
Abgesehen vom tatsächlichen Investitionsverhalten ist das vorhandene IT-Security-Budget von Relevanz, wie viel also überhaupt zur Verfügung steht. Zur Ermittlung des Budgets gibt es zwei Wege (Quelle: Secion.de ):
- Konventionell: Die Entscheidung wird auf Basis bereits gemachter Erfahrungen getroffen. Die konventionelle Budgetierung ist allerdings nur so lange anwendbar, bis unerwartete, neue Anforderungen auf Unternehmen zukommen.
- Risikofreudig: Eine Analyse und Wahrscheinlichkeitsschätzung der Risiken und ihrer Relevanz werden vorgenommen. Dies sollte von Experten begleitet, fortentwickelt und optimiert werden.
Es sollte nicht vernachlässigt werden, dass kein Unternehmen dauerhaft alle jemals möglichen Arten von Bedrohungen rundum absichern kann. Die Kunst ist also, Prioritäten bei der Auswahl von Posten im Budget für IT-Sicherheit zu setzen. Bestimmte Kostenverursacher wie Personalkosten und Kosten für die Wiederbeschaffung von Geräten, Anlagen und Systemen nach einem Cyberangriff sollten einkalkuliert werden. Empfehlenswert ist außerdem, bei einer Investition in die IT-Sicherheit eine Reserve für externe Dienstleister einzuplanen. Auch wenn bereits ein Berater oder Cybersecurity-Profi einbezogen wurde, so werden im Sinne einer 360°-Sicherheit unter Umständen zweite oder dritte Meinungen benötigt.
Zusammenfassend kann gesagt werden, dass gut geplante Investitionen mit Blick auf aktuelle Cyberbedrohungen und Bedrohungen der nahen Zukunft Unternehmen vor deutlich höheren Kosten schützen. Das IT-Security-Budget muss also nicht nur umsichtig festgelegt und ausgegeben werden, sondern auch auf das jeweilige Unternehmen hin maßgeschneidert geplant, vorbereitet und so auch geschützt werden. Ein erster Schritt könnte CyberCompare sein. Wir helfen Kunden bei der Priorisierung, spezifizieren Anforderungen und Leistungsbeschreibungen, vergleichen Angebote, führen Marktrecherchen durch und erstellen konkrete Entscheidungsvorlagen mit klaren Empfehlungen. Unser Ziel ist dabei immer, Cybersecurity einfacher, verständlicher und bezahlbarer zu machen.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.