Cybersicherheit ist ein wichtiges Thema für Unternehmen, unabhängig von deren Größe oder Branche. Da die potenziellen Bedrohungen weltweit zunehmen, wächst auch der Cybersicherheitsmarkt. Käufer oder Käuferinnen von Cybersicherheitsprodukten wünschen sich mehr Transparenz. Auf dem Markt für Cybersicherheit gibt es derzeit rund 7.000 Anbieter; es wird erwartet, dass der globale Markt für Cybersicherheit bis 2027 348,26 Milliarden US-Dollar erreicht, mit einer durchschnittlichen Wachstumsrate von 9,9 % von 2020 bis 2027. (Quelle: Allied Market Research ) Dies stimmt mit der Analyse von Cybersecurity Ventures überein, die zeigt, dass 55 % der Unternehmen ihre Ausgaben für Cybersicherheit im Jahr 2021 erhöhten. Im selben Jahr waren laut dem Verizon Data Breach Investigations Report jedoch 43% der Sicherheitsverletzungen auf eine Sicherheitslücke bei Drittanbietern zurückzuführen. Vor diesem Hintergrund ist es umso erstaunlicher, dass das globale Beratungsunternehmen Deloitte in einer kürzlich durchgeführten Studie feststellte, dass 59 % der Unternehmen keinen formellen Beschaffungsprozess für Cybersicherheit haben.
Als Teil der allgemeinen Sicherheitsstrategie eines Unternehmens spielt eine effektive Beschaffung von Cybersicherheitslösungen eine wesentliche Rolle bei der Absicherung eines Unternehmens. Sie ist dafür verantwortlich, ein passendes Paket von Diensten und Technologien zu erwerben und die Lieferanten oder Lieferantinnen regelmäßig zu bewerten und die Vertragsbedingungen neu zu gestalten (z.B. um neue Vorschriften zu berücksichtigen), um sicherzustellen, dass die Sicherheitsmaßnahmen des Unternehmens wirksam und relevant bleiben. In diesem Artikel werden die Bedeutung und die Merkmale eines umfassenden Beschaffungsprozesses untersucht.
Warum ist das wichtig?
Anhand der bereits vorgestellten Marktzahlen lässt sich erkennen, dass es Potenzial für wirtschaftliche Verbesserungen gibt, da ineffiziente Märkte in der Regel Verhandlungsmöglichkeiten bieten. Um diese zu nutzen, bedarf es eines strukturierten Ansatzes, denn Struktur trägt zu Effizienz, Effektivität und, im Falle der Cybersicherheit, auch zur Verringerung potenzieller Verstöße bei. Ein Beschaffungsprozess für Cybersicherheit deckt aus verschiedenen Gründen alle drei Aspekte ab. Er hilft bei der Beschaffung der benötigten Technologie und des Dienstleistungspakets für die Umsetzung der Cybersicherheitsmaßnahmen, die (zuvor) in der Sicherheitsstrategie des Unternehmens festgelegt wurden (s. ISMS-Artikel). Mit einem definierten Prozess erfolgt die Beschaffung auf der Grundlage spezifischer Kriterien. Auf diese Weise erfolgt die Auswahl von Anbietern auf strukturierte und transparente Weise, was sowohl zur Schaffung von Wettbewerb als auch zur Einhaltung der Konformität beiträgt. Ein Wettbewerb kann nur entstehen, wenn Sie einen Überblick über die relevanten Anforderungen von vergleichbaren Angeboten von Anbietern haben. Je strukturierter der Beschaffungsprozess und je transparenter die Anbieterauswahl, desto einfacher ist die Einhaltung der Compliance-Vorschriften. Das ist insbesondere bei öffentlichen Ausschreibungen notwendig, bei denen auch Bosch CyberCompare helfen kann.
Wir werden oft gefragt, wie viel Geld wir mit einem formalen Cybersecurity-Beschaffungsprozess einsparen können. Leider lässt sich diese Frage nicht pauschal beantworten, denn die Höhe hängt von der Größe und Art des Unternehmens, der Art der implementierten Sicherheitsmaßnahmen und der Schwere der Bedrohungen ab. Die Beschaffung von Cybersicherheit unterliegt jedoch der gleichen Dynamik wie die Beschaffung anderer Waren und Dienstleistungen. Wettbewerb trägt also immer dazu bei, Lösungen zu finden, die in Bezug auf Qualität und Preis optimiert werden.
Merkmale eines umfassenden Beschaffungsprozesses
Die Grundlage für die meisten Beschaffungsprozesse sollte eine Risikobewertung Ihres Unternehmens sein, denn sie schafft Transparenz über die Risiken und darüber, welche Kontrollmaßnahmen implementiert werden müssen. Um diese Kontrollmaßnahmen zu realisieren, können Sie einen Service- und Technologie-Stack definieren. Je nach Branche und Marktcharakteristik gibt es möglicherweise Vorschriften und Gesetze, die zusätzlich berücksichtigt werden müssen, wie z. B. das IT-Sicherheitsgesetz in Deutschland, das für so genannte „Kritische Infrastrukturen (KRITIS)“ gilt. Namhaftere Unternehmen verfügen in der Regel über ein ISMS (Information Security Management System), eine Methode zur Risikobewertung.
Die Durchführung eines formellen Ausschreibungsverfahrens ist ein weiterer wichtiger Bestandteil der Beschaffung von Cybersicherheitslösungen. Darüber hinaus kann ein Ausschreibungsverfahren Organisationen helfen:
1. Kosten und Werte verschiedener Sicherheitslösungen zu vergleichen, um das beste Gesamtangebot für die Organisation zu ermitteln.
2. Bewertung der Sicherheitsmerkmale und -funktionen verschiedener technischer Maßnahmen und Vergleich mit Branchenstandards und bewährten Verfahren, um sicherzustellen, dass Sie die spezifischen Sicherheitsanforderungen der Organisation erfüllen.
3. Stellen Sie sicher, dass alle potenziellen Anbieter ein klares Verständnis der Sicherheitsanforderungen der Organisation haben, um genaue und vollständige Vorschläge zu unterbreiten.
4. Bewerten Sie die Qualifikationen und Erfahrungen potenzieller Anbieter, um sicherzustellen, dass sie über das technische Fachwissen verfügen, um die erforderlichen Sicherheitslösungen zu liefern. Dies sollte die Bewertung der Sicherheitspraktiken, der Erfolgsbilanz und der Referenzen eines Anbieters einschließen.
5. Handeln Sie spezifische Sicherheitsanforderungen in Verträgen mit Anbietern aus, um sicherzustellen, dass der Anbieter für die Bereitstellung sicherer Dienste und Produkte verantwortlich ist. Die Meldung von Sicherheitsverletzungen und die Haftung für Sicherheitsvorfälle sollten hierbei fester Bestandteil sein.
6. Stellen Sie sicher, dass die Beschaffungsprozesse transparent und fair sind, um Interessenkonflikte zu vermeiden und um sicherzustellen, dass die bestmögliche Lösung ausgewählt wird.
Häufige Fehler, die im Beschaffungsprozess vermieden werden sollen:
Zunächst geht es darum, klare Ziele und Anforderungen zu definieren. Vor allem im Bereich der Cybersicherheit ist dies wichtig, da sich der Bereich ständig weiterentwickelt und deshalb selbst für Experten oder Expertinnen schwer zu durchschauen ist. Klar definierte Ziele und Anforderungen können helfen überhöhte Ausgaben oder die Beschaffung von Lösungen, die nicht gegen die Sicherheitsbedrohungen des Unternehmens wirken, zu vermeiden.
Konzentriert man sich ausschließliche auf die Kosten, kann dies dazu führen, dass Lösungen mit unzureichenden Sicherheitsmerkmalen oder -funktionen beschafft werden, was das Risiko eines Sicherheitsverstoßes und höhere Kosten für die Reaktion auf einen Angriff und die Wiederherstellung erhöht.
Reaktion und Wiederherstellung: Wir empfehlen daher, stets einen wertorientierten Ansatz zu verfolgen und die Gesamtbetriebskosten (TCO) der Lösung zu bewerten. Dies bringt natürlich einen zweiten Vorteil mit sich, da Sie automatisch die Einführungskosten, wie z. B. die Implementierung in die bestehende Landschaft (Systeme, Prozesse) und die Schulung von Mitarbeitenden, sowie die laufenden Kosten, wie z. B. für Wartung, Upgrades und Support, berücksichtigen.
Was jetzt passt, passt vielleicht in Zukunft nicht mehr, da auch Bedrohungen sich weiterentwickeln. Daher ist es wichtig, die Skalierbarkeit und Zukunftssicherheit einer Lösung zu prüfen. Vergleichen Sie sie diese mit den Wachstumsplänen Ihres Unternehmens und ermitteln Sie technologische und wirtschaftliche Hindernisse. Verhandeln und definieren Sie Ihre Anforderungen vor der Vertragsunterzeichnung.
Ein umfassender Beschaffungsprozess im Bereich der Cybersicherheit ist für die Gesamtsicherheit eines Unternehmens entscheidend. Er hilft dabei die richtigen Technologie- und Dienstleistungspartner zu vernünftigen wirtschaftlichen Bedingungen zu finden. Die Durchführung einer formellen Ausschreibung kann jedoch Zeit und Mühe kosten. Dennoch kann es Unternehmen dabei helfen, fundierte Entscheidungen über ihre Sicherheitsinvestitionen zu treffen und sicherzustellen, dass die Lösungen ihren spezifischen Bedürfnissen und Anforderungen entsprechen. Wir von Bosch CyberCompare sind auf die Durchführung solcher Ausschreibungen spezialisiert, da wir Unternehmen dabei unterstützen, den Einkauf von Cybersecurity effizienter zu gestalten und so den Ertrag des Sicherheitsbudgets eines Unternehmens zu maximieren.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
