CyberCompare

IT-Sicherheit Ausgaben Benchmarking: Übersicht und Trends

Das Risiko steigt

Die Digitalisierung hat Gesellschaft und Wirtschaft in den vergangenen Jahren gleichermaßen erheblich geprägt. Während dieser Megatrend zweifelsohne eine Reihe von positiven Auswirkungen mit sich bringt, sehen sich Unternehmen durch die zunehmende Bedeutung von Informationstechnologie (IT) und vernetzter Betriebstechnologie (OT) auch mit neuen Risiken ausgesetzt. Ein Indikator für das „neue“ Risiko ist das Allianz Risk Barometer, welches jährlich den Input von 2.700 Experten aus über 100 Ländern auswertet, um die größten Unternehmensrisiken zu identifizieren. Während Cyberrisiken 2013 im weltweiten Ranking gerade mal auf Platz 15 der meistgenannten Betriebsrisiken lagen (6% der Antworten), wurden diese im Jahr 2020 global mit 39% der Antworten als größtes Geschäftsrisiko wahrgenommen (AGCS).

Eine Entwicklung, die sich auch in den Fallzahlen von Cyberangriffen widerspiegelt: Laut Bitkom Studie von 2021 wurden in Deutschland in den vergangenen zwei Jahren 86% aller befragten Unternehmen (n = 1.067) Opfer von Cyberangriffen jeglicher Art. 

Zahlen, die vom Bundeskriminalamt gestützt werden, welches von 2018 auf 2019 einen Anstieg von 16% an Cyberkriminalitätsfällen feststellte (LBBW).

Die Antwort der Unternehmen

Dass Unternehmen diese Entwicklung wahrgenommen haben, zeigen die gestiegenen Gesamtausgaben von Unternehmen für IT-Sicherheit. Insgesamt 4,9 Milliarden Euro Ausgaben für IT-Sicherheit wurden vom Statistischen Bundesamt für 2020 vorausgesagt, 7% mehr als im Vorjahr. Besonders spannend ist die Entwicklung im Vergleich zur Steigerung der gesamten Ausgaben für IT, welche laut Bitkom im gleichen Zeitraum nur bei 2,7% lag. Die IT-Sicherheit nimmt in den Unternehmen also zunehmend eine bedeutendere Rolle ein.

Gleichzeitig ist davon auszugehen, dass sich dieser Trend weiter fortsetzen wird. Laut einer Gartner Studie von 2020 identifizierten 61% der befragten CIOs IT-Sicherheit als Thema für Budgetsteigerungen. Damit zeigt die Umfrage die gleichen Ergebnisse wie eine TCS & Bitkom Studie von 2019, in der IT-Sicherheitslösungen noch über Datenanalyse-Software und Kollaboration-Tools als wichtigstes Investitionsziel erkannt wurde (TCS & Bitkom).

Neuinvestitionen allein sind jedoch nicht aussagekräftig über den aktuellen Stand der IT-Resilienz in Unternehmen. Da Unternehmen häufig Schwierigkeiten haben die effizientesten Maßnahmen zu vereinen, gilt grundsätzlich, dass Ausgaben für IT-Sicherheit kein abschließendes Bild über die IT-Resilienz von Unternehmen liefern. Dennoch erlaubt ein Blick darauf eine gute erste Einschätzung und interessante Einblicke über den aktuellen Stand.

Schaut man zunächst auf die aktuell getätigten Ausgaben für IT-Sicherheit von Unternehmen aus unterschiedlichen Branchen, sind besonders zwei Kennzahlen interessant: Die Größe des Gesamt-IT-Budget gemessen am Umsatz und der prozentuale Anteil des Gesamt-IT-Budget der für IT-Sicherheit genutzt wird.

Bei einem Blick auf den Anteil des IT-Budgets vom Gesamtumsatz zeigt sich im Branchen-Durchschnitt ein sehr konstantes Bild. So beträgt laut einer Kienbaum-Studie das Gesamt-IT-Budget seit der Finanzkrise 2009 jeweils zwischen 3,2% und 3,7% des Gesamtumsatzes mit einer leicht steigenden Tendenz in den letzten Jahren. Dies lässt darauf schließen, dass Unternehmen unabhängig von ihrer wirtschaftlichen Situation den relativen Bedarf an Gesamt-IT-Ausgaben gleich hoch einschätzen. Gemäß dieser Ausgangslage ist jegliche Volatilität daher auf gesamtunternehmerische und wirtschaftliche Zusammenhänge, anstatt auf spezielle IT-Themen, zurückzuführen. Selbstverständlich variiert der Anteil je nach Industrie, dennoch kann die Konstanz der Ausgaben über den Verlauf der Jahre grundsätzlich angenommen werden. Hieraus ergibt sich die Erkenntnis, dass CIOs mit einem, anteilig vom Umsatz, gleichbleibendem Budget planen können.

Bedenkt man nun die steigenden Anforderungen an IT-Sicherheit und die zumindest in Relation zum Umsatz gleichbleibenden IT-Budgets, stellt sich die besonders spannende Frage wie hoch Budgets für IT-Sicherheit in Unternehmen ausfallen. Hierbei lohnt sich der detaillierte Blick auf unterschiedliche Industrien, um eine grundsätzliche Größenordnung abzuschätzen. Gartners jährliche „IT-Key Metrics“ zeigen hierbei eine Spanne von 4,5% – 9,5%, mit dem Großteil der Industrien zwischen 5,0% und 6,1% für IT-Sicherheitsausgaben gemessen am gesamten IT-Budget. Betrachtet man nun beispielhaft ein Unternehmen mit 400 Millionen Euro Umsatz, würde demnach die Gesamtausgaben für IT-Sicherheit ohne Personalkosten ca. 720.000 Euro betragen (Annahme 3,3% des Umsatzes als Gesamt-IT-Budget, 5,5% des Gesamt-IT-Budgets für IT-Security).

Gemessen an Benchmarks ist dabei allerdings noch Luft nach oben. So setzt Deloitte in Folge ihrer Studienergebnisse und Praxiserfahrung 5% des IT-Budgets als Minimum für IT-Sicherheit an. In der Spitze kann das Budget bis 20% anteilig vom gesamten IT-Budget reichen, eine Größe, von der sämtliche Industrien bislang weit entfernt sind.

Nimmt man nun also einen Mittelwert von 12,5% des IT-Budgets für das IT-Sicherheits-Budget, so sollten die IT-Sicherheits-Ausgaben für das durchschnittliche Mittelstandsunternehmen mit EUR 400 Millionen Umsatz stattdessen ca. EUR 1,65 Millionen betragen.

In der Realität kann CyberCompare in Kunden- und Marktbefragungen jedoch häufig Abweichungen von den genannten Umfragen und Zielbildern feststellen und keine klaren Zuteilungen vom IT-Budget für IT-Sicherheit feststellen. Stattdessen kämpfen viele Unternehmen trotz der gestiegenen Awareness für IT-Risiken weiterhin damit, genügend Mittel für IT-Sicherheit bereitzustellen.

In Zeiten von immer weiter steigenden Risiken stellt dies eine große Bedrohung für viele Unternehmen dar. Schlimmer als zu wenig Budget sind dabei besonders kein klar zugeteiltes IT-Sicherheitsbudget, da Unternehmen in diesen Fällen jegliche Ausgaben für IT-Sicherheit einzeln bewilligen müssen. Dabei sollte IT-Security keinesfalls internen Ressourcenkämpfen zum Opfer fallen.

Um solche Schwierigkeiten zu vermeiden, können Sie sich an drei wichtigen Schritten orientieren.

Zunächst gilt es Bewusstsein für das hohe Risiko zu schaffen, besonders auf C-Level. Hierbei ist es zunächst notwendig, Ihre individuelle aktuelle Lage zu verstehen und das Risiko einzuschätzen. Eine spezialisierte Diagnostik hilft hierbei, die Gefährdungslage zu verstehen, und Handlungsfelder zu identifizieren. Wenn erst einmal Bewusstsein für die individuelle Situation geschaffen ist, können genaue Schritte ausgearbeitet werden.

Diese genauen Schritte sollten dann in einer detaillierten Roadmap festgehalten werden. An dieser Stelle sollte es dann auch zu einer genauen Aufteilung der verfügbaren Ressourcen kommen. Somit können Sie nicht nur Entscheidungsträger im Unternehmen überzeugen, sondern auch ein möglichst effizientes Portfolio an Lösungen zusammenzustellen. Hierbei sollte jedoch genau darauf geschaut werden, welche Investitionen sinnvoll sind. Während laut IDG Studie ein Großteil der Neuinvestitionen aktuell auf die Angriffsabwehr angelegt ist, sollten Unternehmen sich auch die Frage stellen, wie man Angriffe im Vorfeld vermeiden kann. Die akute Angriffsabwehr kann und sollte lediglich die Versorgung für den absoluten Notfall sicherstellen, während die Angriffsvermeidung den Auftakt einer vollständigen IT-Sicherheits-Roadmap darstellt.

Zuletzt sollten Sie sichergehen, sich auf dem Weg zur IT-Sicherheit von starken Partnern mit großer Expertise begleiten zu lassen. CyberCompare hilft Ihnen dabei, Ihr Risiko zu verstehen, eine geeignete Roadmap aufzustellen, und sich entsprechend in der aktuellen Risikolage abzusichern. Zögern Sie nicht, sich bei uns zu melden und einen ersten Termin mit uns zu vereinbaren.

Quellen:

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.