Wie hoch sollte eigentlich mein IT Security Budget sein?
von Svenja Koch
In den vergangenen Jahren sind die Ausgaben für Sicherheit in der IT drastisch gestiegen. Die weltweite Digitalisierung, das Internet of Things und nicht zuletzt der hohe Anteil an Arbeitnehmern, die während der Corona Pandemie ins Home-Office gewechselt sind, machen eine Investition in IT-Sicherheit unverzichtbar. Doch wissen Sie eigentlich, wie hoch ein IT Security Budget sein muss, damit eine umfassende Sicherheit für Ihr Unternehmen gewährleistet ist? Welche Parameter treiben die Kosten für IT Security in die Höhe, wo kann unter Umständen gespart und optimiert werden? Welche Risiken Sie bei der Festlegung Ihres IT Security Budgets unter keinen Umständen außer Acht lassen sollten, erfahren Sie in diesem Beitrag.
IT Security als neuer Schwerpunkt bei der Budgetierung
Aus einer interessanten Studie aus dem Jahre 2019 der Bitkom Research and Tata Consulting Services geht hervor, dass ein deutlicher Teil aller Unternehmen in der nahen Zukunft Ihre Investitionen in IT Sicherheit ausbauen wollen. Wobei „wollen“ eventuell das falsche Wort ist – denn wenn man die immer häufigeren Cyberangriffe und die damit einhergehenden Gefahren betrachtet, ist die Investition in IT -Sicherheit vielmehr ein Muss. Die präventive Abwehr von Cybergefahren ist in der Regel kosteneffizienter als die Behebung eines Schadens nach einem Angriff. Dennoch sehen Experten die Verschiebung des Budgets kritisch. Denn je mehr Geld Unternehmen in die IT Security stecken, desto weniger finanzieller Spielraum bleibt für Investitionen in die weitere Digitalisierung – und damit die Zukunftsfähigkeit – übrig. Wie bekommt man nun beide Anforderungen – Sicherheit einerseits und Zukunftsfähigkeit andererseits, unter einen Hut?
Das IT Security Budget festlegen – konventionell oder eher risikofreudig?
Für jede Entscheidung, die Ihre Zukunft betrifft, können Sie genau zwei Wege einschlagen. Entweder treffen Sie ihre Entscheidung aufgrund bereits gemachter Erfahrungen in der Vergangenheit – dann gehören Sie zu den Menschen, die bevorzugt konventionell entscheiden. Oder Sie gehören zu den Analysten, die eine Situation genau unter die Lupe nehmen und abschätzen, wie wahrscheinlich es ist, dass diese Situation sich in der Zukunft verändert. Abschätzen ist immer risikobehaftet – daher würden Sie in diesem Fall zu den risikobasierten Entscheidern gehören. Mit den gleichen Annahmen wird auch das IT Security Budget festgelegt.
Wählen Sie den konventionellen Weg der IT Security Budgetierung, dann
• basieren Ihre Planungen auf Erfahrungen, die Sie in der Vergangenheit gemacht haben – beispielsweise bereits erfolgte Cyberangriffe
• oder Sie reagieren mit dem zu vergebenden Budget unmittelbar auf aktuelle Bedrohungslagen
• erhalten Sie schnell die wichtigsten Tools, die Sie unbedingt benötigen
• belassen Sie die Höhe des Budgets für einen längeren Zeitraum unverändert
• verzichten Sie auf das Festlegen von strategischen Zielen
• investieren Sie in die Sicherheit nur dann, wenn es dringend und unumgänglich ist
Die konventionelle Budgetierung ist zweifelsfrei anwendbar. Dies allerdings nur so lange, bis unerwartete, neue Anforderungen auf Ihr Unternehmen zukommen. Gerade mit zunehmender Digitalisierung können neue Bedarfsstellen auftreten, beispielsweise für ein neues ERP oder auch eine weitere Unternehmenspräsenz. Ganz schnell kann es hier passieren, dass das fest eingeplante IT Security Budget an anderer Stelle benötigt und damit umverteilt wird. Diese Art der Planung kann sehr wirtschaftlich sein – nämlich für Unternehmen, die ein ausgefeiltes Risiko-Management betreiben. Andererseits kann die konventionelle Budgetierung der IT-Sicherheit aber auch richtig teuer werden! Denn tritt ein ungeplantes Ereignis ein, beispielsweise ein größerer Cyberangriff, muss dieses ohne Zeitverzögerung gelöst werden. Das treibt die Kosten für IT Security dann ungeplant drastisch in die Höhe.
Wählen Sie hingegen bei der Festlegung des IT Security Budgets den risikobasierten Weg, dann
• bewerten Sie mögliche Risiken nach ihrem direkten Einfluss auf das Geschäft
• sortieren Sie die Risiken nach Ihrer Relevanz und ihren Auswirkungen
• erstellen Sie eine Risikobewertung, die die Wahrscheinlichkeit eines eintretenden Ereignisses in ein Verhältnis zu den Kosten, die durch das Ereignis entstehen, setzt
Das Risikomanagement ist insbesondere in der IT von größtem Nutzen – allerdings nur genau dann, wenn Experten die Entscheidungsfindung rund um zukünftig zu verwendende IT Security Maßnahmen begleiten, fortentwickeln und optimieren.
Welche Kosten dürfen Sie bei der Budgetierung der IT-Sicherheit nicht vernachlässigen?
Kein Unternehmen kann dauerhaft alle jemals möglichen Arten von Bedrohungen rundum absichern. Die Kunst ist es also nun, Prioritäten bei der Auswahl von Posten in Ihrem Budget für IT-Sicherheit zu setzen. Geht es um die Investition in IT-Sicherheit, werden einige Kostenverursacher gerne übersehen. Hierzu zählen Personalkosten (gerade bei einem so leergefegten Markt wie im Bereich der Cybersicherheit), aber auch zu niedrig geschätzte Kosten für die Wiederbeschaffung von Geräten, Anlagen und Systemen nach einem Cyberangriff. Empfehlenswert ist es auf jeden Fall, bei einer Investition in die IT-Sicherheit eine Reserve für externe Dienstleister einzuplanen. Auch wenn bereits ein Berater oder Cybersecurity-Profi für Ihr Unternehmen tätig ist, so werden im Sinne einer 360°-Sicherheit unter Umständen zweite oder dritte Meinungen benötigt.
Folgende Positionen können erfahrungsgemäß die Budgetplanung zu Fall bringen:
• Kosten für Incident Response.
In vielen Budgetplanungen werden die indirekten Kosten, die bei einer notwendigen Reaktion auf einen Cyberangriff entstehen, nicht im Vorfeld mit eingeplant. Gerade kleinere Unternehmen verzichten viel zu oft noch auf einen Aufbau von Maßnahmenpaketen, mit denen auf Cyberangriffe reagiert wird. Im Schadensfall ziehen sich ohne Incident Response Strategien Vorfälle in die Länge.
• Zu niedrig geschätzte Kosten für die Wiederbeschaffung.
Nach einem erfolgreichen Cyberangriff ist der Austausch von Komponenten oder Systemen manchmal unumgänglich. Die Wiederbeschaffung von in Mitleidenschaft gezogener IT-Infrastruktur wird zwar in die Budgetplanung mit aufgenommen – dies jedoch beschränkt auf die Kosten, die für den Austausch der gefährdetsten Komponenten oder Systeme entstehen. Dieses „Fahren auf Sicht“ geht zumeist schief. Denn der finanzielle Schaden nach einem Cyberangriff ist zumeist deutlich höher als vorher prognostiziert.
• Kosten für qualifiziertes Personal.
Mit einem Blick in die gängigen Stellenbörsen wird klar: Angebot und Nachfrage stimmen gerade im Bereich der IT-Experten längst nicht mehr. Immer mehr IT-Arbeitsplätze benötigen Personal – und immer weniger IT-Spezialisten sind auf dem freien Markt verfügbar. Unternehmen sind also tunlichst beraten damit, die Kosten für die Einstellung der zukünftigen IT-Profis nicht zu niedrig zu kalkulieren. Gerade im Bereich der hoch spezialisierten IT-Security können sich qualifizierte Fachkräfte ihren Arbeitgeber und ihr Gehalt quasi frei aussuchen – wer hier mithalten möchte im „War on Talents“, der sollte entsprechende Kosten in die Budgetierung mit einbeziehen.
• Externe Berater oder Cyberabwehrspezialisten.
Externe IT Security Unternehmen stellen ein probates Mittel dar, die unternehmenseigene IT Security zu entlasten und gleichzeitig eine möglich umfassende Sicherheit zu generieren. Viele Unternehmen setzen auch schon auf diese Unterstützung. Es ist allerdings anzuraten, dass die Budgetplanung auch mögliche Kosten für zusätzliche Dienstleister beinhaltet – getreu dem Motto „Vier Augen sehen mehr als zwei“.
Welche Investition in die IT-Sicherheit lohnt sich mit Blick auf die Zukunft?
Mit Blick auf die kommenden Jahre ist eine nochmals steigende Datenintegration zu erwarten, die angepasste, teils auch neue Maßnahmen im Bereich der IT Security notwendig machen. Im Fokus der Digitalisierung steht die Industrie 4.0 – und mit ihr Herausforderungen wie Cloud-Dienste, SaaS (Software as a Service) oder miteinander vernetzte Endgeräte und Maschinen, die die IT Security herausfordern. Entsprechend sollte das IT Security Budget nicht nur die aktuellen Cyberbedrohungen im Blick haben, sondern auch die Bedrohungen der nahen Zukunft.
Dass eine Investition in IT-Sicherheit notwendig und wichtig ist, haben die allermeisten Unternehmen in Deutschland bereits verinnerlicht. Die Cyberbedrohungen werden nicht nur quantitativ, sondern auch qualitativ zu einer immer größeren Gefahr für die Geschäftsfähigkeit eines Betriebes. Spionage, Sabotage, Datenklau: Wer kein passendes Konzept für seine Cyberabwehr in der Tasche hat, der steht schnell vor einem Berg an Kosten. Umso wichtiger ist es daher, das IT Security Budget umsichtig und auf das jeweilige Unternehmen hin maßgeschneidert festzulegen.
Fazit
Bei der Investition in IT-Sicherheit beziehungsweise bei der Festlegung des IT Security Budgets lässt sich auf zwei Arten vorgehen. Bei der konventionellen Vorgehensweise werden Erfahrungen aus der Vergangenheit dazu genutzt, auf mögliche Ereignisse in der Zukunft zu reagieren. Diese konventionelle Planung des IT Security Budgets funktioniert gut – allerdings nur bis zum Punkt, an dem ungeplante Ereignisse die Budgetierung sprengen. Der andere Weg, um die Kosten für IT Security zu planen, ist die risikobasierte Methode. Hier werden mögliche Risiken nach ihrer Relevanz und ihren Auswirkungen auf das Geschäft analysiert, sortiert und bewertet. Sofern entsprechende Experten im Unternehmen verfügbar sind, empfiehlt sich der risikobasierte Weg.
Eines ist aber sicher: Die Kosten für IT Security sind Kosten, die vor deutlich höheren Kosten schützen. Denn je präziser und umfassender eine IT Security Abteilung agieren kann, desto mehr Cyberbedrohungen lassen sich bereits im Vorfeld verhindern. Und das schont nicht zuletzt das Budget.