Budgets reichen nicht für Cyber-Resilienz aus

Wie hoch sollte das Budget einer Organisation für Cybersicherheit sein? Größer als es in der Regel ist, so der kürzlich veröffentlichte State of Email Security Report von Mimecast. Der Bericht zeigt eine deutliche Zunahme der Besorgnis unter Sicherheitsexperten, dass ihre Unternehmen nicht genug in diesen Bereich der IT investieren.

Über alle Sektoren hinweg macht die Cybersicherheit inzwischen 14 % des durchschnittlichen IT-Budgets eines Unternehmens aus. Einerseits liegt dies nur wenige Prozentpunkte unter dem Wert, den diese Investitionen nach Ansicht von Cybersecurity-Experten haben sollten. Andererseits wächst die Besorgnis über die Angemessenheit dieser Ausgaben. 36 % der Teilnehmer am diesjährigen Bericht geben an, dass ihre Cybersicherheitsbudgets zu gering sind. Im letzten Jahr lag der Anteil dieser Besorgnis mit 27 % noch deutlich niedriger.

Ohne ein angemessenes Budget verpasst fast die Hälfte der Unternehmen (49 %) sowohl neue Innovationen im Bereich der Cybersicherheit als auch Verbesserungen ihrer bestehenden Systeme. Fast ebenso viele geben an, dass sie nicht so viel wie gewünscht in Cybersicherheitsschulungen für bestehende Mitarbeiter (46 %) und in die Einstellung neuer Mitarbeiter im Bereich Cybersicherheit (43 %) investieren können.

Einige allgemeinere Trends bei den Budgets für Cybersicherheit geben Anlass zur Hoffnung, dass die erforderlichen Ausgaben kommen werden. Aus einer separaten Umfrage des Marktforschungsunternehmens Gartner geht hervor, dass zwei Drittel der IT-Führungskräfte planen, ihre Cybersicherheitsbudgets bis 2022 zu erhöhen.[1]

Cybersicherheitsbudgets als Prozentsatz der IT

Es gibt keine allgemeingültige Antwort auf die Frage, wie viel man für einen IT-Bereich ausgeben sollte - auch nicht für Cybersicherheit. Die optimale Höhe der Ausgaben für Cybersicherheit hängt davon ab, in welcher Branche ein Unternehmen tätig ist, wie wahrscheinlich es ist, dass es Ziel bösartiger Akteure wird, und wie stark seine Abläufe durch jede Art von Angriff beeinträchtigt würden, unabhängig davon, ob dieser per E-Mail oder auf andere Weise erfolgt.

Aber in einem Bereich wie der Cybersicherheit, in dem Führungskräfte viel eher ins Rampenlicht geraten, weil sie etwas falsch gemacht haben, als weil sie etwas richtig gemacht haben, ist es ein gewisser Trost zu wissen, dass man sich zumindest in der gleichen Ausgabenspanne befindet wie seine Kollegen.

Das Bild, das die Mimecast-Umfrage zeichnet, zeigt bescheidene Unterschiede zwischen den tatsächlichen Cybersicherheitsbudgets und den Best-Practice-Vorstellungen. Im Durchschnitt sagen die Befragten in den 10 von Mimecast untersuchten Branchen, dass 17 % des IT-Budgets für Cybersicherheit aufgewendet werden sollten. Der ideale Prozentsatz ist am höchsten (19 %) in der Branche für Unternehmens- und professionelle Dienstleistungen und am niedrigsten (15 %) im öffentlichen Sektor.

Aber fast kein Sektor hat das Niveau der Cybersicherheitsausgaben erreicht, das er als optimal ansieht. (Siehe Diagramm.) Die einzige Ausnahme sind Unternehmen in den Bereichen IT, Technologie und Telekommunikation, wo die durchschnittlichen Ausgaben nach Ansicht der Sicherheitsexperten des Sektors dem Bedarf entsprechen. Die relativ hohen Ausgaben für die Cybersicherheit in diesem Sektor könnten darauf zurückzuführen sein, dass diese Unternehmen bevorzugte Ziele sind - sowohl wegen ihrer Sichtbarkeit als auch wegen der Angeberrechte, die sich aus einem Angriff auf sie ergeben.

[RH1] [kl2]

Wie man ein Budget für Cybersicherheit erstellt

Eine Selbstanalyse sollte der erste Schritt eines Unternehmens sein, um sein Budget für die Cybersicherheit zu bestimmen. Dazu gehört natürlich auch ein Blick auf die Ausgaben von Unternehmen derselben Branche - und ähnlicher Größe -. Benchmarks der internen Ausgaben anderer Unternehmen sind jedoch immer etwas ungenau und sollten im Falle der Cybersicherheit vor allem dazu dienen, eine erste grobe Vorstellung davon zu bekommen, wo ein Unternehmen möglicherweise landen möchte.

Hier sind die wichtigsten Überlegungen zur Budgetierung der Cyber-Resilienz:

• Regulatorische Anforderungen: Einige Unternehmen sind in Branchen tätig, für die bestimmte Konformitätsstandards gelten - wie die Datenschutzanforderungen des Health Insurance Portability and Accountability Act (HIPAA) - oder unterliegen umfassenderen Vorschriften von nationalen oder staatlichen Stellen. Sie haben die Wahl, wie sie diese Anforderungen erfüllen, aber nicht, ob sie dies tun sollen.

• Wettbewerbsdruck: Wenn ein Unternehmen anfängt, Aufträge an Konkurrenten zu verlieren, die Kundendaten besser schützen, kann das unterlegene Unternehmen unter Zugzwang geraten. In diesem Fall werden bestimmte Investitionen in die Cyber-Resilienz zu einer Art Grundvoraussetzung.

• IT-Risikoanalyse: Hier wird die Budgetierung am detailliertesten und organisationsspezifischsten. Nach Ansicht von Experten sollten Unternehmen jede ihrer IT-Ressourcen betrachten und sie nach ihrem Gefährdungsgrad sowie ihrer Bedeutung für das Unternehmen bewerten. Für ein Unternehmen könnte es sinnvoll sein, ein ERP-System (Enterprise Resource Planning) stärker zu schützen als ein E-Commerce-System. Für ein anderes Unternehmen könnte das Gegenteil der Fall sein.

• Input von internen und externen Stakeholdern: Sicherheitsverletzungen sind für ein Unternehmen ein emotionaler Schock und sehr störend. Selbst der Eindruck dass ein Aspekt der Systeme eines Unternehmens nicht sicher ist, kann sich auf den Betrieb auswirken. Die Bedenken können von einem Vorgesetzten, von Vorstandsmitgliedern oder von Kunden kommen. Dieser Input sollte in die Entscheidungsfindung der Cybersicherheitsabteilung einfließen.

• Integration: Die meisten Unternehmen wollen ihre zahlreichen Cybersicherheitssysteme integrieren, um mehr aus den in die Cybersicherheit investierten Mitteln zu machen. Acht von zehn (83 %) geben an, dass sie Sicherheitsplattformen mit offenen APIs bevorzugen, die eine breite Verbindung zwischen den Cybersicherheits-Tools ermöglichen. Die einhellige Meinung ist, dass diese Art der Integration die Effizienz ihrer Sicherheitsteams um durchschnittlich 15 % steigern könnte.

• Fortschrittliche Technologien: Künstliche Intelligenz und maschinelles Lernen helfen einigen Unternehmen dabei, Bedrohungen besser zu erkennen und ihre Reaktionszeiten bei der Behebung zu verkürzen. Die Umfrage von Mimecast zeigt, dass IT-, Technologie- und Telekommunikationsunternehmen heute am häufigsten KI/ML für Sicherheitszwecke nutzen. Fast zwei Drittel (63 %) der Unternehmen in diesem Sektor nutzen derzeit diese fortschrittlichen Technologien, verglichen mit 46 % in allen anderen Sektoren.

Die Quintessenz

Die Budgets für Cybersicherheit sind heute niedriger, als es den Sicherheitsverantwortlichen lieb ist. Durch eine sorgfältige Analyse ihrer IT-Ressourcen, die Konzentration auf bestimmte "Must-haves" und die Suche nach Effizienzgewinnen können Cybersecurity-Verantwortliche ihre Prioritäten abdecken und die Wirkung jedes ausgegebenen Euros maximieren.

[1] "Composable Business Is Driving Investing Choices for the Year Ahead," Gartner