IT-Risiken und Investitionen

IT-Budget hält nicht mit den Cyber-Bedrohungen Schritt

| Autor / Redakteur: Kai Grunwitz / Peter Schmitz

IT-Budgets werden trotz wachsender Aufgaben, wenn nicht gleich reduziert, so doch nicht annähernd so ausgeweitet, wie es nötig wäre, um den Risiken gerecht zu werden.
IT-Budgets werden trotz wachsender Aufgaben, wenn nicht gleich reduziert, so doch nicht annähernd so ausgeweitet, wie es nötig wäre, um den Risiken gerecht zu werden. (Bild: Pixabay / CC0)

IT-Security-Budgets wachsen nur moderat und funktioniert die IT-Sicherheit, sieht man von den Investitionen nichts. In einer digitalisierten Wirtschaft hängt aber für jedes Unternehmen alles von der Verfügbarkeit und Sicherheit der Daten ab. Ausfälle durch Sicherheitslücken oder Datenmissbrauch können hohe Kosten erzeugen, die dann oft deutlich über den Kosten für die IT-Sicherheit liegen.

Es hat sich mittlerweile in den Unternehmen herumgesprochen: Cyber-Angriffe nehmen stetig zu, die Gefahr wird nicht kleiner, sondern größer. Allein im zweiten Quartal 2017 sind sie weltweit um stolze 24 Prozent gestiegen. Beängstigend ist aber nicht nur die Quantität, denn auch die Art der Angriffe verändert sich: Sie werden immer komplexer, und raffinierter und damit schwerer zu bekämpfen. Zugleich sind in den letzten Jahren in den Unternehmen neue Angriffspunkte entstanden: Cloud-Computing, Internet der Dinge oder mobile Endgeräte stellen neue Risiken dar.

Angesicht dieser prekären Gefahrenlage ist es kein Wunder, dass in allen Unternehmen die Budgets für IT-Sicherheit nach oben schnellen, überall wird investiert, in Security-Experten, in materielle Ressourcen und in die entsprechenden Services – sollte man meinen. Tatsächlich aber sieht es ganz anders aus: Die IT-Budgets insgesamt werden trotz wachsender Aufgaben – nicht zuletzt in Verbindung mit der Digitalen Transformation – wenn nicht gleich reduziert, so doch nicht annähernd so ausgeweitet, wie es nötig wäre, um den Risiken gerecht zu werden.

Dabei haben die meisten IT-Verantwortlichen die Gefahr durchaus erkannt. In einer Studie des Marktforschungsunternehmens Vanson Bourne im Auftrag von NTT Security gaben 96 Prozent der Befragten an, dass ein Sicherheitsvorfall mit Datendiebstahl gravierende negative Auswirkungen für ihr Unternehmen habe. 52 Prozent glauben nicht, dass dieses Risiko bloß theoretischer Natur ist und rechnen mit einer Verletzung der Informationssicherheit.

Das Bewusstsein ist also vorhanden. Aber wenn es darum geht, sich konkret vorzubereiten, sieht es noch mau aus: Die Investitionen der Unternehmen in die IT-Sicherheit sind weiterhin spärlich. So fiel die Steigerung gegenüber der entsprechenden Vorjahresstudie trotz wachsender Bedrohung bescheiden aus: von 11 auf 15 Prozent Anteil am IT-Gesamtbudget.

Doch nicht nur der geringe Gesamtumfang der Investitionen in die IT-Sicherheit eines Unternehmens ist ein Problem, auch die Art und Weise wie die betreffenden Investitionsentscheidungen zustande kommen, ist häufig ein gefährliches Wagnis. So zeigt sich in Projekten immer wieder, dass Unternehmen neuen Gefahren mit der Implementierung zusätzlicher Sicherheitslösungen begegnen. Die Folge solcher nicht ausreichend durchdachter Investitionen sind kostspielige Insellösungen und schwer zu managende Flickenteppiche. Ein ganzheitliches Lösungskonzept, das den kompletten Sicherheitsbedarf entsprechend dem spezifischen Risikoprofil eines Unternehmens abdeckt, ist dagegen nur selten anzutreffen.

Zugegeben, Investitionen in die IT-Sicherheit haben ein grundsätzliches Problem: Es handelt sich um unproduktive Kosten – Kosten, die das Unternehmen und sein Geschäftsmodell zunächst einmal nicht voranbringen. In einer idealen Welt, also in einer Welt ohne Cyber-Kriminalität und ohne eigenen Nachlässigkeiten, würde man weiter in Hardware und Software, in Mitarbeiter, Gebäude und Kaffeetassen investieren müssen, aber nicht in IT-Sicherheit; wobei entsprechendes natürlich auch für Türschlösser, Wegfahrsperren und die Feuerwehr gilt.

Doch leider kann man mit Hätte, Wäre, Wenn kein Business gestalten. Also muss man sich der Realität der nicht ganz idealen Welt stellen, und das heißt nun mal, dass man nicht nur für Türschlösser, sondern auch IT-Sicherheit Geld in die Hand nehmen muss. Wie viel, das hängt zum einen von den Bedrohungen ab, zum anderen aber auch entscheidend davon, was auf dem Spiel steht. Und das ist heute eine ganze Menge, denn in einer mehr und mehr digitalisierten Wirtschaft, hängt für jedes Unternehmen alles von der Verfügbarkeit und Sicherheit der Daten ab. Ausfälle aufgrund von Sicherheitslücken oder Missbrauch von Daten können hohe Kosten haben, die dann auch deutlich über den Kosten für IT-Sicherheit liegen. Schlimmstenfalls kann es zum Ruin des betreffenden Unternehmens kommen. Aufwendungen und Investitionen für die IT-Sicherheit sind im Hinblick auf die möglichen Folgen eines Schadensfalls zu bewerten.

Und nur nebenbei: Die Aufsichtsbehörden überlassen das Investition in IT-Sicherheit und Datenschutz künftig nicht mehr dem Urteil einzelner Unternehmen – aus gutem Grund, wie die oben genannten Zahlen belegen. Mit der seit 25. Mai 2018 in allen EU-Mitgliedsstaaten geltenden Datenschutz-Grundverordnung sind sie darauf explizit verpflichtet. Bei Verstößen drohen empfindliche Sanktionen: die Behörden können Bußgelder von bis zu zehn Millionen Euro beziehungsweise bis zu zwei Prozent des Jahresumsatzes verhängen – und dabei ist noch gar kein Schaden eingetreten.

Aus welchem Grund auch immer, ob aus eigener Risikoabwägung oder aus Furcht vor Strafe, die Unternehmen müssen massiv in IT-Sicherheit investieren. Vor der Bedrohung die Augen zu verschließen und nach dem Prinzip "wird schon gut gehen" zu verfahren, wäre sträflicher und außerordentlich teurer Leichtsinn.

Über den Autor: Kai Grunwitz ist Senior Vice President EMEA bei NTT Security.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45327574 / Sicherheits-Policies)