Sicherheit und Budgetierung IT-Security-Kosten, die gerne übersehen werden

Autor / Redakteur: Dipl. Betriebswirt Otto Geißler / Peter Schmitz

Erfahrungen haben gelehrt, dass es meist kostengünstiger ist, eine Hacker-Attacke zu verhindern, als den Schaden nach einem Angriff beheben zu müssen. Welche wesentlichen Budgetposten der IT-Security werden dabei von Controllern häufig übersehen oder nicht realistisch bewertet?

Firma zum Thema

Da die Security-Budgets nicht in dem Maße steigen können, wie sich die Bedrohungen weiterentwickeln, müssen Unternehmen eine Priorisierung vornehmen.
Da die Security-Budgets nicht in dem Maße steigen können, wie sich die Bedrohungen weiterentwickeln, müssen Unternehmen eine Priorisierung vornehmen.
(© H_Ko - stock.adobe.com)

Jedes Unternehmen, unabhängig von seiner Größe oder Ausrichtung am Markt, sollte ein maßgeschneidertes, genaues IT-Security-Budget erstellen. Dennoch versehen viele Unternehmen ihre IT-Security-Budgets mit kritischen Auslassungen, die sie anfällig für Hacker-Attacken und somit für erhebliche finanzielle Schäden machen können.

Da die Budgets natürlich nicht in dem Maße steigen können, wie Bedrohungen auftreten oder sich weiterentwickeln, ist es unmöglich, für alle Eventualitäten abgesichert zu sein. Das heißt, es muss eine Priorisierung erfolgen. Aber welche Budgetposten sind für die Cybersicherheit eines Unternehmens wichtig oder werden von Controllern gerne übersehen?

Personalbeschaffung und -bindung

In den vergangenen Jahren hat sich die Kluft zwischen qualifizierten Fachkräften und der quasi exponentiell wachsenden Zahl von IT-Arbeitsplätzen stetig vergrößert. Der unerbittliche Wettbewerb um hoffnungsvolle Talente geht also unbeirrt weiter. Entgegen diesem langfristigen Trend unterschätzen viele Unternehmen nach wie vor die Kosten für die Einstellung und Bindung von qualifizierten IT-Security-Experten.

IT-Security-Schulungen

Viele Unternehmen haben verstanden, dass das Verhalten der Mitarbeiter eine große Risikoquelle darstellt. Somit schlummern die größten IT-Security-Risiken im eigenen Unternehmen. Trotzdem wird insgesamt viel zu wenig in Mitarbeiterschulungen investiert. Ein gut aufgestelltes IT-Sicherheitsprogramm schließt auch alle betroffenen Mitarbeiter ein, die über ihre Pflichten im Bereich der IT-Security aufgeklärt sind. Nicht zuletzt, um sicherzustellen, dass böswillige Akteure schnell entdeckt und gefasst werden.

IT-Security-Versicherungen

Viele Unternehmen haben die Notwendigkeit von Versicherungen für die IT-Security noch nicht hinreichend erkannt - ein Versäumnis mit potenziell fatalen Folgen! Dies geschieht insbesondere vor dem Hintergrund wachsender Cyber-Bedrohungen. Gerade kleinere Unternehmen sind davon überproportional betroffen. Abgesehen davon, dass Unternehmen sich vor möglichen finanziellen Schäden schützen, kann schon allein die Beantragung einer IT-Security-Versicherung zu einer verstärkten IT-Security-Infrastruktur führen. Denn der Prozess einer Evaluierung, der nötig ist, um eine Police zu erhalten, kann schon dabei helfen, Sicherheitslücken zu identifizieren und Alternativen zur Verbesserung zu entwickeln.

Analysen durch externe Berater

Unternehmen unterschätzen des Weiteren oft die Bedeutung von Schwachstellen-Analysen durch externe Dienstleister, die das Management und Mitarbeiter über potenzielle Cyber-Bedrohungen aufzuklären. Es ist angeraten, hier ein größeres Budget vorzuhalten, damit sich Unternehmen gegebenenfalls von mehr als einem Dienstleister unterweisen zu lassen, um sicherzustellen, dass man eine sogenannte „360-Grad-Beratung“ erhält.

Nicht wenige Unternehmen glauben, Budgets für externe Meinungen wären unnötig, weil sie mit ihren eigenen Maßnahmen und den angestammten Beratern bisher nie eine Hacker-Attacke erlebt haben. Gerade wenn es um etwas sensiblere Daten geht, gilt Input von verschiedenen Sicherheitsfirmen als angezeigt. Auf diese Weise können Unternehmen sicherstellen, dass sie ihre entsprechenden technischen, administrativen und physischen Sicherheitsvorkehrungen auch umfassend getroffen haben.

Reaktion auf Vorfälle

Insbesondere wenn es um die Planung von Budgets geht, so werden gerne die indirekten Kosten für die Reaktionen auf Vorfälle (Incident Response, IR) übersehen. Dagegen würde eine sorgfältig geplante IR-Strategie die Organisation bei einem Hacker-Angriff vor finanziellen Verlusten bewahren. Es empfiehlt sich, eine Stelle dafür zu schaffen oder eine Gruppe von Experten einzustellen und zu schulen, die für die Reaktion auf solche Bedrohungen spezialisiert und verantwortlich ist. Im Krisenfall zahlt sich das weidlich aus.

Obwohl dieses Risiko tagtäglich präsent ist, versäumen es Unternehmen nach wie vor, IR-Ausgaben realistisch zu budgetieren. Angesichts der Horrormeldungen großer Unternehmen in der Presse, die offenbar trotz ausgetüftelter Sicherheitsprogrammen gehackt wurden, ist es nur schwer vorstellbar, warum kleinere Unternehmen sich nicht besser durch den Erhalt bzw. Aufbau von IR-Maßnahmen aufstellen.

Denn solche indirekte Kosten sind in der Gesamtbetrachtung nicht weniger wichtig als die direkten Kosten. Kein Budget für IR-Services zu haben, könnte dazu führen, dass sich Vorfälle wie beispielsweise Ransomware unnötig in die Länge ziehen würden, was zu ungleich größeren Geschäftsunterbrechungen, Kundenverlusten und Reputationsschäden führen könnten.

Kosten für die Wiederbeschaffung

Bei der Einordnung eines Budgets für die Wiederbeschaffung für potenziell gefährdete Anlagen nehmen viele Unternehmen eine ausgesprochen kurzsichtige Sichtweise ein, welche der Systeme von einer Sicherheitsverletzung oder Malware betroffen sein könnten. Oftmals beschränken sie den Austausch nur auf die am stärksten gefährdeten Systeme. Erfahrungsgemäß entstehen meist Verluste, die weit über den Prognosen der Unternehmen liegen.

Die jüngste Verlagerung der Arbeitsplätze in Homeoffices kann die Wiederbeschaffungskosten deutlich erhöhen und lässt vorsichtige Schätzungen aus der Zeit vor der Pandemie weit in den Hintergrund treten. Denn wer den Austausch oder die Aufrüstung gefährdeter Heimsysteme sträflich vernachlässigt, riskiert viel. Das bedeutet, wenn Homeoffices angegriffen werden, so können diese Systeme unbeabsichtigt eine Schwachstelle in das Unternehmensnetzwerk einschleusen, selbst wenn ein Unternehmen das Problem auf seiner Seite behoben hat.

(ID:47604184)

Über den Autor