Profis für Cybersecurity wissen: Die Jahresplanung und eine entsprechende Budgetierung von Security-Maßnahmen sind entscheidende Eckpunkte der gesamten IT-Strategie. Da hiermit einhergehende Investitionen nicht unmittelbar zum Gewinn eines Unternehmens beitragen, werden diese auf Geschäftsführungsebene allerdings meist nur als reiner Kostenfaktor betrachtet. Umso wichtiger ist es für IT-Verantwortliche, das ihnen für IT-Security zur Verfügung stehende Budget jedes Jahr so effektiv wie möglich einzusetzen. Doch was sind die wichtigsten Best Practices für die Sicherheitsplanung im Jahr 2021?

Wo anfangen?

Leider gibt es keinen Königsweg und keine exakte Zahl, wie viel für Daten- und Informationssicherheit ausgeben werden sollte. Jedes Unternehmen ist einzigartig und hat ein spezifisches IT-Risikoprofil, das auf Umfang und Kosten der nötigen Maßnahmen Einfluss nehmen sollte. Um dieses Risiko abzuschätzen, ist eine vollständige Prüfung der jeweiligen Infrastruktur und Daten erforderlich. Erst wenn völlig klar ist, welche wichtigen Daten wo gespeichert sind und welche konkreten Folgen ein Verlust dieser Informationen hätte, können die mit einem Sicherheitsvorfall verbundenen Kosten definiert werden. Hieraus lässt sich dann das nötige Budget für Gegenmaßnahmen ableiten. Dabei gilt es, sich vor Ausfallzeiten ebenso zu schützen wie vor Datenverlusten.

Eine weitere Herausforderung besteht darin, sämtliche gesetzlichen Vorgaben, Vorschriften und Branchenstandards einzuhalten, die für das Unternehmen gelten. Ganz allgemein sind hier natürlich die jeweiligen Datenschutzbestimmungen einzelner Länder zu beachten. Aber auch in Märkten wie beispielsweise dem Gesundheitswesen gibt es spezifische Vorgaben. Für Unternehmen, die Kreditkarten als Zahlungsmethode akzeptieren, gelten zudem PCI-Anforderungen. Verstöße gegen diese Vorschriften gehen mit empfindlichen Bußgeldern und Strafen einher, die als zusätzliche Kosten bei einem Sicherheitsvorfall mitgerechnet werden sollten.

Um einzuschätzen, ob das eigene Budget den Anforderungen genügt, lohnt sich ein Benchmarking mit vergleichbaren Unternehmen. Diverse Analysten führen regelmäßig Studien durch, um rauszufinden, wie viel Prozent des IT-Budgets für Sicherheit ausgeben werden. Eine Umfrage von Deloitte aus dem Jahr 2019 zeigt etwa, dass bei Akteuren im Finanzsektor zwischen sechs und 14 Prozent des IT-Budgets in Sicherheitsmaßnahmen fließen, der Durchschnitt liegt bei zehn Prozent. Wo genau in einer solchen Spanne eine Organisation ihr Budget ansiedeln sollte, hängt stark davon ab, in welchem Maße sie auf ihre IT-Infrastruktur angewiesen ist und wie viele sensible Daten diese umfasst. Firmen mit überschaubaren IT-Strukturen sind am unteren Ende in der Regel gut aufgehoben, während ein modernes, IT-lastiges Unternehmen mit sensiblen Informationen rund um geistiges Eigentum und vertrauliche Projekte sowie zahlreichen Finanz- und Kundendaten eher in den oberen Bereich gehört.

Der Bericht über die Kosten einer Datenschutzverletzung des Ponemon Institute schlüsselt jedes Jahr die Kosten von Sicherheitsvorfällen nach Region, Branche und Art des Angriffs auf. Eine der interessantesten Zahlen des Berichts bezieht sich dabei auf die „durchschnittlichen Kosten einer Datenschutzverletzung pro Kundendatensatz“ (etwa 150 Dollar pro kompromittiertem Datensatz im Jahr 2020). Unabhängig von der Größe eines Unternehmens erlauben diese Informationen, die durchschnittlichen Kosten einer Sicherheitsverletzung basierend auf der Anzahl der bedrohten Kundendatensätze abzuschätzen. Denn bei aller Vorsicht gilt es doch wirtschaftlich zu agieren. Für IT-Security-Maßnahmen sollte deshalb nicht mehr ausgegeben werden als die maximalen Kosten pro kompromittiertem Datensatz multipliziert mit der prozentualen Eintrittswahrscheinlichkeit.

Einfluss von COVID-19

Die Folgen der Pandemie sind nach wie vor weltweit spürbar und die damit einhergehenden Effekte werden den Arbeitsalltag nachhaltig prägen. Remote-Arbeit wird ein bestimmendes Thema bleiben, und die IT-Verantwortlichen sollten solchen Arbeitsmodellen entsprechend große Aufmerksamkeit entgegenbringen. Auch wenn sich noch keine konkreten Rückschlüsse ziehen lassen, inwieweit sich COVID-19 auf die Sicherheitsprioritäten und -ausgaben auswirken wird, sind zwei Trends bereits zu erkennen.

Erstens werden die Sicherheitsausgaben pro Mitarbeiter mit hoher Wahrscheinlichkeit weiter steigen. Laut des Gartner-Berichts „IT Key Metrics Data 2019“ betrugen diese im Jahr 2018 durchschnittlich 1.178 US-Dollar, was im Vergleich mit 2012 bereits einer deutlichen Zunahme um 67 Prozent entspricht. Der Bericht benennt keine spezifische Ursache für diesen Anstieg, erwähnt in dem Zusammenhang aber eine mögliche Verbindung zur fortschreitenden Remote-Arbeit in diesem Zeitraum. Im klassischen Büro am Firmenstandort lassen sich zahlreiche Schutzmaßnahmen über ein Netzwerkperimeter – als Eintrittstor zum Unternehmensnetzwerk – bündeln. Der Schutz eines solchen „gemeinsamen“ Perimeters erfordert gegenüber vielen individuellen Absicherungsmechanismen natürlich deutlich weniger Einsatz. Je mehr Mitarbeiter dezentral arbeiten, desto mehr spezifische Sicherheitsvorkehrungen sind notwendig, was die Kostenzunahme zu einem gewissen Teil erklärt. Durch COVID-19 ist die Verlagerung ins Homeoffice quasi über Nacht in ganz neuer Dimension erfolgt – Mehrausgaben inklusive.

Zweitens – und das ist eventuell die bessere Nachricht – werden Unternehmen ihre bestehenden Budgets aufgrund von COVID-19 aller Voraussicht nach künftig ganz neu ausrichten. Selbst wenn die Sicherheitsausgaben aufgrund der zunehmenden Anzahl von Remote-Mitarbeitern steigen, lässt sich zumindest ein Teil dieser Mehrkosten durch eine generelle, strategische Umverteilung von Ressourcen ausgleichen. Fakt ist: Sowohl zentrale Unternehmensnetze als auch Cloud-Strukturen und Remote-Anwender benötigen ausreichende Sicherheitsmechanismen. Wofür jedoch am meisten ausgegeben wird, sollte davon abhängen, wo die wichtigsten Daten und die meisten Nutzer verortet werden. Unternehmen, deren Mitarbeiter viel von zu Hause aus arbeiten und dabei Cloud-Dienste nutzen, sollten das vorhandene Budget entsprechend darauf ausrichten. Es ist somit davon auszugehen, dass Unternehmen durch die Pandemie künftig einen stärkeren Fokus auf Endpoint Security legen und entsprechende Investitionen tätigen.

Neue Bedrohungen geben Richtung vor

Die aktuelle Bedrohungslandschaft sollte jederzeit im Blick behalten und Sicherheitsausgaben sowie -prioritäten müssen entsprechend angepasst werden. Im Zuge der ersten Ransomware-Explosion 2016 war es beispielsweise durchaus sinnvoll, vorrangig in Sicherheitsfunktionalitäten rund um Backup und Disaster Recovery sowie fortschrittliche Malware-Erkennung zu investieren. In den Jahren 2019 und 2020 waren dagegen Spear-Phishing und der Diebstahl von Anmeldedaten allgegenwärtig – getreu dem Motto: „Hacker brechen nicht ein, sie loggen sich ein“. Insofern kam dem Thema Multifaktor-Authentifizierung zum Schutz der digitalen Identitäten ganz neue Bedeutung zu (insbesondere, wenn zunehmend mehr Mitarbeiter von zu Hause aus agieren). Es ist somit immer ratsam, neue Vorgehensweisen auf Seiten der Hacker zu beobachten. Die hieraus gewonnenen Erkenntnisse sollten sich dann natürlich auch in der Höhe und Verwendung des Sicherheitsbudgets niederschlagen.

Ein ganzheitlicher Ansatz

 Im Zuge erfolgreicher Sicherheitsplanungs- und Budgetierungszyklen ist es wichtig, dass am Anfang quantifizierbare Risikomessungen und Folgenabschätzungen stehen. Dazu müssen alle Vorschriften, an die sich das Unternehmen halten muss, sowie die damit verbundenen Strafen für Vorfälle und Compliance-Verletzungen identifiziert werden. Bei einem formellen Risiko-Audit lassen sich sensible Daten inventarisieren und die finanziellen Auswirkungen temporärer oder permanenter Verluste hinterfragen. Darüber hinaus helfen Benchmarks für unterschiedliche Branchen, Unternehmensgrößen und durchschnittliche Kosten einer Datenverletzung dabei, ein angemessenes Sicherheitsbudget festzulegen.

Es ist zudem ratsam, einen gewissen Spielraum vor dem Hintergrund von Unternehmenswachstum und digitaler Transformation einzuplanen. Auch wenn sich das Thema Sicherheit nicht wie ein Business-Enabler anfühlt, ist es heute ein absolutes Muss, einschlägige Vorfälle zu verhindern. Denn schlecht implementierte Sicherheitsmaßnahmen können schnell zur Stolperfalle werden und dem Geschäft schaden. Es sollte also nicht am falschen Ende gespart werden. Schließlich tragen moderne Sicherheitslösungen entscheidend dazu bei, die Kontrolle zu behalten und Störungen zu reduzieren. Gleichzeitig sind sie ein wichtiger Weichensteller bei der digitalen Transformation.