Kosten für IT-Sicherheit: Budgets richtig kalkulieren

Das Thema IT hat verschiedene Ausprägungen, von denen Sicherheit nur ein Teilbereich ist. Doch gerade hierbei müssen Unternehmer präzise, aber nicht zu scharfkantig kalkulieren, denn falsche Sparsamkeit kann fatal sein.

Aus Sicht eines stets auf Wirtschaftlichkeit und messbare Ergebnisse blickenden Unternehmers gibt es wohl nur wenige Positionen, die ähnlich schwierig sind wie das Thema IT-Sicherheit. Denn sie beweist ihren Wert oftmals dadurch, dass sie Angriffe schon im Ansatz vereitelt – unsichtbar, unbemerkt und unkalkulierbar.

Umgekehrt kann ein nicht ausreichendes Sicherheitsniveau sich erst bei einem erfolgreichen Angriff zeigen, dann jedoch die Firma wirtschaftlich ruinieren. Doch wie gelingt es Firmenbetreibern, hierbei einen gesunden Mittelweg zu finden, der weder zu viel kostet noch Wirksamkeit vermissen lässt?

Der wichtigste Schritt: IT-Sicherheit realistisch betrachten

Zwei Fakten dazu:

1. Gute IT-Sicherheit kann je nach Unternehmen ein sehr kostspieliger Ausgabenpunkt sein. Als Zahl: Einer Canalys-Analyse zufolge wird das globale Ausgabenniveau 2023 im Best Case rund 223 Milliarden US-Dollar betragen. Damit steigt es einmal mehr stark an. 2018 betrug der Best-Case-Wert lediglich gut 36 Milliarden.
2. IT-Sicherheit kann faktisch keine messbaren Gewinne erwirtschaften – einmal abgesehen von Fällen, in denen Unternehmen sie in ihre Marketing-Maßnahmen einflechten.

IT-Sicherheit ist dennoch heutzutage eine unabwendbare Unternehmerpflicht. Sie sollte nicht anders betrachtet werden als die Kosten für Wachleute, Überwachungskameras, anständige Verriegelungssysteme oder andere Ausgabenpositionen, die keinen Gewinn erwirtschaften.

Dazu erneut eine Zahl: 2022 entstand der deutschen Wirtschaft ein Schaden von 203 Milliarden Euro, nur durch Cyber-Attacken. Bei den KMU beträgt die durchschnittliche Schadenssumme fast 100.000 Euro. Für dieselbe Summe bekommt man selbst heute eine ziemlich hohe IT-Sicherheit, die zudem keine Image- und ähnliche Risiken beinhaltet; ungleich zu einem Cyberangriff.

Ergo: Jeder Cent mehr für digitale Sicherheit ist keinesfalls verloren, sondern ein Gewinn, der sich mindestens(!) 1:1 aufrechnen lässt. Nur wer diesen Standpunkt beherzigt, kann eine realistische Budgeterstellung betreiben.

Sorgfältige fachmännische Risikoanalyse betreiben lassen

Das, was Cyber-Kriminelle an einer Firma interessant finden, worauf sie es abgesehen haben und wie sie vorgehen, ist kaum weniger vielfältig als die Anzahl von Unternehmen generell:

1. Die grundsätzliche Ausrichtung des Hauses,
2. Grad und Art der Digitalisierung und IT im Unternehmen,
3. Bewusstseins- und Fähigkeits-Niveaus der Mitarbeiter,

spielen hierbei ebenso eine maßgebliche Rolle wie beispielsweise die Betrachtung, auf welche Softwares das Unternehmen setzt oder wie stark es Cloud Computing nutzt.

Unter dieser Prämisse gibt es quasi keine Pauschalantworten, sondern nur Individuallösungen. Was in einem Unternehmen gut funktioniert, kann in einem zweiten Betrieb trotz ähnlicher Größe und Ausrichtung aus unterschiedlichsten Gründen zu wenig sein – oder nicht ganz passend.

Beginnen muss jede Kalkulation daher damit, das eigene Unternehmen gründlich durchleuchten zu lassen. Darauf haben sich andere Firmen spezialisiert, die einen starken Fokus auf IT-Sicherheit aufweisen. Nur mit den Daten einer derartigen Profi-Analyse ist wirklich bekannt, was in Sachen Hacker realistisch droht und was daher – mindestens – unternommen werden muss.

Ein tragfähiges Sicherheits-Fundament aufbauen

Wohl kaum ein Unternehmer käme auf die Idee, eine Alarm- und Überwachungsanlage installieren zu lassen, wenn in den Außentüren immer noch bestenfalls Schließzylinder aus dem Ein-Euro-Shop verbaut sind. Bei der IT-Sicherheit ist es nicht anders:

Ein Großteil aller Angriffe nutzt schlicht und ergreifend eklatante Basislevel-Sicherheitslücken aus. Etwa:

• Unsichere Programme oder Konfigurationen,
• schlechte Passwörter,
• nichtvorhandene oder nicht-heupdatete Virenprogramme oder Firewalls
• oder unkontrollierte Netzwerknutzung.

Wer mit Basiswerkzeugen diese Lücken schließt, der muss einerseits nur sehr geringe Beträge aufwenden. Andererseits bekommt er ein Sicherheitsniveau, das bereits eine überraschend hohe Zahl von Attacken verunmöglicht. Denn nur ein geringer Teil der Hacker sind extrem fähige Cyber-Kriminelle. Die große Masse hingegen versucht sich mit immergleichen simplen Strategien so lange an verschiedenen Firmen, bis ihre Vorgehensweise aufgrund eines niedrigen Sicherheitsniveaus verfängt.

Nach wie vor ist beispielsweise Phishing einer der wichtigsten Angriffsvektoren – und lässt sich bereits durch einfache Werkzeuge eindämmen, die jeden ausgehenden Link analysieren.

Auf skalierbare Plattformen setzen

Ähnlich, wie ein hochwertiger Schließzylinder viele Einbrecher abschreckt, können es schon ständig geupdatete Programme tun. Wenn ein Unternehmen jedoch in den Fokus einer entschlossenen und fähigeren Riege von Cyber-Kriminellen gerät, ist das natürlich zu wenig.

Hier findet sich der Punkt, an dem sich die Unternehmerschaft aufteilt – in solche, die Ausgaben scheuen und solche, die verstehen, wie wichtig es im Notfall sein kann, hierbei nicht (zu) sparsam gewesen zu sein. Clevere Betreiber wählen letztgenannten Weg. Allerdings ist es nicht nötig, mehr Geld als unbedingt nötig auszugeben.

Dazu empfiehlt es sich dringend auf Sicherheitssysteme zu setzen, die durch die Gestaltung als Plattform skalierbar sind:

• Einerseits lassen sich darauf exakt diejenigen Werkzeuge zusammenstellen, die aufgrund des Bedrohungsniveaus des Unternehmens wirklich nötig sind.
• Andererseits lassen Plattformen es zu, nötigenfalls mit wenigen Handgriffen deutlich machtvollere Sicherheitswerkzeuge zu werden, die viel mehr beherrschen.

Nach Möglichkeit sollte eine solche Sicherheitsplattform unabhängig von den unterschiedlichen Herstellern von unternehmerischer IT arbeiten. Nur dann sind diesbezügliche Änderungen möglich, ohne gleich die gesamte Sicherheitsarchitektur auf den Prüfstand stellen zu müssen – oder gar kostspielig zu erneuern.

Zugriff auf jederzeit bereite Experten haben

Wenn eine Alarmanlage einen Einbruch meldet, dann kann nur eine vor Ort vorhandene Security ihn noch unterbinden; wohingegen Polizisten vielfach nur noch ermitteln können. Erneut gibt es viele Parallelen zur IT-Sicherheit und ihren Kosten.

Natürlich wäre es die beste Möglichkeit, eigene Sicherheitsprofis zu beschäftigen, die die Firmensysteme 24/7 überwachen. Bloß: Das ist ebenso die mit Abstand kostspieligste Option. Vom Suchen und Finden entsprechender Fachkräfte ganz zu schweigen.

Die nächstgünstigere, ebenfalls recht wirksame Methode wäre es, diese Dienstleistung ebenfalls outzusourcen; ähnlich wie die Risikoanalyse. Das hat zudem den Vorteil, Profis zu bekommen, die Einblicke in verschiedene Unternehmen und somit Bedrohungsstrukturen und Hacker-Herangehensweisen haben.

Auf Leistung statt Kosten achten

Die meisten Unternehmer werden für alle vorgenannten Punkte Vergleiche einholen – ähnlich, wie für jede andere Ausgabe. Doch selbst, wenn es auf dem Papier so wirken mag, als würde sich IT-Sicherheit bei gleicher Leistung nur durch die Preise unterscheiden, so lohnt sich genauestes Hinsehen unbedingt.

Denn im Zweifelsfall sind die Unterschiede groß. Dementsprechend sollten Firmenbetreiber derjenigen Lösung den Vorzug geben, die ihnen die beste Leistung bietet – nicht nur die geringsten Kosten verursacht.

Fazit

In einer Zeit, in der IT-Sicherheit jeden Unternehmer gleichermaßen betrifft, ist es völlig falsch, diesem Thema mit klassischer Kosten-Nutzen-Rechnung zu begegnen. Selbst die simpelste Cyber-Attacke kann problemlos Schäden in sechsstelliger Höhe und mehr verursachen. Einer solchen Bedrohung kann man nur entgegentreten, indem man sich auf sinnvolle Wirksamkeit fokussiert, nicht auf maximale Sparsamkeit.