Wieviel sollte man in IT-Sicherheit investieren ?

Wieviel sollten Unternehmen in IT-Sicherheit und Schutz vor Cyber Angriffen investieren ?

Einer Umfrage des IT-Marktforschungsinstituts Gartner zufolge sind die globalen Investitionen in Produkte und Dienstleistungen zur IT-Sicherheit im Jahre 2016 auf 81.6 Mrd. US-Dollar gestiegen. Im Vergleich zum Vorjahr bedeutet dies eine Steigerung um 7.9 %. Mit stetig steigender Intensität von Cyber-Attacken und einer Vielzahl von Ransomware-Varianten darf man davon ausgehen das sich dieser Trend auch zukünftig weiter fortsetzen wird.

Investitionen in die IT- oder Cyber-Sicherheit sind heutzutage notwendig. Ein proaktiver Ansatz ist hierbei die beste Möglichkeit ein Unternehmen und die hiermit verbundenen Daten vor möglichen Attacken und Angriffen zu schützen. Nur stellt sich vielen Unternehmen die Frage: "Wie stark sollen wir in die IT-Sicherheit investieren ?"

Im Grundsatz geht es darum die richtige Balance zwischen einem adäquaten Schutz zu finden ohne dass man in einem übertriebenen Maß für Funktionen einer Sicherheitslösung zahlt die man vielleicht gar nicht benötigt.

Wie sich diese Kosten genau zusammensetzen:

Durchschnittliche Kosten eines Cyber-Angriffs

Zum besseren Verständnis welche Kosten eine Cyber-Attacke auslösen kann lohnt sich ein Blick in die USA. Verschiedenen Studien und Umfrageb zufolge liegen die durchschnittlichenn Kosten solcher Angriffe für größere Unternehmen in Nord-Amerika bei 1.3 Mio. US-Dollar, für mittelständische Unternehmen lag der Durchschnitt im Jahr 2017 hierbei bei ca. 117.000 US$.

Bricht man diese Summer runter und projiziert sie auf die Kosten pro gestohlenem Datensatz so liegen die Kosten in einem Bereich von 145,- bis 158,- US$. Diese Kosten sind jedoch variabel, gestohlene Datensätz aus dem Gesundheitsbereich verursachen hierbei Kosten bis max. 355 US$ pro Datensatz.

Dies sind keine kleinen Summen und mehr als 60% aller betroffenen kleinen Unternehmen müssen den Geschäftsbetrieb zumeist innerhalb von sechs Monaten nach einem Angriff einstellen, da sie sich hiervon schlichtweg nicht mehr erholen können.

Die Kostenfaktoren nach einem Cyber-Angriff bestehen hierbei im wesentlichen aus:

  • Strafzahlungen wegen Verstoss gegen Compliance und Datenschutz
  • Gerichts- und Anwaltsgebühren
  • Kosten zur Untersuchung des Vorfalls sowie Dienstleistungen zur IT-Forensik
  • Verlust von physischen Laufwerken die Daten enthielten und Kosten zur Datenrettung
  • Ausgaben zur Schulung der Mitarbeiter bezüglich IT- und Datensicherheit
  • Ausgaben zur Aquise neuer Kunden nachdem man bereits bestehende aufgrund von Imageschaden nach dem Vorfall verloren hat
  • Beschädigung der Marke und Vertrauensverlust - Bestehende Kunden entziehen das Vertrauen und wenden sich an den Mitbewerber nachdem sie erfahren haben das gespeicherte persönliche Daten kompromittiert wurden.

Die Wahrscheinlichkeit das ausgerechnet Ihr Unternehmen von einer Attacke betroffen sein wird

Kein Unternehmen kann sicher sein nicht eines Tages von einem Cyber-Angriff betroffen zu sein. Hierbei spielt es auch keine Rolle, ob es sich um einen Kleinstbetrieb mit fünf Mitarbeitern oder um einen Global Player mit tausenden von Mitarbeitern handelt. Die grundsätzliche Bedrohungslage ist für beide Unternehmen gleich.

Jedoch sind gerade kleinere Unternehmen verletzlicher und anfälliger, da die bestehenden IT-Sicherheitsstrukturen von Haus aus schlechter sind als die eines Global Players. Viele Cyber-Kriminelle sehen diese als leichtere Ziele an und somit stehen kleinere Unternehmen auch stärker im Fokus.

In ca. 43 Prozent aller Angriffe sind kleinere Unternehmen involviert und bei knapp der Hälfte dieser Unternehmen wurden in einem Zeitraum zwischen Mai 2015 und Mai 2016 Daten gestohlen.

Weitere Faktoren

Unternehmen sind nicht gleich, bestimmte Unternehmen und Organisationen tragen ein höheres Risiko als andere. Ein Restaurantbesitzer muss naturgemäß nicht so hohe Sicherheitsaufwendungen umsetzen wie es ein Arzt tun sollte um bspw. Patientendaten zu schützen. Die Datensätze haben hierbei naturgemäß eine andere Relevanz und stehen in einem komplett anderen Kontext zum jeweiligen Unternehmenszweck.

Es ist auch eine Frage der technologischen Komplexität. Wenn ein Unternehmen sämtliche Facetten seiner operativen Geschäftsbereiche mit Sicherheitslösungen ausstattet, so ist deren Bedrohungsrisiko relativ hoch. Zum Beispiel dann, wenn solche Unternehmen stark in IoT-Lösungen investieren und gleichzeitig noch BYOD Richtlinien umsetzen.

Für Unternehmen die weniger technologiegetrieben sind ist der Bedrohungsgrad naturgemäß niedriger. Wenn hier nur Basistechnologie eingesetzt wird und IoT-Strukturen schlichtweg nicht existent sind, so werden logischerweise vollkommen andere und zumeist auch preiswertere Sicherheitslösungen benötigt.

Fazit: Der Technologiegrad eines Unternehmens ist eigentlich nichts anderes als eine potentielle Angriffsfläche. Je stärker Unternehmen auf Technologie setzen, desto höher ist das Risiko eines möglichen Angriffs in der Zukunft. Stärkere Technologisierung bring jedoch auch eine Reihe an Kostenpotential mit sich. Mitarbeiter müssen geschult werden, der Stand der Technik regelmäßig gewartet und erhalten werden.

Wieviel geben andere Unternehmen aus ?

Viele Unternehmen sprechen nicht gerne darüber wieviel sie in den Bereich der Cyber-Sicherheit investieren. Somit existieren auch keine Benchmarks an denen man sich orientieren könnte.

Jedoch gibt es eine IDC Studie aus Canada aus dem Jahr 2015. Diese Studie unterteilt Unternehmen in vier unterschiedliche Katagorien:

  • "Verlierer" – IT Sicherheit ist schwach und unterfinanziert (23 %)
  • "Verweigerer" – IT Sicherheit ist schwach, wird jedoch nicht als Problem verstanden und auch nicht zugegeben (37 %)
  • "Realisten" – IT Sicherheit ist zufriedenstellend und es wird versucht diese zu verbessern (23 %)
  • "Egoisten" – IT Sicherheit als gut klassifiziert, jedoch Risiko von zu starker Selbstzufriedenheit (17 %)

Kosten und Budgetausgaben lt. IDC:

  • Verlierer: Ausgabe von 6% des IT Budgets in IT-Sicherheit
  • Verweigerer: Ausgabe von 8%
  • Realisten: Ausgaben von 14 %
  • Egoisten: Ausgaben von 12 %

Klar ersichtlich ist somit eine Ungleichheit und Unternehmen mit einer schwächeren IT-Sicherheit tendieren dazu auch weniger ihres IT-Budgets hierfür einzusetzen. Gleiches gilt jedoch auch für den umgekehrten Fall.

Gemäß IDC Canada, liegen die durchschnittlichen Investitionen in IT-Sicherheit bei 9.8 % des IT-Budgets. Für das IDC ist dieser Wert jedoch nicht ausreichend und gibt an, dass der ideale Zielwert für Investitionen in IT-Sicherheit ca. 13.7 % des Budgets ausmachen sollte.

Natürlich ließe sich dieser Wert diskutieren. Einige Unternehmen denken, das bereits 3 % ausreichend wären, wobei andere Unternehmen in Hochsicherheitsbereichen von 25 % als ausreichend ansehen. Es kommt auf verschiedene Faktoren an wie Unternehmensgröße, Art des Industriezweigs, Risikolevel, usw.

Im großen Zusammenhang ergibt sich ein jedoch das Bild, das 13.7 % für die meisten unternehmerischen Ausgangspositionen einen guten Referenzpunkt darstellen.

Empfehlung 13,7% des IT-Budgets als Investition in IT-Sicherheit

Auf welche Aspekte der IT-Sicherheit fokussieren sich Unternehmen ?

Natürlich ist es interessant zu wissen in welche spezifischen Bereiche der IT-Sicherheit diese Gelder fließen.

Eine Studie des SANS Institutes hat 10 Technologien identifiziert in die diese Gelder vorrangig fließen:

  1. Zugriff und Authentifizierung
  2. Prävention vor Malware
  3. Sicherheitslösungen für Endpunkte / Endpoint Protection
  4. Wireless Security
  5. Datenschutz
  6. Kontinuierliche Überwachung
  7. Protokoll- und Log-Management
  8. Überwachung des Netzwerkverkehrs
  9. BYOD Sicherheit
  10. Analysen

Zudem gibt es einen Trend an steigenden Investitionen in Firewall-Lösungen bis Ende 2018. Das Marktforschungsinstitut Gartner weist darauf hin, dass dieser Markt eine höhere Anfrage noch High-End-Ausstattungen generiert. Getrieben wird diese Entwicklung durch eine steigende Anzahl an Geräten und zunehmender Adaption von Cloud-Services.

Zusätzlich weisen die Marktforscher von Gartner darauf hin, dass der Einsatz von Data Loss Prevention (DLP) Lösungen immer stärker steigt. Für diejenigen die mit dieser Terminologie nicht soviel anfangen können - DLP dient zum Monitoring von Daten und verhindert, dass diese von unbefugten Dritten abgefangen werden können. Es wird davon ausgegangen dass 90 % aller Unternehmen und Organisationen eine Form von integrierten DLP Lösungen einsetzt. 2016 lag dieser Wert noch bei 50 %.

Entscheidung was in Ihrem Unternehmen ein- oder umgesetzt werden sollte

Setzen wir hier mal alle gewonnenen Erkenntnisse zusammen, so haben wir eine ca. 50%ige Wahrscheinlichkeit, dass Ihr Unternehmen angegriffen werden kann, gepaart mit einer jährlichen 50%igen Wahrscheinlichkeit, dass hierbei tatsächlich Daten gestohlen werden könnten. Der monetäre Verlust hierbei liegt im Durchschnitt bei ca. 117.000 US$ für kleine und mittelständische Unternehmen.

Natürlich sind diese Zahlen nicht als exakt anzusehen, sie dienen lediglich als Grundlage um darzustellen wie wichtig und somit auch langfristig lohnenswert Investitionen in IT-Sicherheit sind, also ein Präventiver Maßstab als Messwert, wenn man so will.

Bei allen Arten von Investitionen in IT-Sicherheit, sollte man dennoch nicht übertreiben und möglichst rational investieren. So ist es sicherlich nicht sinnvoll sich eine IT-Sicherheitslösung für 10.000 € anzuschaffen wenn das eigentliche Risiko hierbei um lediglich 5.000 € reduziert werden kann.

Investitionen in IT-Sicherheit dienen dem Schutz von Mitarbeiter, Daten, der Marke und dem Renomee

Somit wären wir wieder bei der richtigen Balance, die wir zu Beginn dieses Beitrags erwähnt haben. Inventarisieren sie was sie brauchen und inventarisieren sie überflüssige Funktionen die sie unter umständen mitbezahlen von denen sie jedoch ohnehin wissen, dass sie diese nie benötigen werden. Sie könnten dann zu dem Ergebnis kommen, dass eine schlankere IT-Sicherheitslösung oftmals auch die bessere ist. Und natürlich gibt es im Security-Bereich keine Universallösung die sich durch alle Unternehmen einsetzen lässt. Wenn Sie 13.7 % Ihres Budgets für die entsprechende Lösung einsetzen, so ist dies der "Best-Case", der den aktuellen Erkenntnissen entspricht. Dieser Wert ist somit auch eine gute Kennzahl um die bestmögliche Lösung finanzieren zu können.

Allein in der 1. Jahreshälfte 2017 gab es in den USA 918 Fälle von Datendiebstahl mit 1.9 Mrd. (!) betroffenen Datensätzen. Diese Dimensionen haben wir in Deutschland noch nicht erreicht aber wie in so vielen Fällen haben die USA im Bereich IT eine Vorreiterrolle inne von der es sich zu lernen lohnt, das gilt für technische Innovationen gleichermaßen wie für Fragen der zukünftigen IT-Sicherheit.

Nächster BeitragVorheriger Beitrag




Sie haben noch Fragen ?

Datenrettung ist ein komplizierter und beratungsintensiver Prozess. Wir beraten Sie gerne telefonisch unter :
Tel. 0234 - 962 90 390.
Oder stellen Sie uns einfach hier direkt Ihre Frage: