Report: Wie in Security besser investiert werden kann
Security-Budgets in Deutschland sind nicht nur zu niedrig. Die Entscheidungen über Investitionen oder das Management von Cyberrisiken basieren erstaunlich selten auf einer soliden Datenbasis, so die Studie „Digital Trust Insights 2022“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Was sollten Unternehmen in Deutschland ändern, wenn sie in Security investieren?
Hohe Schäden durch Cyberattacken, aber zu niedrige Security-Budgets
Wenn Security-Anbieter warnen, dass die Budgets für Cybersicherheit zu niedrig sind, macht dies so manches Unternehmen misstrauisch. Immerhin würden die Hersteller und Dienstleister im Bereich Security davon selbst profitieren, wenn die IT-Sicherheitsbudgets weiter steigen.
Doch auch IT-Sicherheitsbehörden wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) sehen einen höheren Investitionsbedarf für Security in Deutschland: Über 50 Prozent der Unternehmen investieren weniger als zehn Prozent der IT-Ausgaben in Cyber-Sicherheit. Das BSI empfiehlt, bis 20 Prozent des IT-Budgets in Sicherheit zu investieren. „IT-Sicherheit ist noch zu wenig in Budgets, Abläufen und Köpfen der Unternehmen angekommen“, so Arne Schönbohm, Präsident des BSI.
Auch die Corona-Pandemie hat die Security-Budgets nicht maßgeblich erhöht. Nur 16 Prozent der Unternehmen haben mit einer Steigerung des Budgets für Informationssicherheit auf die Corona-Krise reagiert, wie der Bericht des BSI zur Lage der IT-Sicherheit in Deutschland 2021 zeigt.
Ein Grund ist die weiterhin falsche Vorstellung von Security in den Köpfen der Entscheider. Informationssicherheit darf nicht länger als Bremsklotz missverstanden werden, so das BSI. Sie ist vielmehr eine Investition in die Zukunft, denn sie macht eine erfolgreiche Digitalisierung erst möglich. Aber falsche Vorstellungen sind nicht der einzige Grund.
Es geht nicht nur um die Höhe der Security-Budgets
Auf den ersten Blick sieht es nicht schlecht aus bei den Security-Investitionen: Der Markt für IT-Sicherheit in Deutschland wächst ungebrochen, so der Digitalverband Bitkom im Oktober 2021. In Deutschland wurden im Jahr 2021 schätzungsweise 6,2 Milliarden Euro für Hardware, Software und Services im Bereich IT-Sicherheit ausgegeben. Dieses neue Allzeithoch liegt nochmals 9,7 Prozent über dem bisherigen Rekordjahr 2020 (5,6 Milliarden Euro Umsatz), wie Berechnungen des Marktforschungsunternehmens IDC für den Digitalverband Bitkom zeigen.
Auch künftig soll der Markt demnach weiter rasant anwachsen: Für das Jahr 2022 ist ein neuerliches Umsatzplus von 9,9 Prozent auf 6,8 Milliarden Euro prognostiziert. Mit einem durchschnittlichen Wachstum von 9,5 Prozent pro Jahr sollen im Jahr 2025 rund 8,9 Milliarden Euro Umsatz mit Lösungen für ein Mehr an IT-Sicherheit erzielt werden.
Es stellt sich aber die Frage, ob die steigenden Investitionen auch den Schutz vor Cyberrisiken erfolgreicher werden lassen.
Die Schäden durch Cyberattacken wachsen ungebremst
Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro, wie Bitkom mitgeteilt hat. Damit haben kriminelle Attacken erneut für Rekordschäden gesorgt: Die Schadenssumme ist mehr als doppelt so hoch wie in den Jahren 2018/2019, als sie noch 103 Milliarden Euro p.a. betrug.
Offensichtlich können die Security-Maßnahmen und IT-Sicherheitsinvestitionen nicht Schritt halten mit den immer raffinierteren Cyberangriffen. Alleine eine Steigerung der Security-Budgets kann dies nicht ändern, denn die Höhe alleine macht es nicht aus. Es geht um die richtige Priorisierung der begrenzt verfügbaren Budgets.
Security-Investitionen brauchen eine fundierte Grundlage
Schaut man sich an, wie sich die Unternehmen in Deutschland besser schützen wollen, stellt man fest: Intelligente Ansätze und Lösungen zur Abwehr komplexer Bedrohungen sind nicht häufig genug im Einsatz, wie die IDC-Studie „Cybersecurity in Deutschland 2021“ deutlich macht.
Nur die Hälfte der Betriebe im Land verfügt über geregelte Abläufe und Sofort-Maßnahmen, also ein Notfallmanagement, für den Ernstfall. In 51 Prozent der Firmen gibt es Regelungen, 44 Prozent der Unternehmen verfügen nicht über Notfall-Konzepte, so das Ergebnis einer repräsentativen Umfrage des Digitalverbands Bitkom.
Offensichtlich fehlt eine solide Datenbasis, um den Security-Bedarf und die notwendigen Schutzkonzepte daraus ableiten zu können. Wie das Beratungshaus PwC berichtet, betrachten in Deutschland weniger Befragte (21 Prozent) eine Threat Intelligence in Echtzeit als wesentlich für ihr Cyber-Security-Betriebsmodell als weltweit (30 Prozent). Nur für 21 Prozent (global: 26 Prozent) stellt die Quantifizierung von Cyberrisiken einen integralen Bestandteil ihres Betriebsmodells dar.
Gleichzeitig stimmen die Zuordnungen des Security-Budgets vielfach nicht zur Realität des IT-Betriebs. Während zum Beispiel die Cloud-Nutzung von dominanter Bedeutung ist und in Pandemie-Zeiten eher noch wichtiger wird, zeigen die Prognosen der Marktforscher von Gartner, dass Cloud-Sicherheit nur den kleinsten Anteil an den Security-Budgets bekommt.
Threat Intelligence hilft bei Security-Investitionen
Der Digitalverband Bitkom hat den Lagebericht der IT-Sicherheit 2021 zum Anlass genommen, die Bedeutung von Echtzeit-Informationen zur Security zu betonen. „Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyber-Bedrohungslage informieren kann“, erklärte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Dazu müssen wir Echtzeit-Informationen nutzen und EU-weit in einem zentralen Dashboard sammeln – ähnlich dem Corona-Dashboard des Robert-Koch-Instituts. Nur wenn Hinweise auf Gefahren sekundengenau gesammelt werden, können wir auch umgehend darauf reagieren und uns sowie unsere Wirtschaft besser schützen.“
Sicherlich könnte ein solches Dashboard auch eine bessere Grundlage bilden, um die Security-Maßnahmen und die Security-Budgets zu priorisieren. Die steigenden Budgets wollen und müssen richtig ausgegeben werden, damit die Security vorankommt. Die Nutzung von Threat Intelligence sollte dazu gehören und eine Basis für weitere Entscheidungen bilden.