VAK CSO® Blog

Wie hoch sollte eigentlich mein Cyber Security Budget sein?

Geschrieben von Alexander Hoßdorf | Oct 24, 2022 2:26:29 PM

 

In den vergangenen Jahren sind die Ausgaben für Sicherheit in der Unternehmens IT drastisch gestiegen. Gleichzeitig fallen immer mehr Unternehmen Hackerangriffen zum Opfer mit teils verheerenden Folgen. Die aktuelle Bedrohungslage machen wirkungsvolle Cyber Sicherheit für jede Organisation unverzichtbar. Doch wissen Sie eigentlich, wie hoch ein Cyber Security Budget sein muss, damit Ihr Unternehmen vor den Folgen von nicht ausreichender Cyber Sicherheit geschützt ist? Welche Parameter treiben die Kosten für IT Security in die Höhe und welches Modell ist für Ihr Unternehmen die richtige Lösung?  Welche Risiken Sie bei der Festlegung Ihres IT Security Budgets unter keinen Umständen außer Acht lassen sollten, erfahren Sie in diesem Beitrag. 

Cyber Security als neuer Schwerpunkt in der Budgetierung 

Aus einer interessanten Studie aus dem Jahre 2019 der Bitkom Research und Tata Consulting Services geht hervor, dass ein deutlicher Teil aller Unternehmen in naher Zukunft die Ausgaben für Cyber Sicherheit ausbauen wollen. In 2021/2022 haben angesichts der Corona Pandemie und Home Office Tätigkeiten mehr Unternehmen als erwartet das Thema Cyber Sicherheit fokussiert und dennoch schnellen die Opferzahlen von Cyberangriffen drastisch in die Höhe, wie eine repräsentative Studie des Bitkom e.V. belegt. Selbst Unternehmen mit vermeintlich hohem Budget für Cyber Sicherheit werden spielend leicht gehackt 

Viele mittelständische und große Unternehmen werden gehackt. Ist mehr Cyber Security Budget die Lösung? 

 

Das Cyber Security Budget festlegen – konventionell oder nach tatsächlichem Geschäftsrisiko?

Für Entscheidungen, die Sie in Ihrem Geschäftsalltag treffen, haben sich zwei Arten bewährt: Entweder treffen Sie ihre Entscheidung aufgrund bereits gemachter Erfahrungen in der Vergangenheit – dann treffen Sie die Entscheidung konventionell. Oder Sie analysieren die Situation genau und schätzen anhand der vorliegenden Daten ab, wie sich die Situation wahrscheinlich auf Ihr Geschäft auswirkt – Die Bewertung des Risikos erfolgt hier nach tatsächlichem Geschäftsrisiko auf Basis von Daten und nicht auf subjektiven Erfahrungswerten. 

Was im Geschäftsalltag gut funktionieren kann, ist auf die Cyber Sicherheit nicht übertragbar: 

Konventionelle Entscheidungen können ohne tiefes Fachwissen getroffen werden. Das Treffen einer Entscheidung auf Basis von tatsächlichem Geschäftsrisiko bedingt fachliches Expertenwissen. 

 

Wählen Sie den konventionellen Weg der Cyber Security Budgetierung, dann 

  • basieren Ihre Planungen und die Risikobewertung auf Erfahrungen, die Sie in der Vergangenheit gemacht haben – beispielsweise eine bisher nicht persönliche Betroffenheit durch Cyberangriffe
  • wird auf Bedrohungslagen anhand von subjektiven Erfahrungswerten reagiert
  • sind die Werkezuge und Maßnahmen für Cyber Sicherheit nach persönlichen Präferenzen und Erfahrungen ausgewählt
  • werden Maßnahmen zur Cyber Sicherheit einmal festgelegt und dann für einen bestimmten Zeitraum nicht mehr verändert
  • werden strategische Cyber Security Ziele in der Regel nicht festgelegt
  • investieren Sie nur in die Cyber Sicherheit, wenn Sie es für absolut notwendig erachten

 

Die konventionelle Budgetierung ist für die meisten mittelständischen Unternehmen mit einem hohen Gefahrenpotenzial verbunden, weil 

das tatsächliche Risiko für das eigene mittelständische Unternehmen und die entstehenden Kosten und Folgeschäden bei erfolgreichen Cyberangriffen in der Regel stark unterschätzt werden. Dies führt zu viel zu geringen Cyber Security Budgets und einer hohen Gefahr für das Unternehmen. Die konventionelle Herangehensweise eignet sich allenfalls als unterstützende Herangehensweise für Unternehmen, die bereits eine eigene Cyber Sicherheitsabteilung besitzen und daher auf echte Erfahrungswerte die fachlich fundiert sind zurückgreifen können. Es hat einen Grund, warum mittelständische Unternehmen sich so schlecht gegen Cyberangriffe wehren können. Das ist die zumeist konventionelle Herangehensweise an das Thema Budgetierung der Cyber Sicherheit und die anschließende Umsetzung der Maßnahmen ohne eigene Cyber Sicherheitsabteilung. Wird ein mittelständisches Unternehmen unter Verwendung der konventionellen Herangehensweise bei einem Cyberangriff von durchschnittlicher Qualität nicht Opfer, so ist das entweder mit Glück verbunden oder der erfolgreichen Etablierung einer Cyber Sicherheitsabteilung zu verdanken. 

Cyberversicherungen haben dieses Problem erkannt, aber sind nicht die Lösung, um einen Angriff zu verhindern. Versicherer wissen mittlerweile auf Basis von echten Fällen, dass die Wahrscheinlichkeit, dass mittelständische Unternehmen Opfer von Cyberangriffen werden, sehr hoch ist und haben daher die Versicherungsbedingungen in der Regel so angepasst, dass kaum ein mittelständisches Unternehmen diese Anforderungen in der Praxis erfüllen kann. Die Kosten für Cyber Versicherungen mit akzeptablen Deckungssummen und Leistungsumfang sind enorm gestiegen. Zudem ist Schaden dann bereits entstanden und ein monetärerer Ausgleich der Schäden für das betroffene Unternehmen zwar hilfreich, aber oft trotzdem existenzbedrohend. Die wahren Folgen von Cyberangriffen sind nur mit Geld kaum zu begleichen. Betroffene Unternehmen wissen, wovon ich schreibe. 

 

Wählen Sie hingegen den Weg der Bewertung des tatsächlichen Geschäftsrisikos in Cyber Security Budgetierung, dann 

  • bewerten Sie mögliche Risiken nach ihrem echten Einfluss auf das Geschäft
  • werden Risiken nach ihrer Gefahr für das Unternehmen und Eintrittswahrscheinlichkeit bewertet
  • erstellen Sie eine Risikobewertung und einen Maßnahmenkatalog, der verhältnismäßig die Gefahr für das Unternehmen reduziert
  • werden alle oben aufgeführten Maßnahmen ständig neu durchgeführt und bewertet 

Diese Herangehensweise kann Ihr Unternehmen vor erfolgreichen Cyberangriffen schützen bzw. das Risiko auf ein vertretbares Maß senken. Nachweislich und auf sachlicher Basis. Der große Nachteil ist, dass die echte Bewertung der Risken und ein zumeist deutlich höheres benötigtes Cyber Security Budget offenlegt als die konventionelle Herangehensweise. Für mittelständische Unternehmen bedeutet dies in der Regel, dass eine eigene Cyber Sicherheitsabteilung mit professionellen Werkzeugen notwendig wird.

Das ist für mittelständische Unternehmen nicht wirtschaftlich. Aber es gibt eine Lösung. 

Welche Kosten und Gefahrenpotenziale dürfen Sie bei der Budgetierung der Cyber Sicherheit nicht vernachlässigen? 

Kein Unternehmen kann sich wirtschaftlich vor allen möglichen Arten von Bedrohungen schützen. Der Schlüssel liegt darin, die richtigen Priorisierungen vorzunehmen, die Ihr Unternehmen vor erfolgreichen Cyberangriffen schützen. Im Falle eines erfolgreichen Cyberangriffes sind extrem schnell die richtigen Maßnahmen zu treffen, um Diesen in möglichst früher Phase zum Erliegen zu bringen. Dauerhaft eingesetzte forensische Mittel sind von ebenso herausragender Wichtigkeit, um das Unternehmen im Falle eines erfolgreich gestoppten Cyberangriffes für nachträgliche forensische Beweissicherung nicht abschalten zu müssen. 

Diese Art der Herangehensweise ist wirtschaftlicher als die konventionelle Herangehensweise, wenn man die Gefahr von Cyberangriffen ernst nimmt. 

 

Wir zählen hier einige typische Punkte auf, die bei der konventionellen Herangehensweise gerne von mittelständischen Unternehmen nicht ausreichend beachtet werden und die Kalkulationsgrundlage maßgeblich beeinflussen können. 

1. Personalkosten 

IT-Administratoren sind keine Cyber Security Fachkräfte, auch wenn dies bei der konventionellen Herangehensweise oft bei mittelständischen Unternehmen angenommen wird. Um einen halbwegs wirksamen Schutz zu erzielen, benötigen Sie mindestens zwei Cyber Security Fachkräfte. Dies ist das absolute Minimum und nicht annährend der Idealzustand. Ideal ist eine eigene Cyber Security Abteilung im nahtlosen Schichtbetrieb mit Vertretungsregelungen und verlässlicher Abdeckung aller Fachbereiche zu jeder Uhrzeit. Denn Cyberangriffe kommen in den seltensten Fällen zu Bürozeiten und berücksichtigen weder Urlaub noch Krankheit oder fachliche Kompetenzen einzelner Mitarbeiter. Bei Cyberangriffen zählt jede Sekunde, um Schaden für das Unternehmen abzuwenden. 

Der Markt für Cyber Security Fachkräfte ist aktuell leergefegt. Cyber Security Fachkräfte sind zudem in der Regel deutlich teurer für das Unternehmen als IT-Administratoren. Oft lassen sich Security Fachkräfte in einem mittelständischen Unternehmen nur schwer bei Laune halten, da es an spannenden Aufgaben mangelt und viel Grundsatzarbeit zu erledigen ist.

2. Betriebsstillstand durch Forensiker nach einem Cyberangriff 

Vielen Unternehmen ist nicht bewusst, das nach der eigentlichen Incident Response Arbeit bei einem Cyberangriff die forensische Beweissicherung den Betrieb lähmt. Um nach einem Cyberangriff IT-Equipment und IT-gestützte Prozesse überhaupt wieder in Betrieb zu nehmen, ist es notwendig, dass nachgewiesen wird, dass diese fei von Schadsoftware sind, damit eine erneute Infektion nicht direkt erneut stattfindet. Zudem muss der genaue Angriffsweg nachvollzogen werden, um das Einfallstor zu schließen. 

Die Forensiker an sich kosten das Unternehmen Geld. Das ist aber nicht das eigentliche Problem. Das Problem ist, dass Forensiker bei Unternehmen, die nach der klassischen Herangehensweise gehandelt haben, in der Regel den gesamten IT-gestützten Geschäftsbetrieb für mehrere Wochen oder gar Monate stilllegen müssen, da es unglaublich kompliziert und langwierig ist, im Nachhinein festzustellen, was genau passiert ist. Die Auswirkungen einer vernünftigen forensischen Beweissicherung kann man bei dem prominenten Fall der deutschen Industrie- und Handelskammern gut beobachten. Hier ist seit Monaten der IT-gestützte Betrieb eingeschränkt und es wird noch einige Zeit dauern, bis Normalität wieder einkehrt. Für viele Unternehmen in der freien Wirtschaft wäre dies der sichere Tod.

3. Kosten durch nicht zahlende Cyberversicherungen oder Unterdeckung

Viele Unternehmen verlassen sich auf ihre Cyberversicherung und sichern damit ihre Existenz ab, im Falle eines Cyberangriffs. Einem Großteil dieser Unternehmen ist aber nicht bewusst, dass Cyberversicherungen mittlerweile viele Fälle nicht mehr absichern oder bei kleinsten Verstößen gegen Auflagen nicht mehr zahlen. Dies ist insbesondere problematisch, da es für mittelständische Unternehmen, die die konventionelle Herangehensweise gewählt haben, oft an Cyber Security Budget fehlt, um diese Auflagen überhaupt zu erfüllen oder dauerhaft und zu jedem Zeitpunkt zu erfüllen. Der Cyberangriff wird so auch für viele Unternehmen aus der rein monetären Brille zur Existenzbedrohung. Zudem ist es fraglich, ob Unternehmen die eine Cyber Versicherung abgeschlossen haben dies mit ausreichender Deckung getan haben, da sich die Auswirkungen eines erfolgreichen Cyberangriffs Wochen, Monate oder sogar Jahre auf das Unternehmen auswirken können.

4. Kosten durch externe Incident Response 

Die eigentliche Incident Response bei Cyberangriffen wird durch Experten durchgeführt und kann in der Regel nicht durch die interne IT-Abteilung abgebildet werden. Es entstehen hier erhebliche Kosten durch die Verzögerung in dem Ablauf und das notwendige Abschalten des IT-Systems sowie durch die eigentliche Incident Response durch externe Experten. Hier laufen schnell tausende Stunden Arbeit auf.

5. Kosten durch Wiederanschaffung und Wiederinbetriebnahme 

Nach einem erfolgreichen Cyberangriff, der nicht in früher Phase gestoppt wurde, ist es in Regel so, dass entweder Systeme neu wieder angeschafft oder nach Incident Response und forensischer Beweissicherung wieder in Betrieb genommen werden müssen. Beides ist zeitaufwendig und mit hohen Kosten verbunden. Der Aufwand, die Höhe der Kosten und die benötigte Zeit, IT-Systeme von Grund auf neu aufzubauen oder nach einem Cyberangriff wieder in Betrieb zu nehmen, sind ein oft unterschätzter Faktor. Dies dauert oft Monate, in schweren Fällen sogar Jahre. 

6. Opportunitätskosten 

Die Liste der Kosten, die entstehen, wenn ein Cyberangriff erfolgreich war, ist endlos lang. Nur der offensichtliche Teil wird von Versicherungen gedeckt. Stellen Sie sich einfach Ihren Betrieb ohne IT vor und was es für Sie und Ihre Kunden sowie Lieferanten bedeutet, wenn IT-Systeme nicht funktionieren. Dieser Zustand kann sehr lange andauern. Es ist vermessen zu glauben, dass es einen bestimmten Zeitpunkt gibt, an dem die IT-Systeme einfach wieder laufen, nach einem schweren Cyberangriff. Alles kann kompromittiert sein. Es können nicht einfach Systeme aus dem Backup wieder eingespielt werden, wenn das Backup selbst kompromittiert ist. In schweren Fällen muss die IT von Grund auf neu aufgesetzt werden. Was das bedeutet wird vielleicht deutlich, wenn Sie daran denken, dass die erfolgreiche Einführung eines ERP Systems bei funktionierender IT bereits mehrere Jahre dauern kann. 

7. Kosten die aus Reputationsverlust entstehen 

Verlorenes Vertrauen von Kunden, Lieferanten, Interessenten, zukünftigen Interessenten und Mitarbeitern. Das ist oft die Folge von erfolgreichen Cyberangriffen. Mittlerweile landen viele Cyberangriffe ungewollt in der Presse und der reputationsschaden ist offensichtlich. Hält man sich an geltende Gesetze und möchte das Vertrauen von Kunden, Lieferanten und Mitarbeitern nicht absichtlich missbrauchen, so muss ein Cyberangriff mit Datenexfiltration, was die Regel darstellt, allen Betroffenen und den Behörden gemeldet werden. Wir dann offensichtlich, dass man als Unternehmen die Cyber Sicherheit nicht entsprechend dem tatsächlichem Risiko bedient hat, ist der Vertrauensverlust in die Führung des Unternehmens schnell da. Vielen Unternehmen ist ebenso nicht bewusst, dass nach einem erfolgreichen Cyber Angriff dessen Kunden und Lieferanten das nächste Ziel sind. Durch die Datenexfiltration sind Angriffe auf die Partner des Opfers besonders naheliegend und der nächste logische Schritt.

8. Kosten für qualifiziertes Personal 

Spätestens nach einem erfolgreichen Cyberangriff wird in der Regel das Personal aufgestockt. Mit einem Blick auf die gängigen Jobbörsen wird aber schnell klar, dass qualifiziertes Personal schlecht verfügbar und teuer ist. Sechsstellige Gehälter sind keine Seltenheit für gute Cyber Security Kräfte. Zudem fühlen sich diese Art von Fachkräfte oft nicht besonders wohl in einem typischen mittelständischen Unternehmen. Fluktuation ist ein weiterer Kostentreiber in der Gesamtbetrachtung.

9. Kosten für Cyber Security Werkezeuge 

Auch hier wird spätestens mit dem Einsatz von qualifiziertem Personal für Cyber Sicherheit klar, dass diese nicht ohne eine Vielzahl von professionellen Werkzeugen auskommen. Allein die Standardwerkzeuge übersteigen nicht selten ganze IT-Budgets von mittelständischen Unternehmen. Dabei sind diese so dringend notwendig. 

10. Kosten für externe Berater und Cyber Sicherheitsexperten 

Externe Cyber Sicherheitsunternehmen stellen eine Möglichkeit dar, das die interne IT-Abteilung bei dem Thema Cyber Sicherheit zu entlasten. Die Kosten für professionelle Beratungs- und Unterstützungsleistungen sind beträchtlich und werden oft bei der konventionellen Herangehensweise viel zu niedrig angesetzt. 

 

Wie hoch sollte denn mein Cyber Security Budget nun konkret sein? 

In einer Beispielrechnung möchten wir grob darstellen, was ein typisches mittelständisches Unternehmen an Personal und Werkzeugen benötigt, um Cyberangriffen erfolgreich zu trotzen. Die folgende Darstellung ist in extrem zusammengefasster Form, um es verständlicher zu visualisieren und soll grobe Richtwerte für ein Budget geben, welches eine wirksame Cyberabwehr erzeugen kann. 

  • Mindestens zwei Cyber Security Experten: ab 200.000 Euro pro Jahr.
  • Lösungen zur Erkennung und Bekämpfung von Cyberangriffen sowie Herstellung von Forensik (beispielhaft XDR, NDR, TI, SIEM, SOAR): ab 250.000 Euro pro Jahr.
  • Proaktive Werkzeuge, um Cyberangriffen möglichst zuvorzukommen (beispielsweise Pentests, Risk Management, Awareness Training, Supply Chain Protection, ISMS, Zero Day Mitigation, Patch Management): ab 200.000,- Euro pro Jahr.
  • Lösungen die zur datenschutzkonformen und schnellen Malwareanalyse unerlässlich sind (wie moderne Sandboxen, Honeypots, Security Analysekapazitäten): ab 100.000 Euro pro Jahr. 

Sie sehen, dass in diesem Beispiel bereits ca. 750.000 Euro Kosten pro Jahr entstehen. Hierbei handelt es sich lediglich um eine grobe Schätzung. Je nach eingesetzten Werkzeugen und Personal kann der Preis noch stark nach oben steigen. Es handelt sich hier um eine Mindestausstattung, wie sie jedes Unternehmen benötigt. Bei größeren Unternehmen werden die Preise der Werkzeuge teurer und es wird mehr Personal benötigt. Teilweise ist der Einsatz von kostenfreien alternativen Open Source Lösungen möglich. In der Regel erhöht sich hier aber der Personalaufwand deutlich und der Funktionsumfang und die Wirkung kann stark abweichen. Die Kosten für externe Berater und Cyber Sicherheitsexperten kommen noch fallbezogen hinzu. 

Ein bisschen Cyber Sicherheit hilft nicht 

Sollten Sie diese Kostenaufstellung aufgrund der schieren Höhe für unrealistisch halten, so denken Sie bitte daran, dass Cyberangriffe gerade deshalb so erfolgreich sind, weil Unternehmen nicht die erforderlichen Maßnahmen ergreifen um sich ausreichend und verhältnismäßig zu schützen. Man kann Cyber Security Personal und dessen Werkezuge für zu teuer halten. Das ändert aber nichts daran, dass diese benötigt werden, wenn man sein Unternehmen wirksam vor den Folgen von Cyberangriffen schützen möchte. Es gibt zum Glück eine Alternative zu dieser Aufstellung. Wenn Sie in Cyber Sicherheit investieren, dann sollten Sie es so tun, dass das Risiko für einen erfolgreichen Cyberangriff so gesenkt wird, dass es vertretbar wird (siehe Beispielrechnung Budget). Maßnahmen aus Budgetgründen nur teilweise umzusetzen, wird Ihr Unternehmen nicht erfolgreich vor den Folgen von Cyberangriffen schützen.  

Wäre es dann nicht wirtschaftlicher das Unternehmen nicht professionell vor Cyberangriffen zu schützen, das Geld in der Beispielkalkulation zu sparen und darauf zu spekulieren, dass man nicht Opfer wird? 

Aus unserer Sicht auf keinen Fall! Unternehmen, die sich nicht vor den Bedrohungen von Cyberangriffen schützen werden früher oder später massive Probleme bekommen und gefährden grob fahrlässig ihre Existenz.

Wie löse ich dann das Problem, dass risikobasierte Cyber Sicherheit für den Mittelstand nicht wirtschaftlich abbildbar ist? 

 Wir haben uns lange den Kopf darüber zerbrochen, wie mittelständische Unternehmen sich verhältnismäßig und wirtschaftlich vor den Folgen von Cyberangriffen schützen können. 

Unsere Lösung ist VAK CSO® - die eigene Cyber Sicherheitsabteilung für Ihr mittelständisches Unternehmen.  

VAK CSO® erfüllt alle Anforderungen und ist deutlich wirtschaftlicher als die dargestellte Kalkulation. Mit VAK CSO® kann man bereits ab 4% Personalkostenanteil (Branchenabhängig) oder für einen Fixpreis von nur 250,- Euro pro Mitarbeiter und Monat diese Kosten vollständig ersetzen und eine wirksame Cyberabwehr dauerhaft für sein Unternehmen etablieren. Hierzu wird eine vollständige Cyber Sicherheitsabteilung durch VAK CSO® abgebildet. Für Unternehmen, die mit weniger starten möchten, gibt es attraktive Editionen, um zu beginnen.

Mehr erfahren Sie unter https://vakcso.de

Fazit 

Bei der Investition und Budgetierung für Cyber Sicherheit scheiden sich die Geister. Fakt ist, dass viele Unternehmen viel zu wenig Geld für Cyber Sicherheit ausgeben und sich somit unzureichend vor Hackerangriffen schützen. Für welchen Weg Sie sich auch immer entscheiden.  

Eines ist aber sicher: Kosten für eine wirklich wirksame Cyber Security Abteilung sind Kosten, die vor deutlich höheren Kosten schützen. Denn nur eine wirksame Cyber Sicherheitsabteilung kann Cyberbedrohungen verhältnismäßig bekämpfen.