Sicherheitsstrategie Cybersicherheit: Warum sie nicht zum Discount-Preis zu haben ist

Das billigste Angebot ist selten die beste Wahl. Trotzdem suchen viele Unternehmen ihre IT-Projekte nach dem Preisetikett aus. Diese Haltung mag auf den ersten Blick rational wirken, sie ist aber gefährlich kurzsichtig. Denn wer echte Cybersicherheit will, bekommt sie nicht zum Discount-Preis.

Cyberangriffe sind nicht nur irgendein Betriebsrisiko, sondern schnell auch ein Insolvenzgrund. Produktionsausfälle, Datenlecks, Lösegeld-Forderungen – jedes dieser Szenarien kann ein Unternehmen innerhalb kürzester Zeit in die Knie zwingen. Der Glaube, es treffe immer „die anderen“, ist leider nach wie vor weit verbreitet. Und er ist brandgefährlich. Denn die Realität hat längst gezeigt, dass früher oder später wirklich jeder ein potenzielles Ziel für einen Cyberangriff ist. Hinter einem Angriff müssen dabei nicht einmal große, gut organisierte Hackergruppen stecken – Malware gibt es inzwischen fast umsonst als as-a-Service, sodass selbst der technisch begabte Nachbar zur Bedrohung der Cybersicherheit werden kann.

Cybersicherheit ist kein Discount-Produkt

Trotzdem dominiert im Einkauf vieler IT-Abteilungen der Rotstift. Bei Ausschreibungen wird um die Höhe der Stundensätze gefeilscht, als ginge es um nichts anderes. Dabei kommen Antworten auf entscheidende Fragen im Falle eines Falles zu kurz: Wo und wie bin ich angreifbar? Bin ich vorbereitet, wenn sich Bedrohungen verändern? Und vor allem: Wie schnell kann ich meinen Betrieb nach einem Angriff wieder hochfahren? Anstatt Projekte in der Cybersicherheit nur nach formalen Kriterien – allen voran dem Preis – zu betrachten, sollte die Argumentationskette lieber anders aufgezogen werden. Drei Wahrheiten helfen dabei.

Cybersicherheit ist kein leidiges Pflichtprogramm, sondern Wertschöpfung

Ein großes Problem ist die Einstellung. Noch immer betrachten viele Unternehmen Cybersicherheit als lästige Pflicht – eine zwar notwendige, aber trotzdem unbeliebte Ausgabe. Dabei ist Security längst Teil der Wertschöpfungskette: Sie schützt nicht nur Daten, sondern auch das Geschäftsmodell und somit die Innovationsfähigkeit. Zudem stärkt sie das Vertrauen aller Stakeholder und damit die Reputation. Genau deshalb braucht es einen Paradigmenwechsel – weg von der Logik des „billig und schnell“ hin zu „sicher und nachhaltig“. Für echte IT-Sicherheit reicht es auch nicht aus, reaktiv ein Pflichtenheft abzuarbeiten. Zielführender ist ein Portfolio an proaktiven Maßnahmen. Mindestens genauso wichtig ist ein transparenter Blick auf alle digitalen Wertschöpfungsketten. Das Ziel muss sein, so viele potenzielle Einfallstore wie möglich zu schließen.

Wer den Rotstift bei der IT-Sicherheit ansetzt, riskiert viel. Die erhofften Einsparungen müssen im Ernstfall teuer beglichen werden.

Christian Koch, NTT Data

Die Kosten eines Angriffs sind höher als die Investitionen in Cybersicherheit

Ein realistischer Blick auf die Folgekosten einer erfolgreichen Cyberattacke hilft dabei, die Ausgaben für IT-Sicherheit besser zu begründen. Beträgt der Schaden durch einen Produktionsausfall beispielsweise eine Million Euro aufgrund vertraglicher Strafen, zahlt sich eine Investition von 300.000 Euro in technische und organisatorische Maßnahmen quasi von selbst aus. Denn bei dieser Rechnung ergibt sich ein „positiver“ Business Case von 700.000 Euro, wobei die Kosten für den eigentlichen Stillstand noch gar nicht eingerechnet sind. 

Ein anderes Beispiel sind Ransomware-Angriffe. Steht die IT komplett still, funktioniert in Unternehmen fast nichts mehr. Die Tragweite ist enorm – da ist die Lösegeldforderung noch der kleinste Kostenfaktor. Inzwischen rangieren sogar die finanziellen Einbußen durch Schäden an Reputation und Marke an erster Stelle. Die Bewertung solcher Szenarien liefert klare Argumente für angemessene Security-Investitionen.

Erfolgreiche KI-Nutzung

KI-Strategie: Wie Unternehmen ihre KI-Vision in Wert verwandeln

IT-Sicherheit setzt Expertise voraus, eine Self-Mentalität ist fehl am Platz

Unternehmen, die glauben, ihren Schutzwall selbst aufbauen zu können, haben in der Regel eine falsche Vorstellung von der Professionalität der Angreifer. Diese operieren mit hocheffizienten Strukturen, nutzen KI und arbeiten global rund um die Uhr. Hinzu kommt, dass der Aufwand für den Betrieb moderner Sicherheitslösungen unterschätzt wird. Während die reinen Anschaffungskosten für die technologische Infrastruktur noch relativ überschaubar sind, entpuppen sich die laufenden Betriebskosten schnell als echter Kostentreiber. 

Ein Security Operations Center (SOC) in Eigenregie beispielsweise mag nach Kontrolle klingen, ist für viele Unternehmen jedoch wirtschaftlich nicht darstellbar. Es fehlen Fachkräfte und die Schichten müssen rund um die Uhr besetzt werden, denn die Angriffe laufen im Sekundentakt. Das ist ein aufwendiger Job, den selbst die meisten Konzerne trotz ihrer Ressourcen und Budgets nicht in Eigenregie machen wollen. 
Kurzum: Cybersicherheit gibt es nicht zum Dumpingpreis. Sie erfordert Know-how und Weitsicht. Wer nur auf den Preis schaut, kauft keine Sicherheit, sondern eine trügerische Illusion davon.