Cybersecurity, neu berechnet
Zero-Based Budgeting
Der Dauerbeschuss mit Schadsoftware aus dem Cyberspace...
… bedroht den Geschäftserfolg. Die Abwehr der Attacken wird für Unternehmen immer kostspieliger. Mit der richtigen Strategie machen sie mehr aus ihrem
Security-Budget.
Erst Anfang April 2022 erwischte es einen mittelständischen Pumpenhersteller, kurz danach wurden eine Stadtverwaltung und ein Unternehmen aus der Energiebranche Opfer von
Cyberangriffen. Im Falle des Pumpenherstellers sind die internen IT Systeme immer noch nur eingeschränkt verfügbar. Beispiele wie diese zeigen: Cyberangriffe sind für alle
Branchen eine reale Gefahr. „Die Frage ist nicht mehr, ob ein Unternehmen getroffen wird“, sagt Thomas Schumacher, Security Lead von Accenture DACH, „sondern lediglich, wann.“
Inhalt
Die Gründe für diese Entwicklung sind vielzählig: Neben der Ausweitung der Angriffsfläche durch vermehrtes Homeoffice im Zuge der Covid-19-Pandemie und die digitale Transformation führt auch die zunehmende Professionalisierung der Angreifer zu einem Anstieg erfolgreicher Attacken. Inzwischen gelten Cyberrisiken, das zeigt das Risk Barometer 2022 des Versicherers Allianz, als größte Bedrohung für Unternehmen – noch vor dem Klimawandel oder der Pandemie.
Welchen Preis hat IT-Sicherheit?
Firmen reagieren auf diese veränderten Rahmenbedingungen. In Deutschland binden die Security-Aktivitäten in Unternehmen inzwischen 24 Prozent des gesamten IT-Budgets – drei
Prozentpunkte mehr als noch 2021. Das ergab die
Befragung von mehr als 5.000 IT-Professionals in Europa und den USA im Auftrag des Spezialversicherer Hiscox. Höhere Ausgaben sorgen aber nicht
automatisch für höhere Sicherheit, denn die Zahl erfolgreicher digitaler Angriffe steigt weiter.
„Nur durch zielgerichtete und effiziente Maßnahmen können Security-Fähigkeiten ausgebaut und ein adäquater Schutz von Gefahren erreicht werden“, sagt Thomas Schumacher. Klug
angewendete Security-Maßnahmen ermöglichen Unternehmen, sich auf ihr Kerngeschäft, ihre Innovationen und ihr Wachstum zu konzentrieren. „Sichere Systeme fördern darüber hinaus das
Vertrauen der Kunden“, ergänzt Schumacher. Das koste zwar Geld, so der Experte. „Das Investment ist aber gering im Vergleich zum potenziellen Schaden.“
Das leuchtet ein, zur Wahrheit gehört aber auch: Unternehmen stehen aktuell auch noch vor anderen Herausforderungen, beispielsweise die digitale Transformation, die Know-how und Budget
bindet. Zusätzlicher Kostendruck entsteht durch die Folgen der Pandemie, durch geopolitische Konflikte, die abflachender Konjunktur und die zuletzt deutlich gestiegene Inflation.
Die Lösung heißt ZBx
Damit Unternehmen ihre Ziele erreichen, dabei ihr Budget einhalten und zugleich das Cybersicherheitsniveau erhöhen, empfiehlt Accenture das Budgetierungskonzept Zero-Based Cyber Spend, kurz ZBx. Es basiert auf dem Zero-Based-Budgeting-Ansatz, den es schon längere Zeit im Infrastrukturumfeld gibt. Im Bereich der Cybersicherheit sind Investitions- und Kostendruck mittlerweile aber so hoch, dass das Konzept auch hier relevant wird. „Vereinfacht gesagt, plant man bei ZBx Maßnahmen für die Cybersicherheit nicht von einem gegebenen Budget aus, sondern budgetiert die Maßnahmen, die notwendig sind, um ein definiertes Security-Ziel zu erreichen“, erläutert Thomas Schumacher. Zugrunde liegt hierbei eine datengestützte Analyse aller Bereiche, in denen Security-Ausgaben getätigt werden. Der Effekt: Investitionen in Cybersicherheit können schneller und effizienter getätigt werden.
Inhalt
So funktioniert ZBx
1. Transparenz schaffen
Herausfinden, wer in der Organisation wieviel Geld für was im Bereich Cybersecurity ausgibt. Vorgehen: Regelmäßige Treffen mit den zuständigen Personen (CISO, Managementteam und auch Verantwortlichen im Business), Analyse der finanziellen Daten (Budget, Ausgaben für Zulieferer) und Analyse der betrieblichen Daten (zum Beispiel Volumen an Security Tickets, Portfolio an Security Technologie, Arbeitsleistung von Security Personal).
2. Methodisch priorisieren
Anhand der Transparenzanalyse folgt eine methodische Priorisierung von Bereichen, in denen das größte Optimierungspotenzial besteht. Dieses besteht häufig durch folgende Maßnahmen: Automatisierung bestehender Prozesse und Tools, Optimierung der Ausgaben für Security-Technologien durch Analyse potenzieller Überlappung, Kosteneinsparung durch Nutzung von neuen Technologien (zum Beispiel die Cloud), Transfer von selbstentwickelten teuren Applikationen zu Standardtools.
3. Fahrplan aufstellen und umsetzen
Erarbeitung von Empfehlungen und Aufstellung einer Roadmap für schnelle Realisierung von zusätzlichem Business Value. Anschließend Programme aufsetzen, die die erarbeiteten Implementierungs- und Transformationspläne umsetzen.
„ZBx ermöglicht es Führungskräften nicht zielgerichtete Kosten für Cybersicherheit zu identifizieren und auf diese Weise neue Fähigkeiten für mehr Schutz aufzubauen“, fasst
Thomas Schumacher zusammen. Ist das nicht notwendig, kann das freigesetzte Budget zur Finanzierung anderer wichtiger Ziele wie zum Beispiel der Digitalisierung eingesetzt
werden.
Unternehmen, die die ZBx-Methode angewandt haben, konnten bemerkenswerte Ergebnisse erzielen. Wie die Accenture-Studie „Beyond the ZBB Buzz“ ergab, waren durchschnittliche
Einsparungen von 260 Millionen Dollar jährlich möglich. In der Gewinn- und Verlustrechnung der Firmen konnten die Kosten um bis zu 15 Prozent gesenkt werden. Ihre
Kostenreduktionsziele erreichten 91 Prozent der befragten Unternehmen. Das Fazit der Studienautoren: „ZBx hilft Unternehmen, unnötigen Ballast zu entfernen, Synergien zu heben
und Kapital für Wachstum freizuräumen.“
Ein Allheilmittel gegen Gefahren aus dem Cyberspace ist die nullbasierte Budgetierung freilich nicht.
Inhalt
