Diese Seite ist für die Betrachtung im Hochformat optimiert. Bitte drehen Sie ihr Smartphone.

Cybersecurity, neu berechnet

Zero-Based Budgeting

Der Dauer­beschuss mit Schadsoft­ware aus dem Cyber­space...

… bedroht den Geschäftserfolg. Die Abwehr der Attacken wird für Unternehmen immer kostspieliger. Mit der richtigen Strategie machen sie mehr aus ihrem Security-Budget.

Erst Anfang April 2022 erwischte es einen mittelständischen Pumpenhersteller, kurz danach wurden eine Stadtverwaltung und ein Unternehmen aus der Energiebranche Opfer von Cyberangriffen. Im Falle des Pumpenherstellers sind die internen IT Systeme immer noch nur eingeschränkt verfügbar. Beispiele wie diese zeigen: Cyberangriffe sind für alle Branchen eine reale Gefahr. „Die Frage ist nicht mehr, ob ein Unternehmen getroffen wird“, sagt Thomas Schumacher, Security Lead von Accenture DACH, „sondern lediglich, wann.“

Die Gründe für diese Entwicklung sind vielzählig: Neben der Ausweitung der Angriffsfläche durch vermehrtes Homeoffice im Zuge der Covid-19-Pandemie und die digitale Transformation führt auch die zunehmende Professionalisierung der Angreifer zu einem Anstieg erfolgreicher Attacken. Inzwischen gelten Cyberrisiken, das zeigt das Risk Barometer 2022 des Versicherers Allianz, als größte Bedrohung für Unternehmen – noch vor dem Klimawandel oder der Pandemie.

Welchen Preis hat IT-Sicherheit?

Firmen reagieren auf diese veränderten Rahmenbedingungen. In Deutschland binden die Security-Aktivitäten in Unternehmen inzwischen 24 Prozent des gesamten IT-Budgets – drei Prozentpunkte mehr als noch 2021. Das ergab die Befragung von mehr als 5.000 IT-Professionals in Europa und den USA im Auftrag des Spezialversicherer Hiscox. Höhere Ausgaben sorgen aber nicht automatisch für höhere Sicherheit, denn die Zahl erfolgreicher digitaler Angriffe steigt weiter.

„Nur durch zielgerichtete und effiziente Maßnahmen können Security-Fähigkeiten ausgebaut und ein adäquater Schutz von Gefahren erreicht werden“, sagt Thomas Schumacher. Klug angewendete Security-Maßnahmen ermöglichen Unternehmen, sich auf ihr Kerngeschäft, ihre Innovationen und ihr Wachstum zu konzentrieren. „Sichere Systeme fördern darüber hinaus das Vertrauen der Kunden“, ergänzt Schumacher. Das koste zwar Geld, so der Experte. „Das Investment ist aber gering im Vergleich zum potenziellen Schaden.“

Das leuchtet ein, zur Wahrheit gehört aber auch: Unternehmen stehen aktuell auch noch vor anderen Herausforderungen, beispielsweise die digitale Transformation, die Know-how und Budget bindet. Zusätzlicher Kostendruck entsteht durch die Folgen der Pandemie, durch geopolitische Konflikte, die abflachender Konjunktur und die zuletzt deutlich gestiegene Inflation.

Die Lösung heißt ZBx

Damit Unternehmen ihre Ziele erreichen, dabei ihr Budget einhalten und zugleich das Cybersicherheitsniveau erhöhen, empfiehlt Accenture das Budgetierungskonzept Zero-Based Cyber Spend, kurz ZBx. Es basiert auf dem Zero-Based-Budgeting-Ansatz, den es schon längere Zeit im Infrastrukturumfeld gibt. Im Bereich der Cybersicherheit sind Investitions- und Kostendruck mittlerweile aber so hoch, dass das Konzept auch hier relevant wird. „Vereinfacht gesagt, plant man bei ZBx Maßnahmen für die Cybersicherheit nicht von einem gegebenen Budget aus, sondern budgetiert die Maßnahmen, die notwendig sind, um ein definiertes Security-Ziel zu erreichen“, erläutert Thomas Schumacher. Zugrunde liegt hierbei eine datengestützte Analyse aller Bereiche, in denen Security-Ausgaben getätigt werden. Der Effekt: Investitionen in Cybersicherheit können schneller und effizienter getätigt werden.

So funktioniert ZBx

1. Transparenz schaffen

Herausfinden, wer in der Organisation wieviel Geld für was im Bereich Cybersecurity ausgibt. Vorgehen: Regelmäßige Treffen mit den zuständigen Personen (CISO, Managementteam und auch Verantwortlichen im Business), Analyse der finanziellen Daten (Budget, Ausgaben für Zulieferer) und Analyse der betrieblichen Daten (zum Beispiel Volumen an Security Tickets, Portfolio an Security Technologie, Arbeitsleistung von Security Personal).

2. Methodisch priorisieren

Anhand der Transparenzanalyse folgt eine methodische Priorisierung von Bereichen, in denen das größte Optimierungspotenzial besteht. Dieses besteht häufig durch folgende Maßnahmen: Automatisierung bestehender Prozesse und Tools, Optimierung der Ausgaben für Security-Technologien durch Analyse potenzieller Überlappung, Kosteneinsparung durch Nutzung von neuen Technologien (zum Beispiel die Cloud), Transfer von selbstentwickelten teuren Applikationen zu Standardtools.

3. Fahrplan aufstellen und umsetzen

Erarbeitung von Empfehlungen und Aufstellung einer Roadmap für schnelle Realisierung von zusätzlichem Business Value. Anschließend Programme aufsetzen, die die erarbeiteten Implementierungs- und Transformationspläne umsetzen.

„ZBx ermöglicht es Führungskräften nicht zielgerichtete Kosten für Cybersicherheit zu identifizieren und auf diese Weise neue Fähigkeiten für mehr Schutz aufzubauen“, fasst Thomas Schumacher zusammen. Ist das nicht notwendig, kann das freigesetzte Budget zur Finanzierung anderer wichtiger Ziele wie zum Beispiel der Digitalisierung eingesetzt werden.

Unternehmen, die die ZBx-Methode angewandt haben, konnten bemerkenswerte Ergebnisse erzielen. Wie die Accenture-Studie „Beyond the ZBB Buzz“ ergab, waren durchschnittliche Einsparungen von 260 Millionen Dollar jährlich möglich. In der Gewinn- und Verlustrechnung der Firmen konnten die Kosten um bis zu 15 Prozent gesenkt werden. Ihre Kostenreduktionsziele erreichten 91 Prozent der befragten Unternehmen. Das Fazit der Studienautoren: „ZBx hilft Unternehmen, unnötigen Ballast zu entfernen, Synergien zu heben und Kapital für Wachstum freizuräumen.“

Ein Allheilmittel gegen Gefahren aus dem Cyberspace ist die nullbasierte Budgetierung freilich nicht.

Zero Based Cyber Spend hilft aber, Kapital noch gezielter einzusetzen, um das Unternehmen gegen Bedrohungen zu wappnen. Die Bedeutung einer umfassenden Cybersicherheit und der Investitionsdruck werden weiterhin steigen.

Mehr zum Thema Cyber Security

Die digitale Welt sicherer machen

Daten schützen sich nicht von allein. Dafür braucht es Menschen wie Sie, die innovative Security-Lösungen entwickeln und implementieren.

Mehr erfahren
#Cybersecurity
Anzeige