Wann kommt das Budget für Informationssicherheit?
In den letzten Jahren habe ich bei meiner Arbeit festgestellt, dass die mangelnden Fortschritte im Bereich der Informationssicherheit in fast allen Unternehmen vor allem auf einen Umstand zurückzuführen sind: es wird zu wenig Geld zur Verfügung gestellt. Und es ist tatsächlich so simpel, wie das nun geschrieben ist. Ich könnte Ihnen dutzende Beispiele liefern, die das eindeutig beweisen, aber hier nur mal vier Szenarien:
-
Die Firma braucht unbedingt einen CISO, damit sich endlich jemand mit 100% Einsatz um die Informationssicherheit kümmert. Geht leider nicht, denn das HR-Budget kann nicht zusätzlich erhöht werden, und erst recht nicht um so einen hohen Betrag.
-
Die Einführung eines ISMS wird der Firma helfen, ihre Cyber Risiken zu kennen und mitigieren zu können. Geht leider nicht, das Projektbudget ist für die kommenden drei Jahre bereits durch Grossprojekte ausgelastet.
-
Bei der Einführung eines Cloud-Tools wurde nicht auf sicherheitsrelevante Aspekte geachtet. Dies kann behoben werden, indem die Möglichkeiten des Herstellers durch eine teurere Lizenz genutzt wird. Geht leider nicht, denn das Budget für die Lizenzkosten ist eh schon zu hoch.
-
Man ist zwar von der eigenen Sicherheit überzeugt, aber so wirklich getestet wurde das noch nie. Ein externes Sicherheitsaudit (aka Penetration Test) verschafft hier Klarheit. Geht leider nicht, da die eingegangenen Angebote viel zu teuer sind und kein Budgetposten dafür vorhanden ist.
Wissen Sie, was ich daran besonders tragisch finde? Dass in allen aufgeführten Beispielen die Notwendigkeit für eine Optimierung erkannt wurde, eine Umsetzung dann aber durch finanzielle Aspekte torpediert wurde. Vordergründig sieht es so aus, als ob die Kosten zu hoch wären. Doch der tatsächliche Fehler geschah viel früher, und auf einer ganz anderen Ebene: Man hat schlicht vergessen, ein Budget (oder die entsprechenden Posten) für Informationssicherheit zu erstellen. Oder man hat den Posten für die Informationssicherheit im ICT-Budget „vergraben“, welches sowieso chronisch “überbucht” ist. Beides kann sich später rächen.
Ein plakatives Beispiel …
Sie kaufen ein neues Auto. Sie haben sich ein Budget von 60’000 Franken gesetzt, plus ein „Polster“ von 10’000 Franken für Optionen. Irgendwann einmal haben Sie sich für Marke, Motor, Farbe und Inneneinrichtung entschieden. Nun kommt der Punkt, an dem Sie sich Gedanken über die Optionen zum Fahrzeug machen müssen. Zum einen wären da Fahrassistenz-Optionen wie Abstandsregeltempomat, Spurhalteassistent, Müdigkeitswarnsysteme, um nur einige Möglichkeiten zu nennen. Sagen wir, eine sinnvolle Auswahl dieser Optionen kostet Sie 10’000 Franken. Jetzt gibt es aber natürlich noch andere, „wirklich coole“ Optionen, wie ein Schiebedach, 3D-Klangsystem inkl. Subwoofer, Front- und Heckspoiler im Sportdesign. Diese Optionen haben denselben Preis, 10’000 Franken. Wofür werden Sie sich entscheiden? Wetten, 8 von 10 entscheiden sich für Option 2? Und die Argumente gegen die Sicherheitsoptionen dürften ähnlich sein wie in der Wirtschaft, „ich fühle mich auch so sicher“, „mir passiert schon nichts“, „ich bin ein sehr vorsichtiger Fahrer“, usw. Wissen Sie, was an diesen Argumenten spannend ist? Während man kaum Argumente für „wirklich coole“ Optionen benötigt, findet man haufenweise welche gegen Sicherheitsoptionen. Und auch hier ist erneut tragisch, dass es in der Wirtschaft leider über weite Strecken genau gleich verläuft.
… übertragen in die Wirtschaft
Der Rahmen eines Unternehmens-Budgets ist in den allermeisten Fällen gegeben. Ein Budget ergibt sich aus dem Zusammenspiel von Umsatz und Ertrag, Fixkosten und Investitionen. Ein Unternehmensbudget kann deshalb nicht einfach mal so schnell um 10% erhöht werden, denn dies könnte sich negativ auf den Gewinn auswirken, oder sogar die Liquidität gefährden. Aus diesem Grund muss leider oft ein einzelner Budgetposten verkleinert werden, damit ein anderer erhöht werden kann. Und genau hier wird es nun schwierig mit dem Thema Informationssicherheit. Vor 10, 15 Jahren hat man diesem Thema kaum Beachtung geschenkt. Klar, Hacker und Schadsoftware gab es schon damals, aber man konzentrierte sich darauf, flächendeckend Virenschutzsoftware einzusetzen und die Firewall so „hart“ wie möglich zu konfigurieren. Einzig im Banken- und Versicherungssektor wurden Sicherheitsaspekten schon vor 30 Jahren ein hohes Gewicht beigemessen – „aber die konnten sich das ja auch leisten“, so die Antwort, wenn man sich heute über diese Ausnahme unterhält.
Zurück zu unserem Budget. Wir wissen, der Rahmen ist gesetzt, wir wissen aber auch, dass wir zwingend in die Informationssicherheit investieren müssen, denn die Bedrohungslage hat sich nicht nur verändert, nein, sie ist exponentiell gestiegen, und zwar global. Und wir sind uns bewusst, dass wir Budgetposten haben, die man durchaus kürzen könnte, wenn man denn wollte. Nennen wir als Beispiel Sponsoring, Firmenevents, Messeteilnahmen, oder ein neues CI-Design. Sind halt auch „wirklich coole“ Dinge. Was machen wir nun? Wir könnten sagen „jä nu“ und hoffen, dass einfach nichts passiert. Denn die „wirklich coolen“ Dinge liegen uns persönlich nahe und spielen vielleicht sogar eine wichtige Rolle in der Firmentradition. Erkennen Sie die Parallele zum oben erwähnten Autokäufer?
Ein kurzer Blick zur Bedrohungslage
Mein letzter Satz im ersten Abschnitt lautete, dass sich ein fehlendes Informationssicherheits-Budget bitter rächen kann. Inwiefern? Erlauben Sie mir, dass ich an dieser Stelle einfach mal kurz ein paar Zahlen [1] in die Runde werfe:
-
2022 wurden weltweit 493,33 Millionen Ransomware-Attacken auf Organisationen entdeckt.
-
Phishing ist nach wie vor der häufigste Cyberangriff mit täglich etwa 3,4 Milliarden Spam-E-Mails. Phishing-Angriffe sind für 90 % aller Fälle von Datenmissbrauch verantwortlich.
-
Im Jahr 2023 wurden täglich 300’000 neue Schadprogramme generiert, von denen 92 % per E-Mail verbreitet wurden. Es dauerte durchschnittlich 49 Tage, bis sie entdeckt wurden.
-
Das Gesundheitswesen ist seit zwölf Jahren in Folge die Branche mit den höchsten Kosten für Datenpannen, die im Jahr 2022 im Schnitt 10,1 Millionen USD erreichten.
-
Auch in der Schweiz vergeht kein einzelner Tag ohne einen versuchten Ransomware-Angriff
Ich glaube, diese Zahlen müssen nicht kommentiert werden. Egal wie klein das Land ist, in dem wir tätig sind, oder wie klein und unbedeutend das Unternehmen scheinen mag, in dem wir arbeiten: wir sind alle weltweit vernetzt und somit akut gefährdet. Wenn Sie glauben „uns passiert schon nichts“, dann ist das ein Irrglaube. Tut mir leid, wenn das hart klingt, aber so ist es.
Die heutige Bedrohungslage zeigt es klar und deutlich: jedes einzelne Unternehmen muss in die Informationssicherheit investieren. Wenn es das nicht tut, ist es nur eine Frage der Zeit, bis es zum Opfer wird. Ich wiederhole deshalb die Titelfrage, diesmal aber direkt an Sie gerichtet: wann kommt in Ihrem Unternehmen das Budget (oder ein Budgetposten) für Informationssicherheit?
Eine Sache der Priorisierung
Um eines klarzustellen: ein Unternehmen zu leiten, ist eine grosse Herausforderung, und ein Unternehmensbudget zu definieren scheint oft mindestens genauso schwierig. Fakt ist aber auch, dass es nicht sein darf, dass in einem Unternehmensbudget kein Platz für Informationssicherheit und Datenschutz ist. Das ist der heutigen Bedrohungslage einfach nicht mehr angemessen und wäre in etwa so, wie wenn Sie sich ohne Gurte und Airbag täglich mit Ihrem Auto in den Pendlerverkehr stürzen! In beiden Fällen riskieren Sie ganz direkt Leben: in diesem Beispiel ist es Ihr eigenes Leben, bei einem Budget ohne Informationssicherheits-Posten ist es das (Über-)Leben Ihrer Firma. Oder – im schlimmsten Fall – vielleicht sogar das Leben Ihrer Kunden oder Patienten, wie dies im Gesundheitswesen der Fall sein kann. Prüfen Sie deshalb Ihr Budget auf Positionen, die zwar vielleicht „cool“ sind, aber die für das Leben des Unternehmens bei weitem nicht so wichtig sind wie ein hoher Informationssicherheits-Level. Oft hilft es, mehrere Positionen ein wenig zu reduzieren, damit in der Summe bereits ein ansehnlicher Posten für die Informationssicherheit freigegeben werden kann.
Ich richte hiermit einen klaren Appell an alle Mitglieder der Geschäftsleitung oder von Verwaltungsräten, die diesen Blog-Artikel lesen: zögern Sie nicht mehr länger! Schaffen Sie in Ihrem Unternehmensbudget noch heute einen entsprechenden Posten für die Informationssicherheit und stellen Sie genügend finanzielle Ressourcen zur Verfügung! Und genügend heisst hier nicht einfach das Minimum, sondern so viele Mittel, wie aufgrund einer Risikoanalyse der Gesamtsituation und der Bedrohungslage angemessen sind! Leisten Sie sich einen CISO oder ein ISMS oder ein SOC (das sind doch übrigens auch alles „coole“ Abkürzungen, nicht wahr?) oder was Ihr Unternehmen sonst noch benötigt, damit das Leben Ihres Unternehmens wieder sicher ist! All‘ die „coolen“ Ausgaben, die Sie tätigen möchten, können sonst eines Tages plötzlich nicht mehr möglich sein, wenn die Lösegeldforderung einer Hackerbande auf Ihrem Bildschirm erscheint und Sie nicht über sichere Backups und Notfallprozedere verfügen – weil zuvor keine entsprechenden finanziellen Ressourcen, die dafür nötig gewesen wären, gesprochen wurden.
Setzen Sie die Prioritäten auch beim Unternehmensbudget korrekt, und investieren Sie in die Informationssicherheit. Und zwar nicht irgendwann, sondern noch heute!
Quellen
50+ Cybersecurity-Statistiken 2023: Alles Wissenswerte über die Angriffsziele
Informationen zum Autor: Marcel Grand
Nach über 20 Jahren Tätigkeit im operativen IT-Business – wovon viele Jahre als Leiter IT – wollte ich mich mit dem Erreichen des fünfzigsten Lebensjahres nochmals beruflich verändern. Ich habe mich für eine Spezialisierung im Bereich Informationssicherheit entschieden, und erhielt von goSecurity eine grossartige Chance, meine langjährige Erfahrung nutzbringend für unsere Kunden einsetzen zu können.