Hin zu flexiblen KI-Lösungen
Cybersecurity-Budgets im Wandel
Warum sind 10 bis 15 Prozent des IT-Budgets für Security heutzutage Standard, welche Maßnahmen wirken besonders effektiv, und wie können Unternehmen typische Budgetfehler vermeiden – von der übereilten Tool-Auswahl bis zur riskanten Unterschätzung von Compliance-Anforderungen?
Simon King, Head of Information Security bei Infinigate, gibt Antworten.
Setzten Unternehmen früher auf teure, starre Sicherheitslösungen, dominieren heutzutage flexible, KI-gestützte Ansätze den Markt. Es zeigt sich, dass der Hunger nach automatisierten, intelligenten Lösungen ebenso wächst wie die Nachfrage nach nutzungsbasierten Abrechnungsmodellen. Gleichzeitig steigt der Kostendruck – IT-Verantwortliche müssen fundiert abwägen, wo ihre Sicherheitsetats den größten Mehrwert bieten. Doch wo liegen die größten Kostenfallen? Welche Sicherheitsmaßnahmen sind wirklich unentbehrlich? Und wann wird Cybersecurity vom notwendigen Schutz zum teuren Ballast?
Markt&Technik: Welche Trends prägen aktuell die Budgetplanung für IT-Sicherheit?
Simon King: Aus meinen Gesprächen mit CISOs und anderen Sicherheitsverantwortlichen lassen sich einige klare Trends identifizieren: Besonders auffällig ist der deutliche Investitionsschub in KI-gestützte Sicherheitslösungen, denn diese Tools erweisen sich angesichts der Datenmengen und Anforderungen als unschätzbar wertvoll. Zudem helfen sie dabei, mit weniger Aufwand mehr zu erreichen, indem sie routinemäßige, manuelle Aufgaben reduzieren und es Sicherheitsteams ermöglichen, sich stärker auf die Entscheidungsfindung zu konzentrieren. KI-Lösungen eignen sich daher auch für bei Unternehmen mit begrenztem Budget. Ein weiterer Trend ist die Nachfrage nach flexiblen und automatisierten Sicherheitskontrollen, besonders solchen, die sich an dynamische, überall und jederzeit arbeitende Benutzer, deren Geräte und unterschiedliche Umgebungen anpassen können.
Jobangebote+ passend zum Thema
Wie sieht ein optimales Verhältnis zwischen Security-Investitionen und anderen IT-Ausgaben aus?
Unternehmen haben unterschiedliche Möglichkeiten, den Anteil ihres IT-Budgets für Sicherheitsmaßnahmen festzulegen. Wie hoch dieser ausfällt, hängt von verschiedenen Faktoren wie der Unternehmensart, den jeweiligen Geschäftsfunktionen sowie den Arten von verarbeiteten Informationen oder angebotenen Diensten ab. Üblicherweise fließen nach gängiger Praxis etwas zehn bis 15 Prozent des IT-Budgets in Sicherheitslösungen. Darüber hinaus existieren alternative Ansätze zur Budgetierung. Anstelle eines rein reaktiven Vorgehens setzen einige Organisationen auf eine risikobasierte Planung. Dabei werden verschiedene Kennzahlen herangezogen, etwa die Ausgaben pro Mitarbeiter, der prozentuale Anteil des Budgets am Umsatz oder das Verhältnis von IT-Sicherheitspersonal zur gesamten IT-Belegschaft.
Welche Kostenblöcke dominieren normalerweise die Security-Budgets?
Die wichtigsten Kostentreiber im Bereich IT-Sicherheit sind Technologie, Fachpersonal und operative Ausfallsicherheit. Ein erheblicher Teil des Budgets entfällt auf die Sicherheitstools, die ein Unternehmen einsetzen will, etwa Endpoint Protection, SIEM-Plattformen oder Cloud-Sicherheit, was auf Lizenz-, Integrations- und Skalierbarkeits-Anforderungen zurückzuführen ist. Immer mehr Unternehmen setzen auf Cloud-native und hybride Infrastrukturen. Mit zunehmender Komplexität wächst auch der Bedarf an fortschrittlichen Erkennungs- und Reaktionsfunktionen, dadurch steigen die Ausgaben, und die allgemeinen Betriebskosten nehmen zu.
Weil Cybersicherheitsexperten europaweit stark gefragt sind, steigen die Gehälter – und Unternehmen müssen abwägen, ob sie intern aufbauen oder externe Dienstleister wie MSSPs einbinden. Zusätzlich entstehen Kosten durch Schulungen und Zertifizierungen. Auch Incident Response und Tests wie Penetrationstests oder Red Teaming belasten Budgets, sind aber essenziell, um Schwachstellen frühzeitig zu erkennen und abzuwehren.
Welchen Stellenwert haben Compliance-Anforderungen?
Compliance-Anforderungen spielen eine entscheidende Rolle bei der Gestaltung und Rechtfertigung der Security-Kosten. Traditionelle und neue Vorschriften wie DSGVO, NIS-2, DORA und Mandate zwingen Unternehmen dazu, bestimmte Kontrollen zu implementieren und Rechenschaft abzulegen. Compliance treibt nicht nur die Ausgaben für Tools und Prozesse, sondern beeinflusst auch strategische Entscheidungen in Bezug auf Datenverwaltung, Zugriffsmanagement und Risiken durch Dritte. Für viele Unternehmen kann Compliance der Katalysator sein, der Cybersicherheit von einem technischen Anliegen zu einer Priorität auf Vorstandsebene macht.
Welche Maßnahmen zahlen besonders effektiv auf ein gutes Kosten-Nutzen-Verhältnis ein – vor allem bei begrenzten Budgets?
Für Unternehmen mit kleineren Budgets gibt es einige Sicherheitsmaßnahmen, die einen starken Schutz bieten, ohne erhebliche Investitionen zu binden. Plattformen wie Microsoft 365 oder Google Workspace stellen eine Vielzahl von Sicherheitstools bereit, die insgesamt deutlich kostengünstiger sind als der Erwerb einzelner Speziallösungen. Zwar erreichen diese Komplettpakete häufig nicht die gleiche Detailtiefe wie spezialisierte Anwendungen; sie sind aber in der Lage, die zentralen Sicherheitsbedürfnisse zuverlässig abzudecken.
Ein besonders effektiver Schutzmechanismus ist die Multi-Faktor-Authentifizierung, die einen entscheidenden zusätzlichen Sicherheitslayer gegen den Missbrauch kompromittierter Zugangsdaten bietet. Ebenso kann ein automatisiertes Patch-Management, das auf integrierte Funktionen des Betriebssystems zurückgreift, mit geringem Verwaltungsaufwand verhindern, dass bekannte Sicherheitslücken ausgenutzt werden. Aber auch kostenlose oder kostengünstige Frameworks, wie Cyber Essentials oder das NIST Cybersecurity Framework, helfen dabei, Sicherheitsprioritäten festzulegen, und legen den Schwerpunkt auf grundlegende Kontrollen wie Zugriffsmanagement, Audits und Backup-Strategien, die sich alle mit minimalen Kosten umsetzen lassen.
Stichwort Security Awareness: Wie wichtig sind Trainings und Schulungen?
Trainings zur Sensibilisierung der Mitarbeitenden für Sicherheitsthemen sind nicht nur äußerst wirksam, sondern mit vergleichsweise geringen Kosten verbunden. Menschliche Fehler sind nach wie vor eine der Hauptursachen für Sicherheitsverletzungen, und regelmäßige Schulungen können Risiken wie Phishing und Social Engineering erheblich reduzieren. Viele Plattformen bieten hier skalierbare Lösungen, und selbst einfache interne Kampagnen oder simulierte Phishing-Übungen können zu guten Ergebnissen führen. Investitionen in eine Sicherheitskultur liefern sogar oft einen besseren ROI als teure Tools allein.
Wird gerade bei knappen Etats häufig falsch investiert? Oder anders gefragt: Auf welche Services sollte auf keinen Fall verzichtet werden?
In vielen Unternehmen, besonders bei jenen, die unter Druck stehen, schnell Ergebnisse zu liefern, lassen sich Anforderungen an Sicherheitsprojekte oft nicht vollständig im Vorfeld definieren. Dies führt mitunter zu übereilten Entscheidungen, bei denen Tools aufgrund von Dringlichkeit und nicht wegen ihrer Eignung gekauft werden, was auf eine Kombination aus schlechter Planung, fehlenden Tests vor dem Kauf und mangelnder Abstimmung zurückzuführen ist. Ohne ein klares Verständnis der Geschäftsanforderungen, der Bedrohungslage und der Integrationsanforderungen riskieren Unternehmen, in Lösungen zu investieren, die nicht mit ihren tatsächlichen Sicherheitszielen oder ihrer Infrastruktur übereinstimmen. Dies führt zu Überschneidungen von Funktionen, unzureichend genutzten Plattformen oder Lösungen, die sich nicht optimal in die bestehende Infrastruktur integrieren lassen.
Es wird also häufig zu schnell agiert und zu viel investiert?
Tatsächlich führt übermäßige Anpassung oder unnötige Komplexität zu unnötiger Verschwendung der Ressourcen. Manche Unternehmen bezahlen für erweiterte Funktionen oder maßgeschneiderte Konfigurationen, die sie nicht benötigen oder weil sie nicht warten können. Dies erhöht sowohl die Vorlauf- als auch die langfristigen Betriebskosten. Ebenso kann die Auslagerung von Sicherheitsfunktionen ohne angemessene Überwachung oder Messgrößen dazu führen, dass für Dienstleistungen bezahlt wird, die keine validen Verbesserungen bei der Risikominderung oder Compliance bringen. Aber auch das Gegenteil lässt sich feststellen: Mangelnde Schulung oder fehlendes Verständnis können dazu führen, dass eine Lösung nicht ausreichend genutzt wird. Unternehmen sollten deshalb bei der Implementierung auf eine angemessene Einarbeitung, Dokumentation und funktionsübergreifende Zusammenarbeit achten.
Allerdings sind bestimmte Sicherheitsdienste in der Tat unentbehrlich und werden für die Einhaltung gesetzlicher Anforderungen zunehmend benötigt. Dazu gehören Multi-Faktor-Authentifizierung (MFA), Endpunktschutz, E-Mail-Sicherheit, Schulungen, die das Sicherheitsbewusstsein erhöhen, und die Planung von Maßnahmen bei Sicherheitsvorfällen. Diese Basiskontrollen erzielen eine starke Wirkung bei vergleichsweise niedrigen Kosten und sind entscheidend, um die gängigsten Bedrohungen einzudämmen. Eine Priorisierung dieser wesentlichen Elemente stellt sicher, dass Sicherheitsbudgets dort eingesetzt werden, wo sie den größten Nutzen bringen.
Nach welchen Preismodellen besteht die derzeit die höchste Nachfrage?
Nach meiner Einschätzung entfernt sich ein Großteil der Branche von starren, langfristigen Verträgen oder gebündelten Lösungen, die nicht an den tatsächlichen geschäftlichen Bedarf angepasst sind. In der Vergangenheit hat dies nämlich zu Überlizenzierung, ungenutzten Funktionen oder Zahlungen für auf allgemeine Risikoprioritäten ausgerichtete Dienste geführt. Ein kostenoptimierterer Ansatz ist dagegen die Abrechnung nach Bedarf, weil sie eine höhere Flexibilität, eine bessere Abstimmung auf die betrieblichen Anforderungen und eine effizientere Budgetverwaltung ermöglicht. Regelmäßige Bewertungen der Serviceeffektivität können das Bewusstsein schärfen und Unternehmen mit begrenzten Budgets dabei unterstützen, Fehlinvestitionen zu vermeiden und ihre Mittel gezielt in wirksame Bereiche zu lenken. Erfahrungsgemäß kann diese Pay-as-you-go-Strategie ein Schlüssel zur Aufrechterhaltung sowohl der Agilität als auch der Haushaltsdisziplin im Bereich Cybersicherheit sein.
Führt die Investition in Cybersecurity grundsätzlich zu einer höheren IT-Effizienz – oder bedeutet sie häufig vor allem zusätzliche Kosten?
Cybersecurity-Services sind für den Schutz eines Unternehmens unerlässlich. Bei strategischer Umsetzung können sie die IT-Effizienz erheblich steigern. Investitionen in Sicherheit verbessern in vielen Fällen die Transparenz, Automatisierung und Kontrolle über alle Systeme hinweg. Ein zentralisiertes Identitäts- und Zugriffsmanagement oder Endpoint Detection and Response Tools entlasten Verwaltung und IT-Teams. Dies kann zu reduzierten Ausfallzeiten, effektiveren, optimierten Abläufen und Verbesserungen in Bereichen wie der Benutzerzugriffsverwaltung führen. Und Cybersicherheit fördert über den reinen Schutz hinaus die betriebliche Effizienz.
Wenn aber IT-Ausgaben nicht auf die Geschäftsprozesse abgestimmt sind, Tools sich überschneiden, Plattformen unzureichend genutzt werden oder Projekte schlecht vorbereitet sind, dann wird Sicherheit mehr zu einer Kostenfalle als zu einem Werttreiber. Cybersicherheit sollte deshalb allen voran integraler Bestandteil der IT- und Geschäftsstrategie sein. Investitionen, die sich an Risiken, Compliance-Vorgaben und operativen Zielen orientieren, schaffen messbaren Mehrwert: Sie senken das Risiko kostspieliger Vorfälle, verbessern die Systemstabilität und sichern die Geschäftskontinuität. Wenn sie proaktiv und langfristig ausgerichtet sind, steigern Sicherheitsausgaben zudem die Effizienz der IT.
Lesen Sie mehr zum Thema
