IT-Security ist eine wachsende Grauzone

Angesichts der steigenden Bedrohung wachsen auch die Ausgaben für die Sicherheit kontinuierlich weiter. Laut unserer Umfrage „IT-Agenda 2022“ legt das Budget für IT-Security 2022 gegenüber dem Vorjahr um 20,9 Prozent zu. Das ist beileibe keine Ausnahme, die sich mit dem Krieg in der Ukraine erklären lässt, denn die Umfrage erfolgte bereits im Herbst 2021. Zudem war das Security-Budget schon im Vorjahr um knapp 20 Prozent gestiegen. Zum Vergleich: Das IT-Budget insgesamt wächst 2022 im Mittel um 8,9 Prozent.

30 Prozent externe Security-Experten

Inzwischen liegt die Sicherheit auf der IT-Agenda der strategischen Prioritäten auf Platz eins, fast ein Zehntel aller IT-Ausgaben werden dafür aufgewendet. Dies spiegelt sich auch im Personal, hier sind neun von 100 IT-Mitarbeitern mit der Absicherung der Systeme und Landschaften beschäftigt. Knapp 30 Prozent der Mitarbeiter im Bereich IT-Security kommen dabei von externen Providern. Sie bringen stark nachgefragte Skills mit, führen Penetration-Tests durch oder unterstützen Firmen bei Audits und Zertifizierungen.

Der CISO etabliert sich

Für die internen Mitarbeiter veranstalten 85 Prozent der Firmen Security-Schulungen – gut die Hälfte einmal pro Jahr, in jeder fünften Organisation dreimal oder häufiger. Bei den Sicherheitsmaßnahmen liegt klar der CISO (= Chief Information Security Officer) in Front, mehr als zwei Drittel der Unternehmen haben die Rolle inzwischen besetzt, weitere planen die Installation. Verglichen mit den anderen Konzepten ist es allerdings auch relativ leicht, lediglich eine neue Rolle einzusetzen. Kein Wunder, dass SOC (Security Operations Center) und SIEM (Security Information and Event Management) etwas hinterherhängen, wenngleich sie in der mittelfristigen Planung eine wichtige Rolle spielen.

Umfragewerte sind kein Benchmark

So interessant sich die Zahlen auch lesen, eine Grundlage für einen qualifizierten Vergleich bilden sie jedoch nicht. Zwar sind viele Unternehmen an einer Standortbestimmung ihres Security-Engagements interessiert, schließlich will sich im Ernstfall niemand vorwerfen lassen, dass er „zu wenig“ oder womöglich Geld an der falschen Stelle ausgegeben hat. Jedoch dient der Anteil der Security-Ausgaben am Gesamtbudget der IT von 9,6 Prozent lediglich als grober Anhaltspunkt oder Trendbarometer. Immerhin unterscheiden sich IT-Organisationen nach Branche, Größe und Dienstgüte stark voneinander. Auch tun sich viele Unternehmen schwer damit, zwischen IT-Security und Informationssicherheit zu differenzieren – erst recht bei den Kosten.

Auch kommen die jeweilige Struktur der Organisation, ihre regulatorischen Rahmenbedingungen und der individuelle Risikoappetit ins Spiel. Was fällt eigentlich unter IT-Security, was ist Informationssicherheit, wie definiert man Mitarbeiter für IT-Security, zählen die Pförtner dazu? Daher muss eine Analyse der Investitionen statistisch sauber erfolgen, um Defizite oder eine Überzahlung zu erkennen. Zudem gibt es keine absolute Sicherheit („viel hilft viel“) – angegriffene Organisationen gab es in den vergangenen Monaten genügend als warnende Beispiele. Mit der Folge, dass Unternehmen inzwischen mehr für ihre Informationssicherheit ausgeben, aber dies nicht immer zielführend erfolgt.

Geld und Bedarf zeigen das Potenzial

Worauf soll ich das Geld jetzt setzen: Technik, Awareness oder Organisation? Eine grundlegende Analyse des Status quo ist immer notwendig, was auch die Fertigungstiefe in den einzelnen Schalen des Schutzkonzepts einschließen sollte: Über der technischen Basis liegen das SOC oder SIEM (Überwachung), und nach außen blicken Aufklärer in den Markt mit Threat Intelligence und Exerzitien wie Pentesting. Die Klammer bilden organisatorische Maßnahmen und die Sensibilisierung der Menschen. Dennoch fällt das Fazit positiv aus: Die Bedrohungslage ist gegeben, man kann die Informationssicherheit an vielen Stellen optimieren, Budget ist vorhanden, und das Management hat das Thema auf dem Schirm. Einen besseren Zeitpunkt, seine IT- und Informationssicherheit zu stärken, wird es kaum geben.