IT-Sicherheitsbudgets stiegen im Kampf gegen zunehmende Bedrohungen

Piyush Pandey im Interview mit dem Security Boulevard.

Die durchschnittlichen IT-Sicherheitsbudgets haben sich mehr als verdreifacht ­­­­– von 1,4 Millionen US-Dollar im Jahr 2018 auf 5,3 Millionen US-Dollar im Jahr 2022. Dies sind die Ergebnisse einer Hiscox-Umfrage in den USA, aus der auch hervorgeht, dass inzwischen fast ein Viertel (23%) der IT-Budgets für Cybersicherheit aufgewendet werden, während es vor fünf Jahren noch 10% waren. Umso erstaunlicher, dass noch immer 16% der Unternehmen keinen Cybersecurity-Verantwortlichen definiert haben – unverändert zum Jahr 2018.

Security-Strategie vs. „Costs of doing nothing“

Piyush Pandey (CEO Pathlock Inc.) sagt, man könne argumentieren, dass diese Unternehmen eine deutliche Minderheit darstellen. Aber angesichts der öffentlichkeitswirksamen Angriffe und Datenverluste, mit denen alle Branchen regelmäßig konfrontiert werden, sei das durchaus überraschend. Piyush Pandey fügt hinzu, dass Unternehmen zuallererst eine Strategie für die Sicherung der wichtigsten Vermögenswerte benötigen. Ein Teil dieses Plans müsse auch die „Kosten von Nichtstun“ aufzeigen – die Auswirkungen einer Sicherheitsverletzung oder eines Datenverlusts, wenn Unternehmen schlicht hoffen, sie mögen verschont bleiben von einem schwerwiegenderen Vorfall.

Einbindung aller Geschäftsbereiche in die Cybersicherheit

„Innerhalb der Führungsebene sind der CIO, der CFO und letztendlich der CEO die wichtigsten Interessenvertreter“, erklärt Pandey. „Die Verantwortlichen für Cybersicherheit sollten sich eng mit jenen Geschäftsbereichen abstimmen, die die wichtigsten Business-Anwendungen betreiben – ERP, Finanzen, HR, Supply Chain, CRM. Hier sind die kritischen Daten gespeichert, die oft das Wichtigste zu schützende Gut eines Unternehmens darstellen. Diese Führungskräfte müssen einbezogen werden, um die richtigen Access Governance-Strategien zu entwickeln und die Sicherheits- und Compliance-Anforderungen in Bezug auf Kontrollen und Systemkonfigurationen zu erfüllen.

Entscheidend ist die Qualität der Informationen über Sicherheitsverstöße

Pandey sagt, dass es wichtig ist, dass CISOs und die IT-Abteilungen über die richtigen Informationen verfügen, die sie dem CEO oder Vorstand vorlegen können, damit diese verstehen, welches Risiko in der IT-Landschaft besteht und welche Konsequenzen es hätte, das Risiko zu ignorieren. „Nur wenn die CEOs die Bedrohungslage und die schwerwiegenden finanziellen und geschäftlichen Folgen von Sicherheitsverstößen verstehen, können die Geschäftsbereiche auch das für sie erforderliche Budget erhalten“, erklärt er.

Das erfordert oft, dass im Vorfeld in Kontrollmaßnahmen investiert wird, wie beispielsweise die Pathlock Suite zur Erkennung von Bedrohungen in Echtzeit. „Auf diese Weise können Security-Verantwortliche die Unternehmensleitung auf die tatsächlichen Risiken aufmerksam machen, die sie eingehen, wenn sie untätig bleiben“, so Pandey. „Durch diese proaktiven Analysen sind auch Unternehmen mit geringeren Budgets in der Lage ihre größten Risiken zu identifizieren, so dass sie Investitionen und Maßnahmen zur Mängelbeseitigung nach Prioritäten ordnen können. Einen entscheidenden Vorteil bieten hier Executive Dashboards. Mit einer wirksamen Steuerung der User-Berechtigungen und Kontrolle der Systemkonfigurationen werden die potenziellen Risiken eines Cyberangriffs oder Datenverlusts erheblich reduziert“, erklärt er.

Ein erfolgreicher Angriff ist erheblich teurer als eine gute Vorsorge

IT-Sicherheitsbeauftragte werden erst ein angemessenes Budget für Security-Maßnahmen erhalten, wenn sie in der Lage sind, die aktuellen Risiken für das Unternehmen in verständlicher Form zu erklären – idealerweise in Dollar oder Euro.

Sicherheitslücken sind sehr kostspielig. Wir bei Pathlock erkennen Security-Vorfälle, die Millionen pro Stunde an Ausfallzeit kosten können, und das ist nur einer der Kostenfaktoren. Imageschäden durch öffentlich bekanntgewordene Datenverluste sind kaum zu beziffern.

Das Gespräch führte Security Boulevard mit

Piyush Pandey, CEO (Pathlock Inc.)

Wie wichtig die Investition in IT Security ist, zeigt der nachfolgende Beitrag: