Das billigste Angebot ist selten die beste Wahl. Trotzdem suchen viele Unternehmen ihre IT-Projekte nach dem Preisetikett aus. Diese Haltung mag auf den ersten Blick rational wirken, sie ist aber gefährlich kurzsichtig. Denn wer echte Sicherheit will, bekommt sie nicht zum Discount-Preis, sagt Christian Koch, Senior Vice President Cybersecurity IoT/OT, Innovations und Business Development bei NTT DATA DACH. Im Gegenteil: Er geht Risiken ein, die er später teuer bezahlen muss.
Cyberangriffe sind nicht nur irgendein Betriebsrisiko, sondern schnell auch ein Insolvenzgrund. Produktionsausfälle, Datenlecks, Lösegeldforderungen – jedes dieser Szenarien kann ein Unternehmen innerhalb kürzester Zeit in die Knie zwingen. Der Glaube, es treffe immer „die anderen“, ist leider nach wie vor weit verbreitet. Und er ist brandgefährlich. Denn die Realität hat längst gezeigt, dass früher oder später wirklich jeder ein potenzielles Ziel ist. Hinter einem Angriff müssen dabei nicht einmal große, gut organisierte Hackergruppen stecken – Malware gibt es inzwischen fast umsonst as a Service, sodass selbst der technisch begabte Nachbar zur Bedrohung werden kann.
Trotzdem dominiert im Einkauf vieler IT-Abteilungen der Rotstift. Bei Ausschreibungen wird um die Höhe der Stundensätze gefeilscht, als ginge es um nichts anderes. Dabei kommen Antworten auf entscheidende Fragen im Falle eines Falles zu kurz: Wo und wie bin ich angreifbar? Bin ich vorbereitet, wenn sich Bedrohungen verändern? Und vor allem: Wie schnell kann ich meinen Betrieb nach einem Angriff wieder hochfahren? Anstatt Projekte nur nach formalen Kriterien – allen voran dem Preis – zu betrachten, sollte die Argumentationskette lieber anders aufgezogen werden. Drei Wahrheiten helfen dabei.
Wahrheit Nr. 1: Cybersicherheit ist kein leidiges Pflichtprogramm, sondern Wertschöpfung
Ein großes Problem ist die Einstellung. Noch immer betrachten viele Unternehmen Cybersicherheit als lästige Pflicht – eine zwar notwendige, aber trotzdem unbeliebte Ausgabe. Dabei ist Security längst Teil der Wertschöpfungskette: Sie schützt nicht nur Daten, sondern auch das Geschäftsmodell und somit die Innovationsfähigkeit. Zudem stärkt sie das Vertrauen aller Stakeholder und damit die Reputation. Genau deshalb braucht es einen Paradigmenwechsel – weg von der Logik des „billig und schnell“ hin zu „sicher und nachhaltig“. Für echte IT-Sicherheit reicht es auch nicht aus, reaktiv ein Pflichtenheft abzuarbeiten. Zielführender ist ein Portfolio an proaktiven Maßnahmen. Mindestens genauso wichtig ist ein transparenter Blick auf alle digitalen Wertschöpfungsketten. Das Ziel muss sein, so viele potenzielle Einfallstore wie möglich zu schließen.
Wahrheit Nr. 2: Die Kosten eines Angriffs sind höher als die Investitionen in IT-Sicherheit
Ein realistischer Blick auf die Folgekosten einer erfolgreichen Cyberattacke hilft dabei, die Ausgaben für IT-Sicherheit besser zu begründen. Beträgt der Schaden durch einen Produktionsausfall beispielsweise eine Million Euro aufgrund vertraglicher Strafen, zahlt sich eine Investition von 300.000 Euro in technische und organisatorische Maßnahmen quasi von selbst aus. Denn bei dieser Rechnung ergibt sich ein „positiver“ Business Case von 700.000 Euro, wobei die Kosten für den eigentlichen Stillstand noch gar nicht eingerechnet sind. Ein anderes Beispiel sind Ransomware-Angriffe. Steht die IT komplett still, funktioniert in Unternehmen fast nichts mehr. Die Tragweite ist enorm – da ist die Lösegeldforderung noch der kleinste Kostenfaktor. Inzwischen rangieren sogar die finanziellen Einbußen durch Schäden an Reputation und Marke an erster Stelle. Die Bewertung solcher Szenarien liefert klare Argumente für angemessene Security-Investitionen.
Wahrheit Nr. 3: IT-Sicherheit setzt echte Expertise voraus, eine Self-Mentalität ist fehl am Platz
Unternehmen, die glauben, ihren Schutzwall selbst aufbauen zu können, haben in der Regel eine falsche Vorstellung von der Professionalität der Angreifer. Diese operieren mit hocheffizienten Strukturen, nutzen KI und arbeiten global rund um die Uhr. Hinzu kommt, dass der Aufwand für den Betrieb moderner Sicherheitslösungen unterschätzt wird. Während die reinen Anschaffungskosten für die technologische Infrastruktur noch relativ überschaubar sind, entpuppen sich die laufenden Betriebskosten schnell als echter Kostentreiber. Ein SOC in Eigenregie beispielsweise mag nach Kontrolle klingen, ist für viele Unternehmen jedoch wirtschaftlich nicht darstellbar. Es fehlen Fachkräfte und die Schichten müssen rund um die Uhr besetzt werden, denn die Angriffe laufen im Sekundentakt. Das ist ein aufwendiger Job, den selbst die meisten Konzerne trotz ihrer Ressourcen und Budgets nicht in Eigenregie machen wollen.
Kurzum: Cybersicherheit gibt es nicht zum Dumpingpreis. Sie erfordert Know-how und Weitsicht. Wer nur auf den Preis schaut, kauft keine Sicherheit, sondern eine trügerische Illusion davon.