Kostendruck steigt: darauf kommt es bei den Ausgaben für Cybersicherheit jetzt an

05 August, 2020

Von Jörg Asma und Dr. Alexander Köppen. Beim Thema Cybersicherheit stehen Unternehmen aktuell vor einem schwierigen Balanceakt: Cyberteams müssen ihren Beitrag zur Kosteneffizienz leisten, aber gleichzeitig steigende Sicherheitsanforderungen adressieren. Vor diesem Hintergrund rücken die Effizienz und Umverteilung der Cyberkosten in den Fokus.

Die Digitalisierung ist weiter im Aufwind. Dadurch steigen auch die Anforderungen an die IT-Sicherheit von Unternehmen. In Coronazeiten arbeiten beispielsweise immer mehr Menschen von zu Hause. Das vergrößert die Angriffsflächen für Cyberattacken. Die Cybersicherheitsexperten in den Unternehmen stehen vor der Aufgabe, das Risiko von Angriffen und Unterbrechungen des Geschäftsbetriebs zu minimieren.

Gleichzeitig führt die Coronakrise dazu, dass die Umsätze in vielen Unternehmen einbrechen – mit negativen Auswirkungen auf Abläufe, Liquidität und Ressourcen. Für die Cybersicherheitseinheiten geht es nun genau wie für alle anderen Abteilungen darum, für eine hohe Effizienz und Effektivität der Investitionen zu sorgen und ihren Beitrag zur Einsparung von Kosten zu leisten.

Der Druck zur Kosteneffizienz steigt in der Coronakrise

Eine Krise oder eine einschneidende Veränderung führen häufig dazu, dass Unternehmen Maßnahmen ergreifen müssen, um sich neu aufzustellen und fit für zukünftiges Wachstum zu werden. Der daraus entstehende Druck, mit weniger mehr zu erreichen, hat in Folge der Coronapandemie viele Organisationen erreicht. Die Führungsebene muss nun schwierige Entscheidungen darüber treffen, in welche Bereiche sie weiterhin investiert – und wo es zu Kürzungen kommt.

Für den Bereich Cybersicherheit müssen Unternehmen unter anderem folgende Fragen beantworten:

  • Adressieren die aktuellen Cyberinvestitionen unsere Geschäftsbedürfnisse?
  • Wissen wir, wie viel wir für Cybersicherheit ausgeben? Und wofür genau?
  • Geben wir zu viel oder zu wenig aus?
  • Sehen wir das Cyberthema schon als Treiber für unser Business?

In der aktuellen Situation geht es darum, die Kostenstruktur von Cybersicherheit zu transformieren. Dadurch können Unternehmen ihre Widerstandsfähigkeit gegenüber Cyberangriffen erhöhen und ihre Kosteneffizienz verbessern – aber gleichzeitig Investitionen in wichtige Cyberfertigkeiten weiterhin sicherstellen, um die digitale Transformation voranzutreiben und das Wachstum zu unterstützen.

Die Idee, die hinter der Umverteilung steckt: Unternehmen sollten nicht nur nach Effizienzpotenzialen suchen, sondern sich auf diejenigen Investitionen fokussieren, die auf wichtige Prioritäten abzielen, etwa weil sie die größten Risiken des Unternehmens absichern, die wertvollsten Assets schützen oder technologiegetriebene Fertigkeiten aufbauen, die sie im Kampf gegen Cyberangriffe stärken.

So lassen sich die Kosten für Cybersicherheit neu strukturieren

Die Ausgaben für Cybersicherheit lassen sich grob in drei Kategorien einordnen:

  1. Compliance sicherstellen: Aktuell geben Unternehmen im Schnitt 30 bis 40 Prozent ihres Cyberbudgets dafür aus, regulatorische Anforderungen zu erfüllen und Compliance sicherzustellen. Diese Ausgaben (Lights-on) lassen sich durch Effizienzgewinne auf 15 bis 20 Prozent reduzieren – und die eingesparten Mittel für andere Schwerpunkte einsetzen.
  2. Für Sicherheit sorgen: Der größte Teil des Sicherheitsbudgets, zwischen 50 bis 60 Prozent, fließt derzeit in die Security Enablers. Das sind Maßnahmen, die vor allem drei Ziele verfolgen: erstens die Relevanz des Faktors Mensch adressieren, indem sie das Bewusstsein für Cybersicherheit schärfen; zweitens die Lücken in den Angriffsflächen schließen und drittens Risiken und Verwundbarkeit messen. Diese Ausgaben lassen sich auf einen Anteil von 30 bis 40 Prozent am Cyberbudget reduzieren.
  3. Vorsprung sichern: Das freigesetzte Budget wird dann gezielt für Maßnahmen eingesetzt, um den Cyberangreifern stets einen Schritt voraus zu sein (Getting the upper hand). Im Zentrum steht dabei, die Automatisierung voranzutreiben, das Sourcing zu optimieren und in technologische Innovationen zu investieren. Bislang wenden Unternehmen im Schnitt nur 5 bis 15 Prozent ihres Cyberbudgets für diese Aktivitäten auf. Um das Unternehmen für künftiges Wachstum fit zu machen, sollte dieser Anteil auf 15 bis 25 Prozent steigen.

Umverteilung des Cyberbudgets als Teil der Gesamtstrategie

Diese Umschichtung eines insgesamt reduzierten Cyberbudgets stärkt die Automatisierung, optimiert das Sourcingmodell und richtet sich an der generellen IT-Transformation aus. Wichtig ist, dass der Ansatz zur Umverteilung der Kosten fest in einen strategischen Ansatz eingebettet ist, der Restrukturierungsaktivitäten mit zukunftsgerichteten Digitalisierungs- und Wachstumsinitiativen in Einklang bringt.

Tools für Benchmarking helfen bei der Umsetzung

Um die Kosten für Cybersicherheit effizient und standardisiert zu analysieren, setzen wir bei PwC auf praxisorientierte Tools, beispielsweise das Cybersecurity-Cost-Optimization(CCO )-Tool. Dieses Werkzeug nutzt Daten aus den ERP-Systemen und ordnet sie bewährten Kostenstrukturen für Cybersicherheit zu. So lassen sich die Ergebnisse mit Benchmarkdaten vergleichen und Quick Wins identifizieren. Wir unterstützen Unternehmen außerdem dabei, sich auf Hebel wie Risikoabdeckung, Schlüsselfaktoren und strategische Investitionen, Humankapital, Technologie und Innovation sowie operative Exzellenz und Automatisierung zu fokussieren.

Im Ergebnis lassen sich so Veränderungen bei den Ausgaben und der Ressourcenverwendung priorisieren. Es entsteht eine Roadmap, auf deren Basis Effizienzgewinne möglich werden. Nicht zuletzt bietet dieser Ansatz die Chance, die eigenen Fertigkeiten und Angebote im Bereich Cybersicherheit auf Basis der Geschäftsziele neu zu strukturieren, sodass die Kosten noch zielgerichteter auf den Geschäftszweck abgestimmt sind.

IT Security & Data Protection News

Dieser Artikel ist Teil des quartalsweise erscheinenden Newsletters IT Security & Data Protection. Die IT Security & Data Protection News informieren regelmäßig über aktuelle Änderungen und Entwicklungen im Bereich IT-Sicherheit und Datenschutz.

Weitere Inhalte und Artikel

Contact us

Jörg Asma

Jörg Asma

Partner Cyber Security, PwC Germany

Tel.: +49 221 2084-103

Dr. Alexander Köppen

Dr. Alexander Köppen

Director, PwC Germany

Tel.: +49 1512 9608-114

Follow us