T-Systems-Claim-Logo
Suchen
Frau mit Laptop und Handy in einer Metropole

Cyber Security: Kein Kostenfaktor, sondern eine Investition

Finden Sie heraus, weshalb Sie Cyber Security als Investition betrachten sollten und wie sich die IT-Sicherheit durch Bewertungen verbessern lässt.

17. März 2023Dheeraj Rawal

Teuer wirds, wenn die IT-Sicherheit fehlt

Die meisten Unternehmen betrachten Cyber Security als Kostenfaktor bei ihrer digitalen Transformation. Doch Digitalisierung ohne verstärkte Sicherheit ist ein zweischneidiges Schwert. Die Einführung neuerer Cloud-Anwendungen und Technologien vergrößert die Angriffsfläche – was wiederum eine stärkere Cyberabwehr erfordert.


Schwache IT-Sicherheitsmaßnahmen können Unternehmen teuer zustehen kommen, wenn ihre IT-Systeme von einem Angriff betroffen sind. Ein Unternehmen mit starken Sicherheitsvorkehrungen hingegen kann viel Geld sparen. Denn die Wiederherstellung von Daten, der Vertrauensverlust seitens der Kunden, eine Rufschädigung, die Wiederaufnahme des Betriebs oder gar die Zahlung eines Lösegelds an Hacker erfordern bei einem IT-Sicherheitsvorfall enorme Summen.


2022 beliefen sich die durchschnittlichen durch Datenschutzverletzungen verursachten Kosten laut einer IBM-Studie auf 4,35 Millionen US-Dollar. Geld, das Unternehmen hätten sparen können, wenn sie über wirksame IT-Dienste und Funktionen für die Cyber-Sicherheit verfügt hätten. Derselbe Bericht von IBM gab an, dass die durchschnittlichen Einsparungen durch eine moderne Sicherheitslösung bei 3,05 Millionen US-Dollar lagen. Heißt: Cyber Security muss als strategische und nachhaltige Investition betrachtet werden. Denn bei diesem Thema gilt: Vorsicht ist besser – und vor allem kostengünstiger – als Nachsicht.

Investitionskosten und der Preis für Sicherheitsvorfälle im Vergleich

Mitarbeiter*in im Büro

Für Unternehmen ist es oft schwierig, die Kosten durch IT-Sicherheitsvorfällen den Kosten für Investitionen in eine für wirksame Cyber Security gegenüberzustellen, vor allen, wenn noch kein Sicherheitsvorfall eingetreten ist. Deshalb stellen Entscheider mitunter die Investitionsrentabilität (ROI) infrage oder ziehen gar Parallelen zu Versicherungen – dabei lässt sich die «Rendite» aus den jeweiligen Security Services oder Produkten nur schwer beziffern. Jedoch sollten sie sich bewusst machen, dass der Schaden durch einen Cyberangriff hohe Kosten bedeuten kann (wie die statistischen Daten oben zeigen).

Hinzu kommt: Angriffe können rechtliche Konsequenzen haben und den Ruf schädigen. So verklagte 2019 Delta Airlines ihren Chatbot-Anbieter, da dieser den Datenschutz verletzt hatte. Die Chatbot-Plattform war mit schwachen Sicherheits- und Passwortfunktionen ausgestattet, so dass der Hacker leicht auf die Zahlungskartendaten von über 825.000 Delta-Passagieren zugreifen konnte. Delta verklagte den Anbieter (wenig überraschend) wegen Fahrlässigkeit.

Cybersicherheit als Wegbereiter

Entsprechend sollte Cybersicherheit nicht als unnötiger Kostenfaktor, aus einem anderen Blickwinkel betrachtet werden:

Kunden nutzen heutzutage Anwendungen oder IT-Systeme nur, wenn sie diesen vertrauen und sich sicher fühlen, ganz gleich, wie gut die Software und der Service sein mögen. Deshalb benötigt jede Innovation unbedingt eine integrierte Sicherheitsstrategie. Cybersicherheit sollte das Rückgrat jeder digitalen Initiative bilden. Unternehmen, die in die IT Security für ihre Initiativen zur digitalen Transformation investieren, haben einen Wettbewerbsvorteil. So setzt Apple Sicherheits- und Datenschutzvorkehrungen als eines seiner herausragenden Merkmale ein – damit hebt sich das Unternehmen ganz klar ab und gewinnt mehr Vertrauen bei den Kunden als Wettbewerber.

Sie wollen wissen, wie es um Ihre Sicherheit und Resilienz steht?

Um zu prüfen, ob ihre Sicherheitsvorkehrungen ausreichend sind, müssen Unternehmen die aktuellen Sicherheitsniveaus bewerten und bestehende Lücken identifizieren. Die Bedrohungslandschaft verändert sich rasch. Immer neue Angriffsvektoren, Ransomware-Attacken, Malware-Programme usw. kommen hinzu. So werden jeden Tag etwa 560.000 Malware-Bedrohungen entdeckt. Außerdem werden auch die Angriffsmethoden immer ausgefeilter.
Ein Unternehmen mit eigener IT-Abteilung, einem eigenen kleinen Sicherheitsteam und einer eingeschränkten Auswahl an Tools wird kaum mit den ständig zunehmenden Cyberrisiken fertigwerden. Zudem fehlen eventuell Ressourcen oder Know-how, um das Schutz- und Sicherheitsniveau des Unternehmens zu beurteilen. Häufig sind solche Unternehmen auf externe Sicherheitsberater angewiesen, die Sicherheitsbewertungen für sie durchführen.

Wie sehen Sicherheitsbewertungen aus?

Sicherheitsbewertungen können die Beurteilung zahlreicher Prozesse umfassen, wie Netzwerk-Scanning, Penetrationstests, die Bewertung von Sicherheitslücken, Bedrohungsmodellierung, Cloud Security, Operation Technology (OT)-Analysen und mehr. Für verschiedene Zwecke kommen unterschiedliche Bewertungen infrage: So wird eine Bewertung von Sicherheitslücken Ihre Einstellungen, Ihre Konfiguration oder Ihr Setup usw. auf Schlupflöcher für IT-Vorfälle überprüfen, während bei Penetrationstests ein Angriff auf Ihr IT-System simuliert wird, um die Reaktion der Abwehr zu testen. Hauptziel jeder Bewertung ist die Bestimmung von Sicherheitslücken im System sowie die Bereitstellung eines ausführlichen Berichts mit entsprechenden Empfehlungen. Im Idealfall sollte der Bericht darüber hinaus eine gründliche Analyse enthalten und Maßnahmen nennen, mit denen das Unternehmen seine Vorkehrungen für die IT-Sicherheit verstärken und die Risiken mindern kann. Bewertungen sind der erste Schritt zur Erreichung eines Sicherheitsstandards. Dafür muss jedes Unternehmen seine Angriffsfläche verkleinern, Datenschutzverletzungen vermeiden und zugleich die von den Aufsichtsbehörden vorgegebenen Compliance-Standards (zum Beispiel die DSGVO in Europa) einhalten. Starke Sicherheitsrichtlinien stellen die Einhaltung von Datenschutzvorgaben sicher, was seitens der Kunden Vertrauen schafft.

Mit einer Sicherheitsbewertung kann ein Unternehmen folgendes ermitteln:

  1. Das Risiko für Systeme und Betrieb
  2. Wie gut die bestehende Sicherheitslösung funktioniert
  3. Welche Lücken in der aktuellen Sicherheitsarchitektur bestehen
  4. Wie diese Lücken reduziert werden können
  5. Wie wirksam in Sicherheit investiert werden kann
  6. Wie Sicherheit gemessen werden kann
  7. Wie eine höhere Sicherheitsreife erreicht werden kann

Um Ihnen eine Vorstellung von dem Bewertungsprozess zu geben, hier einige Standardschritte:

  1. Anfängliche Beauftragung: Festlegen der Agenda
  2. Architekturprüfung: Gespräche und Workshops mit allen Beteiligten (Architekten, Betriebsteam, Management, GRC-Team, CISO)
  3. Bewertungen: Durchführen von Befragungen und Bewertungen
  4. Analyse
  5. Veröffentlichung: Bericht mit den Ergebnissen wird bereitgestellt
  6. Lieferung: Spezifische Empfehlungen und auf den Ergebnissen basierende Roadmap

Wir können Sie durch Sicherheitsbewertungen und -beratung unterstützen

Wir helfen Ihnen bei Ihren Fragen zu Sicherheitsbewertungen oder wenn Sie Sicherheitsberater für die Beurteilung Ihrer Architektur benötigen.

Wir unterstützen Sie bei der Bewertung Ihrer derzeitigen IT-Architektur, OT-Architektur, SASE-Architektur, Cloud, ZTNA-Implementierung Ihres Netzwerks und mehr. Wir helfen Ihnen, genau die Cybersicherheitslösung auszuwählen, die zu Ihrer Organisation, Ihren Geschäftsanforderungen und der gewünschten Business Continuity passt. Erhalten Sie Ihre Roadmap zu einer höheren Sicherheitsreife. So schützen Sie nicht nur Daten und Anwendungen, sondern haben auf dem Weg zu einer sicheren digitalen Transformation auch einen strategischen Sicherheitsvorteil.

Zur Person
Dheeraj Rawal

Dheeraj Rawal

Content Marketer, T-Systems International GmbH

Profil und alle Artikel ansehen

Schlägt Ihr Herz schon „Grün“? 

Die neue Ausgabe der Future Practice.

Besuchen Sie t-systems.com außerhalb von Germany? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.