Geht’s dem Security-Budget an den Kragen, ist der Spielraum für CISOs denkbar gering.
TippaPatt | shutterstock.com
Vor etlichen Jahren fand sich David Mahdi, heute CISO Advisor beim IAM-Spezialisten Transmit Security, in einer Situation wieder, vor der wohl jedem Sicherheitsentscheider graut: Die Budgets sollten mitten im Jahr drastisch gekürzt werden – ohne die Möglichkeit, irgendetwas aufzuschieben. “Das war damals eine unkontrollierbare Konstellation aus internen Problemen, technischen Schulden, Marktdruck und geopolitischen Faktoren. Ich war gezwungen, möglichst schnell schmerzhafte Kompromisse einzugehen”, erinnert sich der Berater.
Angesichts des rasanten Tempos, in dem diese Kürzungen vorgenommen werden sollten, war Mahdi schnell klar, dass dabei zwangsläufig Lücken entstehen würden. Diese Erfahrung hat seine Herangehensweise an finanzielle Zwangslagen geprägt. CISOs in einer ähnlichen Lage rät er deshalb vor allem dazu, bewusste und gut durchdachte Entscheidungen darüber zu treffen, wo gekürzt wird und was um jeden Preis geschützt werden muss: “Hüten Sie sich vor einer falschen Sparpolitik, bei der einfach in jedem Bereich gekürzt wird. Das schafft Schwachstellen, die zunächst unsichtbar bleiben – bis dann etwas kaputt geht.”
Wo CISOs den Rotstift ansetzen sollten
Dass sich immer mehr Sicherheitsentscheider demnächst in einer solchen Zwangslage wiederfinden, ist relativ wahrscheinlich. Denn mit Blick auf aktuelle Studienergebnisse scheinen die Zeiten zweistelliger Wachstumsraten mit Blick auf Cybersecurity-Budgets vorbei. So kommt der aktuelle “Security Budget Benchmark Report” von IANS Research und Artico Search zum Ergebnis, dass jeder achte CISO (von insgesamt 750 befragten) im Jahr 2024 mit Budgetkürzungen zu kämpfen hatte. Und fast ein Drittel der CISOs gibt an, über unzureichende Budgets zu verfügen. Bei der Aufschlüsselung der CISO-Ausgaben:
- entfällt mit 37 Prozent der größte Teil auf Personal, beziehungsweise Vergütung,
- fließen 23 Prozent in externe Software,
- fünf Prozent in Hardware, und
- lediglich vier Prozent in Schulungsinitiativen, während
- drei Prozent für nicht vorab zweckgebundene Ausgaben vorgesehen sind.
Die knappe Zuweisung verdeutlicht, dass Sicherheitsentscheider bei Budgetkürzungen eigentlich kaum Spielraum haben. Muss man also entscheiden, was geschützt und was reduziert werden soll – ohne dabei das Unternehmen zu gefährden – ist strategisches Denken gefragt. Ebenso wichtig ist es jedoch laut Mahdi, auch die richtige Einstellung an den Tag zu legen: “Wenn Budgets gekürzt werden, sehe ich darin eine Chance, bestehende Risikoannahmen und Legacy-Ausgaben auf den Prüfstand zu stellen und die Cybersecurity-Investitionen auf geschäftskritische Ergebnisse auszurichten.”
Dabei verfolgt der Sicherheitsexperte einen strukturierten Ansatz, der auf den folgenden drei Dimensionen basiert:
- Strategisches Risiko: Wie hoch ist das tatsächliche Risiko, wenn diese Kontrollmaßnahme versagt?
- Ausrichtung auf das Geschäft: Welche Funktionen stützen den Umsatz, das Kundenvertrauen oder die Compliance?
- No-Brainer: Redundante Tools, Shelfware oder Kontrollmaßnahmen, die in die Kategorie “Security Theatre” fallen (auf dem Papier gut, kein messbarer Schutz).
Für dieses Assessment stellt Mahdi ein funktionsübergreifendes Team zusammen. Dieses besteht aus Führungskräften der jeweiligen Geschäftsbereiche, Security-Architekten, Threat-Intelligence-Spezialisten und weiteren vertrauenswürdigen Menschen inner- und außerhalb des Unternehmens. “Dieser kollaborative Ansatz verteilt nicht nur die Verantwortlichkeiten, sondern unterstützt auch dabei, blinde Flecken aufzudecken und die Kürzungen an der allgemeinen Risikolage des Unternehmens auszurichten”, erklärt der Sicherheitsberater. Sein Ansatz, so Mahdi weiter, stütze sich außerdem auch auf wichtige Metriken, mit denen sich beurteilen lässt, ob bestimmte Tools oder Prozesse effizient funktionieren. Schließlich berücksichtigt er auch, wie schnell eine Investition messbare Ergebnisse liefern kann: “Mithilfe dieses Rahmens können CISOs Bereiche identifizieren, die ohne wesentliche Risikoerhöhung reduziert werden können”, verspricht Mahdi.
Einer der ersten Bereiche, der dem Berater zufolge in Augenschein genommen werden sollte, ist redundantes Tooling: “Wenn zwei Tools sich in weiten Teilen funktional überschneiden, behalten Sie das mit der besseren Integration und dem besseren Support. Anschließend können Sie sich alten, Compliance-orientierten Kontrollen zuwenden, die sich oft rationalisieren lassen. Konzentrieren Sie sich auf effektive Kontrollen, nicht auf solche, die nur dazu dienen, Kästchen auf einer Checkliste abzuhaken. Das gilt insbesondere für Unternehmen, die übermäßig auf alte Governance-, Risiko- und Compliance-Strukturen setzen”, führt Mahdi aus.
Doch nicht jede Budgetentscheidung ist schwarz-weiß. Einige Initiativen, etwa experimentelle oder Innovationsprojekte, befinden sich in einer Grauzone: Sie sind zwar wertvoll, aber nicht unbedingt zeitkritisch. In Zeiten finanzieller Engpässe könnten solche Vorhaben vorübergehend zurückgestellt werden, insbesondere, wenn sie keine dringenden Bedrohungen oder Compliance-Anforderungen betreffen, meint Mahdi – schränkt jedoch ein: “Um die Moral des Teams mit Blick auf pausierte Innovationsprojekte aufrechtzuerhalten, sollten Sie eine detaillierte Strategie für den Wiederanlauf erarbeiten, sobald sich die Budgetlage wieder bessert.”
Bei Laura Gonzalez Priede, CISO beim Sicherheitsanbieter Approach Cyber, stehen in Zeiten von Budgetkürzungen Menschen und Prozesse im Fokus: “Tools sind zwar wichtig, aber viele können durch quelloffene oder selbst entwickelte Alternativen ersetzt werden. Ein starker Prozess, der von fähigen Mitarbeitern unterstützt wird, kann oft auch kompensieren, dass ein bestimmtes Tool fehlt.”
Geht es dennoch nicht ohne Personalabbau, empfiehlt Mahdi, dabei über den Tellerrand zu schauen: “Sie sollten nicht davon ausgehen, dass die technisch anspruchsvollsten Job-Rollen auch die erfolgskritischsten sind. Manchmal sind die Menschen, die Security und Business verzahnen, ihre wichtigsten Assets.”
Welche Fehler Sicherheitsentscheider teuer zu stehen kommen
Zu ermitteln, wo man ein Cybersecurity-Budget am besten zusammenstreicht, ist also diffizil. Kommt dann noch Zeitdruck hinzu, macht das die Sache nicht besser, wie Mahdi weiß: “Meiner Erfahrung nach kürzen CISOs unter Druck viel zu oft die Ressourcen für Detection- und Response-Fähigkeiten, Incident-Readiness-Programme und Security Operations.”
Diese Entscheider gingen davon aus, dass stärkere Präventionsmaßnahmen rechtfertigten, nicht mehr so viel in die Aufarbeitung von Sicherheitsvorfällen investieren zu müssen. Das sei allerdings ein riskantes Unterfangen, meint Mahdi: “Prävention ist toll, aber irgendetwas kommt immer durch. Wenn wirklich etwas schiefgeht, kommt es nicht auf die Anzahl der Kontrollmaßnahmen an, sondern auf die Reaktionszeit, sowie darauf, den Angriff einzudämmen und sich möglichst schnell davon zu erholen.”
Ein weiterer Fehler, den CISOs bei Budgetkürzungen laut Mahdi begehen, ist es, bei funktionsübergreifenden Rollen zu kürzen – etwa wenn es um Produktsicherheit, Governance oder geschäftsorientiertes Risikomanagement geht: “Diese Rollen sind Bindeglieder. Fallen sie weg, wird Sicherheit reaktiv, missverstanden und an den Rand gedrängt.”
Approach-Cyber-Managerin Gonzalez Priebe sieht das ganz ähnlich, fokussiert sich dabei aber in erster Linie auf die Themen Personal und Schulungen: “Kontinuierliche Weiterbildung sorgt dafür, dass die Mitarbeiter kompetent und sicherheitsbewusst bleiben. Das ist in einer sich ständig weiterentwickelnden Bedrohungslandschaft von entscheidender Bedeutung.”
Ein weiteres häufiges Versäumnis betrifft in den Augen der Sicherheitsentscheiderin den Bereich Prozessdokumentation. Das sei für die Business Continuity unerlässlich – insbesondere, wenn wichtige Mitarbeiter das Unternehmen verließen: “Ohne gut dokumentierte Prozesse riskieren Unternehmen kritisches Knowhow und Execution-Konsistenz zu verlieren. Das kann ebenfalls nicht absehbare Risiken nach sich ziehen.” (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
