Budget für Cybersicherheit – wie hoch sollte es ausfallen?
Data Privacy von Chantal Nußbaum
Wie schon in den vergangenen Jahren wird auch 2024 eine angespannte Bedrohungslage durch Cyberkriminalität beobachtet. Der wohl bekannteste Cyberangriff in den letzten Wochen war die Abhöraktion durch den russischen Geheimdienst bei der deutschen Luftwaffe.
Aktuelle Sicherheitslage – ein kurzer Überblick
Die größte Bedrohung für die Cybersicherheit in Deutschland stellt gegenwärtig die sogenannte Ransomware dar. Bei einem Ransomware-Angriff handelt es sich um eine Art der digitalen Erpressung, in dem (personenbezogene) Daten eines Unternehmens verschlüsselt und nur mittels Lösegeldzahlung wieder freigegeben werden. Die Lösegeldzahlung ist jedoch nicht immer Garant für die Rückgabe bzw. erneute Entschlüsselung der Daten. Darüber hinaus wird die Erpressung oftmals an die Drohung einer Veröffentlichung der gestohlenen Datensätze gekoppelt. Mittlerweile ist diese Art des Cyberangriffs industrialisiert und Cybercrime-as-a-Service wird durch Cyberkriminelle systematisch
betrieben. Nach Aussage des Digitalverbandes Bitkom waren deutsche Unternehmen im Jahr 2022 insbesondere von Attacken auf Passwörter, Phishing und Infizierung mit Schadsoftware betroffen. Auch ein Anstieg beim Social-Engineering wurde verzeichnet. Dabei sollen durch die Manipulation des Verhaltens Personen zur Preisgabe von sensiblen Informationen gedrängt werden. Unternehmen müssen sich auf die steigende Zahl von Hackerangriffen einstellen und reagieren. Laut dem Lagebericht des BSI sind kleine und mittlere Unternehmen (KMU) sowie Kommunalverwaltungen und kommunale Betriebe überproportional von Cyberangriffen betroffen. Auch das Gesundheitswesen wird immer häufiger Opfer von Cyberkriminalität.
Wie viel Budget sollte für Cybersicherheitsmaßnahmen veranschlagt werden?
Generell sind Unternehmen gefordert, den Aufwand und die Kosten für die Umsetzung von Cybersicherheitsmaßnahmen unter Berücksichtigung der unterschiedlichen Rahmenbedingungen selbst zu bestimmen. Das BSI empfiehlt jedoch, dass das Budget für Cybersicherheit bis zu 20 Prozent des IT-Budgets betragen sollte. Die Europäische Kommission empfiehlt Unternehmen, die unter die NIS-2-Richtlinie fallen, eine Erhöhung des Budgets für Cybersicherheit um bis zu 22 Prozent. Bisherige KRITIS-Unternehmen sollten ihr bisheriges Budget nochmals um 12 Prozent erhöhen.
Welche Sicherheitsmaßnahmen sollen ergriffen werden?
Das Budget für Cybersicherheit steht fest, doch wofür geben Sie es aus? Hierbei gilt: Schwachstellen der Sicherheitslandschaft analysieren und Verbesserungspotenzial erkennen.
- Ausbau der technischen und organisatorischen Maßnahmen
Eine essentielle Maßnahme sind effektive Verschlüsselungstechnologien, die regelmäßige Überprüfung der IT-Infrastruktur sowie die Überwachung der Datenströme.
Auch die Regelung und die Überwachung der Zugangs- und Zugriffsberechtigungen sowie das Management von mobilen Endgeräten sind wesentlicher Bestandteil einer Sicherheitsstrategie. Ebenfalls müssen Cloud-Anwendungen geregelt eingesetzt werden. - Schulungen für Mitarbeiter
Mitarbeiter sind ein wichtiger Präventionsfaktor in Bezug auf die Verringerung von Sicherheitsvorfällen – unabhängig davon, ob es sich um einen IT-Sicherheitsvorfall oder einen Datenschutzvorfall handelt. Mithilfe von Schulungen wird das Bewusstsein für bestehende Einfallstore geschürt und aufgezeigt, wie mit einem möglichen Ereignis umgegangen werden muss. - Unterstützung durch externe Spezialisten und Fachleute
Unternehmen unterliegen zahlreichen gesetzlichen Regelungen. So auch den Datenschutzbestimmungen, welche in ihrer Umsetzung teils kompliziert und in der Umsetzung aufwendig erscheinen können. Auch der Bereich IT ist für manch einer ein Buch mit sieben Siegeln. Hier können spezialisierte Unternehmen und externe Fachleute bei der Umsetzung unterstützen und Prozesse übernehmen. Externe Beauftragte können sicherstellen, dass gesetzliche Regelungen und vorgeschriebene Standards eingehalten und Lücken geschlossen werden. - Cyberversicherung
Auch wenn Sie bereits technische und organisatorische Maßnahmen umsetzen und Ihre Mitarbeiter vorbildlich geschult sind: Es besteht immer noch eine Eintrittswahrscheinlichkeit für einen Cyberangriff. Sichern Sie sich für diesen Fall ab. Eine Cyberversicherung hilft, entstandene Schäden abzumildern. Hier gibt es ganz unterschiedliche Angebote. Besprechen Sie sich mit Ihrer IT, welche Kostenpunkte in jedem Fall abzudecken sind.
Anlasslose Prüfungen der Aufsichtsbehörde
In den letzten Wochen kam es zudem vermehrt zu anlasslosen Prüfungen von Unternehmen durch die Datenschutzaufsichtsbehörden. Diese prüfen die bisher getroffenen Maßnahmen zur Abwehr von RansomwareAngriffen. Damit senden Sie eine klare Botschaft: Unternehmen müssen sich der gegenwärtigen Situation bewusst werden und können nicht weg schauen.
Vorsicht statt Nachsicht
Manchmal hören wir von Unternehmen die Aussage: Cybersicherheit und Datenschutz kostet uns nur viel Geld. Wir verdienen damit nichts, sondern geben Geld für Maßnahmen aus, dessen Wirksamkeit wir nur schwer greifen können.
Wir sehen die Wirkung von Cybersicherheit oder Datenschutz leider erst dann, wenn es zu Sicherheits- oder Datenschutzvorfällen kommt. Präventivmaßnahmen können für manch einen übertrieben oder unverständlich sein, doch hier gilt ganz klar: lieber Vorsicht statt Nachsicht walten lassen. Die Kosten für die Wiederherstellung einer Infrastruktur oder die Befriedigung von Schadensersatzansprüchen kann neben einem Reputationsschaden weitaus höher ausfallen als die Umsetzung von Präventivmaßnahmen oder sogar langfristig unbezahlbaren Schaden anrichten.
Die EU NIS-2 Richtlinie – ca. 30 Tsd. Unternehmen sind betroffen
Die EU möchte mit der NIS-2 Richtlinie die Widerstandsfähigkeit europäischer Unternehmen stärken und harmonisieren. Sie rückt die Cybersicherheit in den Vordergrund und zwingt europäische Unternehmen, die bisher nicht unter die Vorschriften zur Informationssicherheit fielen, zur Umsetzung von Sicherheitsmaßnahmen. Das Gesetz zur Umsetzung der EU-Richtlinie NIS 2 und zur Stärkung der Cybersicherheit (NIS2UmsuCG) soll ab Oktober 2024 in Kraft treten.
Hier berichteten wir bereits: https://www.etes.de/blog/staerkung-der-cybersicherheit-in-deutschland-das-nis2umsucg
Sollten Sie Fragen zu den Themen Datenschutz, Informationssicherheit, präventive Maßnahmen, oder auch Unterstützung allgemein in diesem nicht ganz zu durchblickenden Dschungel an Gesetzen und Richtlinien haben, so stehen wir Ihnen gerne zu Ihrer Verfügung und freuen und auf Ihre Kontaktaufnahme.