Budget für Cybersicherheit – wie hoch sollte es ausfallen?

Data Privacy von Chantal Nußbaum

sdecoret/shutterstock.com

Wie schon in den vergangenen Jahren wird auch 2024 eine angespannte Bedrohungslage durch Cyberkriminalität beobachtet. Der wohl bekannteste Cyberangriff in den letzten Wochen war die Abhöraktion durch den russischen Geheimdienst bei der deutschen Luftwaffe.

Aktuelle Sicherheitslage – ein kurzer Überblick

Die größte Bedrohung für die Cybersicherheit in Deutschland stellt gegenwärtig die sogenannte Ransomware dar. Bei einem Ransomware-Angriff handelt es sich um eine Art der digitalen Erpressung, in dem (personenbezogene) Daten eines Unternehmens verschlüsselt und nur mittels Lösegeldzahlung wieder freigegeben werden. Die Lösegeldzahlung ist jedoch nicht immer Garant für die Rückgabe bzw. erneute Entschlüsselung der Daten. Darüber hinaus wird die Erpressung oftmals an die Drohung einer Veröffentlichung der gestohlenen Datensätze gekoppelt. Mittlerweile ist diese Art des Cyberangriffs industrialisiert und Cybercrime-as-a-Service wird durch Cyberkriminelle systematisch

betrieben. Nach Aussage des Digitalverbandes Bitkom waren deutsche Unternehmen im Jahr 2022 insbesondere von Attacken auf Passwörter, Phishing und Infizierung mit Schadsoftware betroffen. Auch ein Anstieg beim Social-Engineering wurde verzeichnet. Dabei sollen durch die Manipulation des Verhaltens Personen zur Preisgabe von sensiblen Informationen gedrängt werden. Unternehmen müssen sich auf die steigende Zahl von Hackerangriffen einstellen und reagieren. Laut dem Lagebericht des BSI sind kleine und mittlere Unternehmen (KMU) sowie Kommunalverwaltungen und kommunale Betriebe überproportional von Cyberangriffen betroffen. Auch das Gesundheitswesen wird immer häufiger Opfer von Cyberkriminalität.

Wie viel Budget sollte für Cybersicherheitsmaßnahmen veranschlagt werden?

Generell sind Unternehmen gefordert, den Aufwand und die Kosten für die Umsetzung von Cybersicherheitsmaßnahmen unter Berücksichtigung der unterschiedlichen Rahmenbedingungen selbst zu bestimmen. Das BSI empfiehlt jedoch, dass das Budget für Cybersicherheit bis zu 20 Prozent des IT-Budgets betragen sollte. Die Europäische Kommission empfiehlt Unternehmen, die unter die NIS-2-Richtlinie fallen, eine Erhöhung des Budgets für Cybersicherheit um bis zu 22 Prozent. Bisherige KRITIS-Unternehmen sollten ihr bisheriges Budget nochmals um 12 Prozent erhöhen.

Welche Sicherheitsmaßnahmen sollen ergriffen werden?
Das Budget für Cybersicherheit steht fest, doch wofür geben Sie es aus? Hierbei gilt: Schwachstellen der Sicherheitslandschaft analysieren und Verbesserungspotenzial erkennen.

  • Ausbau der technischen und organisatorischen Maßnahmen
    Eine essentielle Maßnahme sind effektive Verschlüsselungstechnologien, die regelmäßige Überprüfung der IT-Infrastruktur sowie die Überwachung der Datenströme.
    Auch die Regelung und die Überwachung der Zugangs- und Zugriffsberechtigungen sowie das Management von mobilen Endgeräten sind wesentlicher Bestandteil einer Sicherheitsstrategie. Ebenfalls müssen Cloud-Anwendungen geregelt eingesetzt werden.

  • Schulungen für Mitarbeiter
    Mitarbeiter sind ein wichtiger Präventionsfaktor in Bezug auf die Verringerung von Sicherheitsvorfällen – unabhängig davon, ob es sich um einen IT-Sicherheitsvorfall oder einen Datenschutzvorfall handelt. Mithilfe von Schulungen wird das Bewusstsein für bestehende Einfallstore geschürt und aufgezeigt, wie mit einem möglichen Ereignis umgegangen werden muss.

  • Unterstützung durch externe Spezialisten und Fachleute
    Unternehmen unterliegen zahlreichen gesetzlichen Regelungen. So auch den Datenschutzbestimmungen, welche in ihrer Umsetzung teils kompliziert und in der Umsetzung aufwendig erscheinen können. Auch der Bereich IT ist für manch einer ein Buch mit sieben Siegeln. Hier können spezialisierte Unternehmen und externe Fachleute bei der Umsetzung unterstützen und Prozesse übernehmen. Externe Beauftragte können sicherstellen, dass gesetzliche Regelungen und vorgeschriebene Standards eingehalten und Lücken geschlossen werden.

  • Cyberversicherung
    Auch wenn Sie bereits technische und organisatorische Maßnahmen umsetzen und Ihre Mitarbeiter vorbildlich geschult sind: Es besteht immer noch eine Eintrittswahrscheinlichkeit für einen Cyberangriff. Sichern Sie sich für diesen Fall ab. Eine Cyberversicherung hilft, entstandene Schäden abzumildern. Hier gibt es ganz unterschiedliche Angebote. Besprechen Sie sich mit Ihrer IT, welche Kostenpunkte in jedem Fall abzudecken sind.

Anlasslose Prüfungen der Aufsichtsbehörde

In den letzten Wochen kam es zudem vermehrt zu anlasslosen Prüfungen von Unternehmen durch die Datenschutzaufsichtsbehörden. Diese prüfen die bisher getroffenen Maßnahmen zur Abwehr von RansomwareAngriffen. Damit senden Sie eine klare Botschaft: Unternehmen müssen sich der gegenwärtigen Situation bewusst werden und können nicht weg schauen.

Vorsicht statt Nachsicht

Manchmal hören wir von Unternehmen die Aussage: Cybersicherheit und Datenschutz kostet uns nur viel Geld. Wir verdienen damit nichts, sondern geben Geld für Maßnahmen aus, dessen Wirksamkeit wir nur schwer greifen können.

Wir sehen die Wirkung von Cybersicherheit oder Datenschutz leider erst dann, wenn es zu Sicherheits- oder Datenschutzvorfällen kommt. Präventivmaßnahmen können für manch einen übertrieben oder unverständlich sein, doch hier gilt ganz klar: lieber Vorsicht statt Nachsicht walten lassen. Die Kosten für die Wiederherstellung einer Infrastruktur oder die Befriedigung von Schadensersatzansprüchen kann neben einem Reputationsschaden weitaus höher ausfallen als die Umsetzung von Präventivmaßnahmen oder sogar langfristig unbezahlbaren Schaden anrichten.

Die EU NIS-2 Richtlinie – ca. 30 Tsd. Unternehmen sind betroffen

Die EU möchte mit der NIS-2 Richtlinie die Widerstandsfähigkeit europäischer Unternehmen stärken und harmonisieren. Sie rückt die Cybersicherheit in den Vordergrund und zwingt europäische Unternehmen, die bisher nicht unter die Vorschriften zur Informationssicherheit fielen, zur Umsetzung von Sicherheitsmaßnahmen. Das Gesetz zur Umsetzung der EU-Richtlinie NIS 2 und zur Stärkung der Cybersicherheit (NIS2UmsuCG) soll ab Oktober 2024 in Kraft treten.

Hier berichteten wir bereits: https://www.etes.de/blog/staerkung-der-cybersicherheit-in-deutschland-das-nis2umsucg

Sollten Sie Fragen zu den Themen Datenschutz, Informationssicherheit, präventive Maßnahmen, oder auch Unterstützung allgemein in diesem nicht ganz zu durchblickenden Dschungel an Gesetzen und Richtlinien haben, so stehen wir Ihnen gerne zu Ihrer Verfügung und freuen und auf Ihre Kontaktaufnahme.

Kontaktieren Sie uns

X

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Bitte addieren Sie 5 und 8.
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.