Budget für Cybersicherheit – wie hoch sollte es ausfallen?
Data Privacy von Chantal Nußbaum

Wie schon in den vergangenen Jahren wird auch 2024 eine angespannte Bedrohungslage durch Cyberkriminalität beobachtet. Der wohl bekannteste Cyberangriff in den letzten Wochen war die Abhöraktion durch den russischen Geheimdienst bei der deutschen Luftwaffe.
Aktuelle Sicherheitslage – ein kurzer Überblick
Die größte Bedrohung für die Cybersicherheit in Deutschland stellt gegenwärtig die sogenannte Ransomware dar. Bei einem Ransomware-Angriff handelt es sich um eine Art der digitalen Erpressung, in dem (personenbezogene) Daten eines Unternehmens verschlüsselt und nur mittels Lösegeldzahlung wieder freigegeben werden. Die Lösegeldzahlung ist jedoch nicht immer Garant für die Rückgabe bzw. erneute Entschlüsselung der Daten. Darüber hinaus wird die Erpressung oftmals an die Drohung einer Veröffentlichung der gestohlenen Datensätze gekoppelt. Mittlerweile ist diese Art des Cyberangriffs industrialisiert und Cybercrime-as-a-Service wird durch Cyberkriminelle systematisch
betrieben. Nach Aussage des Digitalverbandes Bitkom waren deutsche Unternehmen im Jahr 2022 insbesondere von Attacken auf Passwörter, Phishing und Infizierung mit Schadsoftware betroffen. Auch ein Anstieg beim Social-Engineering wurde verzeichnet. Dabei sollen durch die Manipulation des Verhaltens Personen zur Preisgabe von sensiblen Informationen gedrängt werden. Unternehmen müssen sich auf die steigende Zahl von Hackerangriffen einstellen und reagieren. Laut dem Lagebericht des BSI sind kleine und mittlere Unternehmen (KMU) sowie Kommunalverwaltungen und kommunale Betriebe überproportional von Cyberangriffen betroffen. Auch das Gesundheitswesen wird immer häufiger Opfer von Cyberkriminalität.
Wie viel Budget sollte für Cybersicherheitsmaßnahmen veranschlagt werden?
Generell sind Unternehmen gefordert, den Aufwand und die Kosten für die Umsetzung von Cybersicherheitsmaßnahmen unter Berücksichtigung der unterschiedlichen Rahmenbedingungen selbst zu bestimmen. Das BSI empfiehlt jedoch, dass das Budget für Cybersicherheit bis zu 20 Prozent des IT-Budgets betragen sollte. Die Europäische Kommission empfiehlt Unternehmen, die unter die NIS-2-Richtlinie fallen, eine Erhöhung des Budgets für Cybersicherheit um bis zu 22 Prozent. Bisherige KRITIS-Unternehmen sollten ihr bisheriges Budget nochmals um 12 Prozent erhöhen.
Welche Sicherheitsmaßnahmen sollen ergriffen werden?
Das Budget für Cybersicherheit steht fest, doch wofür geben Sie es aus? Hierbei gilt: Schwachstellen der Sicherheitslandschaft analysieren und Verbesserungspotenzial erkennen.
- Ausbau der technischen und organisatorischen Maßnahmen
Eine essentielle Maßnahme sind effektive Verschlüsselungstechnologien, die regelmäßige Überprüfung der IT-Infrastruktur sowie die Überwachung der Datenströme.
Auch die Regelung und die Überwachung der Zugangs- und Zugriffsberechtigungen sowie das Management von mobilen Endgeräten sind wesentlicher Bestandteil einer Sicherheitsstrategie. Ebenfalls müssen Cloud-Anwendungen geregelt eingesetzt werden. - Schulungen für Mitarbeiter
Mitarbeiter sind ein wichtiger Präventionsfaktor in Bezug auf die Verringerung von Sicherheitsvorfällen – unabhängig davon, ob es sich um einen IT-Sicherheitsvorfall oder einen Datenschutzvorfall handelt. Mithilfe von Schulungen wird das Bewusstsein für bestehende Einfallstore geschürt und aufgezeigt, wie mit einem möglichen Ereignis umgegangen werden muss. - Unterstützung durch externe Spezialisten und Fachleute
Unternehmen unterliegen zahlreichen gesetzlichen Regelungen. So auch den Datenschutzbestimmungen, welche in ihrer Umsetzung teils kompliziert und in der Umsetzung aufwendig erscheinen können. Auch der Bereich IT ist für manch einer ein Buch mit sieben Siegeln. Hier können spezialisierte Unternehmen und externe Fachleute bei der Umsetzung unterstützen und Prozesse übernehmen. Externe Beauftragte können sicherstellen, dass gesetzliche Regelungen und vorgeschriebene Standards eingehalten und Lücken geschlossen werden. - Cyberversicherung
Auch wenn Sie bereits technische und organisatorische Maßnahmen umsetzen und Ihre Mitarbeiter vorbildlich geschult sind: Es besteht immer noch eine Eintrittswahrscheinlichkeit für einen Cyberangriff. Sichern Sie sich für diesen Fall ab. Eine Cyberversicherung hilft, entstandene Schäden abzumildern. Hier gibt es ganz unterschiedliche Angebote. Besprechen Sie sich mit Ihrer IT, welche Kostenpunkte in jedem Fall abzudecken sind.