CISOs und Security-Verantwortliche müssen längst nicht mehr so intensiv um mehr Budget und Handlungsspielraum kämpfen wie bisher, sondern erfahren von ihrer Geschäftsführung immer mehr Unterstützung und Verständnis, wenn es um Investitionen in neue Cybersicherheitsmaßnahmen geht. Dies ist das Ergebnis einer aktuellen Studie* des PAM-Spezialisten Thycotic. Mehr als 90 Prozent der befragten IT-Sicherheitsexperten gaben demnach an, dass ihre Vorgesetzten die Notwendigkeit neuer Ausgaben mittlerweile voll und ganz erkennen und sie bei dementsprechenden Bestrebungen angemessen unterstützen. Mehr als acht von zehn bestätigen zudem, dass das von ihnen empfohlene Investitionsvolumen von der Geschäftsführung grundsätzlich genehmigt wird.
Was die Geschäftsführung überzeugt, Geld für mehr Cybersicherheit in die Hand zu nehmen
Wie die Befragung von knapp 1.000 Sicherheitsentscheidern weltweit zeigt, sind es vor allem konkrete Sicherheitsvorfälle im Unternehmen (49 %) und daraus resultierend Datenlecks, Reputationsschäden und finanzielle Verluste aber auch nicht bestandene Audits (28 %), die Vorstände und Geschäftsführung dazu bewegen, Budget für neue Security-Projekte bereitzustellen.
Gefragt nach dem überzeugendsten Argument, um die Zustimmung der Vorgesetzten für weiteren Ausgaben zur Cybersicherheit zu erlangen, nannten die Befragten an erster Stelle Hinweise auf mögliche Compliance-Verstöße und drohende Bußgelder. Laut 23 Prozent (in Deutschland allein sogar 33 %) ist die Androhung von bzw. Angst vor potenziellen Strafzahlungen eine gute Strategie in den Verhandlungen. Diese Furcht ist nicht unbegründet, bedenkt man, dass sich allein die finanziellen Sanktionen für DSGVO-Verstöße rund zweieinhalb Jahre nach Inkrafttreten der Datenschutz-Grundverordnung auf insgesamt über 177 Millionen Euro belaufen.
Security-Investitionen nach COVID-19 / Die Hälfte der Unternehmen zieht in die Cloud
Die durch die Corona-Krise verstärkte Digitalisierung und insbesondere die unerwartete Zunahme von Remote-Arbeit hat die Verantwortlichen in Unternehmen vor große Herausforderungen gestellt und neue Strategien und Standards in Sachen Cybersicherheit und Datenschutz gefordert. Dies hat direkte Auswirkungen auf die geplanten Ausgaben im kommenden Jahr und so sind rund 58 Prozent der Befragten überzeugt, dass sie im nächsten Geschäftsjahr bedingt durch die Veränderungen durch COVID-19 über ein größeres Sicherheitsbudgets verfügen werden als in diesem Jahr.
Für Deutschland beträgt der Anteil mit nur 36 Prozent hier deutlich weniger. 39 Prozent der Befragten aus Deutschland rechnen hingegen mit einem gleichbleibenden Budget im Jahr 2021. Dies könnte ein Hinweis sein, dass deutsche Unternehmen bereits vor der Corona-Pandemie auf Herausforderungen im IT-Bereich vorbereitet waren und Budget entsprechend eingeplant haben.
Konkret planen 85 Prozent der IT-Sicherheitsentscheider, in den nächsten zwölf Monaten weitere Lösungen zu beschaffen und 50 Prozent werden in die Cloud umziehen.
Letzteres bestätigt den Trend, dass immer mehr Unternehmen einen Cloud-first-Ansatz wählen und zunächst Cloud-Bereitstellungsoptionen in Betracht ziehen. Dies erleichtert die Verwaltung und Absicherung von remote-arbeitenden Mitarbeitern, da Cloud-Lösungen Unternehmen Flexibilität und Hochverfügbarkeit gewährleisten.
Weniger als zehn Prozent erwarten eine volle Ausschöpfung der neuen Investitionen
Die Ergebnisse der Studie zeigen jedoch auch, dass trotz der zu erwartenden höheren Ausgaben im Bereich IT-Security nicht alle Investitionen den Mehrwert bringen werden, den man sich von ihnen erhofft. So sind die Befragten mehrheitlich davon überzeugt, dass 50 Prozent der neuen Cybersicherheitslösungen nie voll ausgeschöpft werden. An eine Ausschöpfung von mehr als 80 Prozent glauben demnach weniger als zehn Prozent der IT-Manager.
Diese Sorge erklärt sich vor allem aus dem allgegenwärtigen Fachkräftemangel. Dieser bedingt, dass Unternehmen nicht über ausreichende Ressourcen verfügen, um neue Lösung oder Technologien voll auszunutzen oder Implementierungen über die anfängliche Bereitstellung hinaus auszuweiten. Gleichzeitig ist dies ein Indiz dafür, dass zu viele Sicherheitslösungen noch immer zu komplex in der Installation und daher schwierig in der täglichen Anwendung sind.
Kaufentscheidungen der CISOs basieren heutzutage vor allem auf dem Wunsch, mit Branchenkollegen und Wettbewerbern Schritt zu halten. So geben zwar dreiviertel der Befragten an, dass sie innovative neue Produkte ausprobieren wollen, in der Praxis, d.h. bei der Auswahl neuer Lösungen und Services, orientieren sie sich jedoch meist an ihren Branchenkollegen, wobei fast die Hälfte (46 %) von ihnen Kaufentscheidungen mit denen anderer Unternehmen ihres Sektors vergleicht. Dies mag taktisch auf den ersten Blick klug sein, hindert die Teams jedoch daran, neue Technologien einzusetzen und innerhalb ihrer Branche Innovationen voranzutreiben.
“Die strategische Zusammenarbeit zwischen IT-Sicherheit und Geschäftsführung hat sich in den letzten Jahren intensiviert – ganz zum Vorteil der Unternehmenssicherheit, dennoch gibt es weiterhin Optimierungsbedarf”, sagt Stefan Schweizer, Director Sales DACH bei Thycotic. “Die Tatsache, dass Vorstände und Geschäftsführer Investitionen hauptsächlich aus Angst vor Cyberangriffen und Bußgeldern genehmigen, zeigt, dass es bei den Investitionsentscheidungen im Cybersecurity-Bereich immer noch mehr um die notwendige Absicherung geht als um den Wunsch nach Innovation, was auf lange Sicht die Fähigkeit der Unternehmen einschränkt, mit den Cyberkriminellen Schritt zu halten.”
Die vollständigen Report-Ergebnisse stehen ab sofort zum Download bereit: https://thycotic.com/resources/cyber-security-guide-to-technology-purchase-decision-making/