ICT-Security darf kein Kostenfaktor sein
Die Suche nach einem optimalen Gleichgewicht im magischen Dreieck «Rundum-Sicherheit – minimale Kosten – neue Technologien und Innovationen fürs Business» stellt die ICT-Verantwortlichen vor grosse und permanente Herausforderungen. Insbesondere sollen die Bewegungsfreiheit, Innovation und Kreativität der Fachabteilungen durch straffe Massnahmen nicht beschränkt werden.
Die Pandemie hat die Anforderungen an die ICT-Sicherheit weiter erhöht. Denn in kürzester Zeit wurden praktisch auf der Basis eines Notfallplans die Arbeitsplätze ins Homeoffice verschoben und die Geschäftsprozesse neu ausgerichtet. Auch wenn die ICT-Sicherheit keinen direkt oder zumindest schwer messbaren Einfluss auf die Wertschöpfung eines Unternehmens hat: Sie sichert diese! Diese Absicherung darf aber nicht zur reinen Kostenfrage verkommen, Sicherheit ist kein Kostenfaktor. Das Credo sollte heissen: agieren und vorsorgen, anstatt reagieren und aufräumen. Höhere Mittel erst nach entsprechenden Attacken, Sicherheitsvorfällen und Schäden zu sprechen, ist sicherlich ein falscher und risikoreicher Weg. Daraus entsteht ein Flickenteppich ohne Konzept, viele der Angriffsflächen bleiben so bestehen und unberücksichtigt.
Die gute Nachricht: Schweizer Unternehmen geben viel Geld für die Sicherheit und Hochverfügbarkeit der ICT aus. So wurden 2020 2,5 Milliarden Franken für Appliances (Hardware), Lösungen (Software) und Services ausgegeben, 3,2 Prozent mehr als noch 2019 (vorläufige Zahlen). Und auch im laufenden Jahr erwarten die Unternehmen mehrheitlich eine Erhöhung der externen Ausgaben für die ICT-Sicherheit.
Security-Budget vom ICT-Budget trennen
Aber auch für die Sicherheit stehen nicht Gelder ohne Ende zur Verfügung, erschwerend in manchen Unternehmen kommt hinzu, dass die geplanten Budgets, Ausgaben und Projekte oft sogenannten «Moving Budgets» zum Opfer fallen oder zumindest verschoben werden. So können kurzfristig andere Vorhaben aus Fachabteilungen vorgezogen werden oder Ausgaben für die Modernisierung und den Ausbau der Infrastruktur eine höhere Priorität bei der Umsetzung erhalten. Ein Weg aus diesem Dilemma der Abhängigkeit könnte die Herauslösung des Security-Budgets aus dem ICT-Budget sein, um die Ausgaben für die Sicherheit isoliert und autonom festzulegen und zu managen.
Die höchsten Zuwachsraten im Bereich der ICT-Security erfahren aktuell die Ausgaben für Services durch die steigende Inanspruchnahme der Leistungen externer Dienstleister. So rechnen wir für das laufende Jahr mit einer Aufstockung der entsprechenden Gelder für externe Services um knappe 10 Prozent.
Die steigende Nutzung von Services externer Dienstleister hat einen entscheidenden Einfluss auf die Ausgaben der Unternehmen und das Wachstum des Security-Marktes. Dieses wird primär nicht mehr durch Ausgaben und Investitionen in Lösungen, Appliances und Infrastrukturen für den Eigenbetrieb (On Premise) generiert. Die Zunahme an Geldern, die zu Dienstleistern und Managed Security Service Provider (MSSP) fliessen, liegt deutlich höher als die Aufwendungen für den Eigenbetrieb. Die Liste der in Anspruch genommenen Leistungen wird heute angeführt von Services in den Bereichen VPN/Firewall, AV/AS, Audits, Risikoanalysen, Network Security, Penetration Testing, Monitoring, Security-Management und Schulung. Die weiterhin steigende Nachfrage nach Managed Security Services führt auch im laufenden Jahr zu einem markanten Wachstumssprung von rund 10 Prozent gegenüber 2020, während die Ausgaben für Lösungen und Appliances (HW) im Eigenbetrieb um rund 5 Prozent schrumpfen. Damit hat der Wind endgültig gedreht – der Big Shift hat auch im Sicherheitsbereich Fuss gefasst.