Obwohl eine funktionierende Cybersicherheit Grundvoraussetzung für Wirtschaftlichkeit und Wettbewerbsfähigkeit von Unternehmen ist, wachsen Investitionen in Security-Maßnahmen langsamer als notwendig, weshalb das Sicherheitsniveau vieler Unternehmen der aktuellen Bedrohungslandschaft meist nicht gerecht wird.
Ein Grund für die mangelnde Investitionsbereitschaft der Geschäftsführung und die damit verbundene unzureichende Prävention ist dabei in vielen Fällen die fehlende Sichtbarkeit der Wirksamkeit von IT-Sicherheitsmaßnahmen. Das liegt nicht zuletzt daran, dass sich Cybersicherheit nicht immer eindeutig berechnen lässt. Die meisten eingesetzten Security-Technologien sind nun mal Präventionsmaßnahmen, deren Sinn es ist, das Risiko von Cyberangriffen und Datenverlusten zu senken.
Ob sie im konkreten Fall nun tatsächlich benötigt werden, d.h. ob ein bestimmter Vorfall überhaupt eintritt, lässt sich im Vorfeld jedoch nicht voraussagen und genauso schwierig ist es zu berechnen, ob der abgewendete Schaden die Kosten der Lösung überhaupt übersteigen würde. Hinzukommt, dass IT-Security-Maßnahmen niemals hundertprozentige Sicherheit garantieren können, was vor allem bei IT-unerfahrenen Geschäftsführern Skepsis gegenüber hohen Security-Ausgaben schürt.
Diese Ungewissheiten sind letztlich der Grund, warum die von den CIOs und IT-Abteilungen vorgesehenen Security-Budgets von der Geschäftsführung oft nicht in vollem Maße genehmigt werden. Dabei wird jedoch übersehen, dass diese Entscheidung nicht nur auf Kosten der (zweifellos schwierig zu bemessenden) Sicherheit geht: Denn sie ignorieren, dass Investitionen in die Cybersicherheit gleichzeitig auch Investitionen in die Wirtschaftlichkeit und das Wachstum des Unternehmens sind.
So bedeuten neue IT-Sicherheitsmaßnahmen nicht nur einen besseren Schutz vor Cyberangriffen und Datenverlust, sondern im besten Fall auch Kosten- und Zeitersparnis und damit verbunden wirtschaftliche Effizienz. So schaffen innovative Sicherheits-Lösungen jenseits ihrer Security-Funktion mehr Übersichtlichkeit und Transparenz und automatisieren Prozesse, was letztlich dazu führt, dass Mitarbeiter in ihrer Alltagstätigkeit entlastet werden und effizienter arbeiten können. Gleichzeitig werden herkömmliche Sicherheitslösungen in vielen Fällen obsolet, was weitere Kosten einspart.
Hier muss - vor allem auf Geschäftsführungsebene - ein Umdenken stattfinden: Anstatt weiterhin primär die Bedrohungsabwehr zu fokussieren, müssen Unternehmen ihren Blick weiten und den wirtschaftlichen Nutzen und den Wettbewerbsvorteil, der mit einer effektiven Cybersicherheit einher geht, in den Vordergrund stellen.
Dabei sind vor allem die CIOs und CISOs gefragt: Sie müssen in der Lage sein, ihre Vorgesetzten vom Geschäftsnutzen neuer Security-Investitionen zu überzeugen anstatt sich nur auf die „sicherheitstechnischen‘“ Vorteile zu konzentrieren. Auf diese Weise können sie einen wichtigen Beitrag zur Berechnung des Return-of-Security-Investments (ROSI) bzw. der Gesamt-Betriebskosten (TCO) leisten.