BCG
How CISOs Are Reducing Cyber Risk on a Tight Budget
Die BCG-Studie „How CISOs Are Reducing Cyber Risk on a Tight Budget“ aus dem Jahr 2023 untersucht, wie Chief Information Security Officers (CISOs) die Cybersicherheit in Zeiten strenger Budgeteinschränkungen verbessern können. Angesichts der zunehmenden Bedrohungen durch Cyberangriffe und der Notwendigkeit, Kosten zu senken, stellt die Studie dar, wie Unternehmen gleichzeitig ihre IT-Sicherheitsstrategien optimieren und dabei Kosten sparen können.
Herausforderungen in der Cybersicherheit bei begrenztem Budget
Viele Unternehmen stehen vor der Herausforderung, in einem schwierigen wirtschaftlichen Umfeld die Kosten zu senken, während die Risiken im Bereich der Cybersicherheit weiter zunehmen. Die Pandemie hat die Digitalisierung beschleunigt und die Angriffsfläche für Cyberkriminelle vergrößert. Unternehmen müssen ihre Cybersicherheitsbudgets genau prüfen und sicherstellen, dass jeder Dollar effizient eingesetzt wird.
Die Studie zeigt, dass sich die Budgets für Cybersicherheit im Durchschnitt um nur 4 % pro Jahr erhöhen, während frühere Budgeterhöhungen typischerweise bei etwa 8 % lagen. Dies bedeutet, dass CISOs unter noch größerem Druck stehen, mit weniger Ressourcen die gleiche oder sogar bessere Leistung zu erbringen.
Strategien zur Kostenoptimierung bei gleichzeitiger Risikominderung
Die Studie hebt sechs zentrale Handlungsfelder hervor, mit denen CISOs ihre Sicherheitsmaßnahmen optimieren und gleichzeitig Kosten reduzieren können:
Ausrichtung der Ausgaben auf das Risikoprofil: CISOs sollten ihre Budgets auf Basis des Risikoprofils des Unternehmens ausrichten. Das bedeutet, dass sie eng mit den Geschäftseinheiten zusammenarbeiten, um zu verstehen, welche Cyberangriffe den größten Schaden verursachen könnten, und die Ausgaben dementsprechend priorisieren. Diese Methode kann Einsparungen von bis zu 10 % ermöglichen.
Projektportfolio priorisieren: Oftmals setzen Unternehmen ihre Cybersicherheitsprojekte fort, ohne die Effektivität zu hinterfragen. CISOs müssen laufende Projekte auf Nutzen und Kosten prüfen und diejenigen priorisieren, die das größte Risiko reduzieren. Dies kann zu Einsparungen von 5 % bis 10 % führen.
Effizienz in den Sicherheitsoperationen steigern: Unternehmen sollten ihre Sicherheitsprozesse auf Effizienz prüfen und unnötige oder doppelte Abläufe eliminieren. Dies kann durch Automatisierung von Prozessen oder Änderungen an Service-Level-Agreements (SLAs) geschehen. Auch hier können Einsparungen von 5 % bis 10 % erzielt werden.
Technologische Konsolidierung: Viele Unternehmen verwenden eine Vielzahl von Tools, die sich über die Jahre angesammelt haben und möglicherweise redundant sind. Die Konsolidierung dieser Tools, verbunden mit einer Optimierung der Anbieterbeziehungen, kann Kosten senken und die Sicherheit verbessern. Einsparungen von bis zu 10 % sind hier möglich.
Optimierung der Einkaufsstrategien: Durch eine Überprüfung der Einkaufsstrategien können Unternehmen neue Lieferanten mit wettbewerbsfähigen Preisen finden oder bestehende Verträge neu verhandeln. Dies könnte ebenfalls Einsparungen von bis zu 10 % bringen.
Verbesserung des Betriebsmodells: Durch die Optimierung von Personal- und Entscheidungsprozessen sowie die Beseitigung von ineffizienten Strukturen können Unternehmen weitere 1 % bis 5 % der Kosten einsparen.
Messung der Rendite von Sicherheitsmaßnahmen
Ein zentraler Punkt der Studie ist die Bedeutung der Messung der Rendite (Return on Investment, ROI) von Sicherheitsmaßnahmen. Nur 22 % der CISOs, die als „unvorbereitet“ eingestuft wurden, messen regelmäßig den ROI ihrer Cybersicherheitsmaßnahmen. Im Gegensatz dazu tun dies 56 % derjenigen, die in der Umfrage als „fortgeschritten“ bewertet wurden. Dies zeigt, wie wichtig es ist, den finanziellen Nutzen von Sicherheitsmaßnahmen in Bezug auf Risikoreduktion zu verstehen, um fundierte Investitionsentscheidungen zu treffen.
Cyber-Tool-Health-Index und Zero-Based Budgeting
Die Studie stellt weitere Methoden zur Kostensenkung vor, darunter der Cyber-Tool-Health-Index, der Lücken in der Implementierung und ineffiziente Tools identifiziert. Durch den Verzicht auf überflüssige Tools und die Investition in neue, effizientere Lösungen können Unternehmen nicht nur Kosten sparen, sondern auch ihre Sicherheitslage verbessern.
Eine weitere Methode ist das Zero-Based Budgeting (ZBB). Bei dieser Methodik werden Budgets von Grund auf neu erstellt, basierend auf den tatsächlichen Bedürfnissen und Prioritäten. ZBB zwingt Unternehmen dazu, ihre Ausgaben kritisch zu hinterfragen und sicherzustellen, dass jeder ausgegebene Dollar einen klaren Nutzen bringt.
Fazit
Die BCG-Studie zeigt, dass CISOs trotz begrenzter Budgets in der Lage sind, die Cybersicherheit zu verbessern, indem sie ihre Strategien und Ausgaben gezielt optimieren. Durch eine klare Ausrichtung der Investitionen auf das Risikoprofil des Unternehmens, die Konsolidierung von Technologien und die Priorisierung von Projekten können Unternehmen nicht nur Kosten senken, sondern auch ihre Sicherheitslage stärken. Effizienzsteigerungen, Automatisierung und eine systematische Überprüfung von Einkaufs- und Betriebsmodellen sind entscheidend, um in einem Umfeld wachsender Bedrohungen erfolgreich zu bleiben.