IT Security Budgets

Sicherheitsangst treibt Ausgaben

27.02.2020 von Steffen Brehme IDG ExpertenNetzwerk

Die Sicherheitsbedenken steigen - die Ausgaben dafür ebenfalls. Dadurch kann der geschäftsorientierte Ausbau von Digitalisierung und Vernetzung verlangsamt werden und die Wettbewerbsfähigkeit könnte darunter leiden.

Die Kosten für den Schutz vor Cybercrime können so manchen Manager schockieren.
Foto: pathdoc - shutterstock.com

Aktuelle Studien zu IT-Trends zeigen es: In der Industrie greifen beim Thema Digitalisierung Bedenken um sich. Die gerade veröffentlichte Trendstudie von Bitkom Research und Tata Consultancy Services, bei der knapp 1.000 Unternehmen mit 100 oder mehr Mitarbeitern befragt wurden, zeigt, dass zwei Drittel der Unternehmen ihre Investitionen in IT-Sicherheit steigern wollen - das ist mehr als in jedem anderen Bereich.
Dazu gehört, dass die am häufigsten gesuchte Qualifikation bei Mitarbeitern der IT-Sicherheitsberater (52 Prozent) ist und als größte Hürde mit 53 Prozent die Anforderungen an den Datenschutz gesehen werden. Auch neue Veranstaltungen wie der am dritten und vierten März 2020 in München zum zweiten Mal stattfindende european cybersecurity summit und Initiativen, wie die des Bundesministeriums für Sicherheit in der Informationstechnik initiierte Allianz für Cybersicherheit belegen die steigende Bedeutung des Themas IT-Sicherheit.

IT Security: Neue Schwerpunkte bei den Budgets

Für die IT-Ausgaben der Unternehmen bedeutet dieses Investment eine Umverteilung der Mittel: Das Statistische Bundesamt meldete im Oktober 2019, dass im Jahr 2019 in Deutschland rund 4,58 Milliarden Euro für IT-Sicherheit ausgegeben wurden. Für 2020 sollen die Ausgaben auf rund 4,9 Milliarden Euro steigen. Das entspricht einer Erhöhung des Budgets um sieben Prozent. Die IT-Budgets insgesamt in Deutschland sollen dagegen laut dem Branchenverband Bitkom nur um 2,7 Prozent auf 95,4 Milliarden Euro wachsen.

Die deutschen Zahlen zeigen zweierlei: Zum einen bleibt das Wachstum des IT-Gesamtumsatzes in Deutschland hinter dem prognostizierten Umsatz für EMEA und weltweit zurück, die 2020 laut Gartner um 3,4 Prozent zulegen sollen. Und zum anderen wachsen die Ausgaben für Sicherheitstechnologie in Deutschland doppelt so schnell wie die Gesamtinvestitionen in IT. Kurz: Deutschlands IT-Investitionen bleiben hinter den EMEA- und den weltweiten Investitionen zurück. Gleichzeitig erhöhen sich die Ausgaben für Sicherheit.

Crimeware-as-a-service: Darknet-Hits

Botnetze
Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar.

Browser Exploit Packs
In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar.

Phishing-Toolkits
Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar.

Ransomware
Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.

Unternehmerischer Handlungsspielraum verengt sich

Die Konsequenz: Der Handlungsspielraum für Investitionen in Digitalisierungsprojekte, mit denen Unternehmen ihre Effizienz erhöhen, Kosten sparen und neue Geschäftsfelder erschließen, wird eingeschränkt. Bisher gilt, dass die zunehmende Vernetzung im Unternehmen (Enterprise Application Integration), über das eigene Unternehmen hinaus ((Multi)-Cloud-Integration) und der steigende Austausch von Daten zwischen Unternehmen (Electronic Data Interchange) vor allem Vorteile mit sich bringt. Der Trend zu einer Professionalisierung des Datenaustauschs hat von der internen Datenerhebung über Sensoren in der industriellen Fertigung und der Anbindung von Partnern und Kunden mit unterschiedlichen Systemen bis zur Nutzung umfassender interner wie externer Analyse- und Vorhersageinstrumente viele Möglichkeiten eröffnet, Strukturen und Prozesse zu optimieren, die Fehleranfälligkeit zu verringern, die Qualität zu erhöhen und die Kundenzufriedenheit zu steigern.

Lesetipp: So geht Sicherheit im Internet of Things

Werden nun die durch die Digitalisierung verbesserte Handlungsfähigkeit und die optimierten Kosten immer weniger als unternehmerische Chance und immer mehr als Risiko eingestuft, entstehen daraus mittelfristig gravierende Nachteile für die Wettbewerbsfähigkeit der Unternehmen.

Die Sicherheits-Anforderungen für die Zukunft

Die Anforderung an die IT-Strategien für die 2020er Jahre liegen nun darin, ein Gleichgewicht zwischen den Chancen, die eine steigende Datenintegration bietet, und den zunehmenden Sicherheitsbedenken herzustellen. Dafür steht, dass Unternehmen in der Digitalisierung trotz der Bedenken weiteres Potenzial sehen. Nach Aussagen der Tata-/Bitkom-Studie steigt die Anzahl der digitalaffinen Unternehmen weiter (2018: 75 Prozent; 2019: 78 Prozent) und die Anzahl der Unternehmen mit professionellem Chancenmanagement erhöhte sich von 36 Prozent in 2017 auf 49 Prozent in 2019. Und auf der operativen Ebene stehen - das zeigt die Suche nach Cloud-Ingenieuren an zweiter Stelle nach den IT-Sicherheitsberatern - die Anbindung und professionelle Cloud-Integration auf allen Ebenen von Infrastructure as as Servce (Iaas) über Platform as a Service (PaaS) bis zu Software as a Service (SaaS). Datenintegration und Sicherheitsarchitektur bilden damit die beiden Eckpfeiler der industriellen Digitalisierung für 2020. (bw)