• Cyber Resilience

Wie man Security Investitionen optimiert und trotzdem resilient bleibt

„Müssen über das Cybersecurity-Budget für das nächste Jahr sprechen…

Dir fällt das Herz in die Hose. Weil du weisst, was kommt. Das gleiche Gespräch, das wir im letzten Jahr mit Dutzenden von Security-Leitern geführt haben: Wie können wir Kosten senken, ohne Angreifern Tür und Tor zu öffnen?

Es ist, als würde man dich bitten, eine Festung mit der Hälfte der benötigten Steine zu bauen. Und ehrlich gesagt? Wir verstehen, warum die Geschäftsführung diese Fragen stellt. Die Budgets sind überall knapp, und wenn du jeden Monat auf eine fünfstellige Rechnung für Security-Tools starrst, dann wirken diese Zahlen wirklich… gross.

Aber hier ist, was wir von Unternehmen gelernt haben, die genau diese Situation gemeistert haben (und gestärkt daraus hervorgegangen sind): Security-Ausgaben zu kürzen muss nicht bedeuten, die Security-Effektivität zu reduzieren.

Das Problem, das die meisten Teams falsch angehen

Wir haben letztes Jahr mit einem mittelgrossen Unternehmen gearbeitet, das den „Kahlschlag“-Ansatz bei ihrem Security-Budget gewählt hat. Sie kürzten ihren Endpoint-Schutz um 40%. Reduzierten ihre Monitoring-Tools. Beliessen ihr Security-Team bei zwei Personen, obwohl diese nebenbei noch Admin-Arbeiten verrichten.

Sechs Monate später? Sie kämpften mit einem Ransomware-Vorfall, der sie in einer Woche mehr kostete als ihr gesamtes jährliches Security-Budget.

Der Fehler, den sie machten (und ehrlich gesagt, den sehen wir ständig) war, Security-Ausgaben als einfaches Mathe-Problem zu betrachten. Weniger Geld = weniger Sicherheit = akzeptables Risiko.

Aber Security funktioniert nicht so linear. Es ist wie… eine Kette zu bauen. Du kannst die stärksten Glieder der Welt haben, aber wenn du eine schwache Stelle hast, bricht das Ganze auseinander.

Was tatsächlich funktioniert: Das 80/20-Prinzip bei Security-Ausgaben

Nach der Analyse dutzender Kunden-Security-Budgets haben wir etwas Interessantes festgestellt. Die meisten Organisationen geben etwa 60% ihres Budgets für Dinge aus, die vielleicht 20% ihres tatsächlichen Schutzes bieten.

Threat-Intelligence-Feeds, die niemand wirklich nutzt? Die spezialisierten Tools, die sich mit drei anderen Systemen überschneiden? Die Compliance-Checkbox-Lösungen, die in Board-Präsentationen gut aussehen, aber tatsächlich keine Angriffe stoppen?

Ja. Da steckt normalerweise das Sparpotential.

So helfen wir Kunden typischerweise dabei, ihre Ausgaben umzustrukturieren:

Mit den Basics anfangen, die wirklich wichtig sind. Multi-Faktor-Authentifizierung überall. Regelmässige Backups (die ihr auch tatsächlich testet). Mitarbeiter-Security-Training, das interessanter ist als Farbe beim Trocknen zuzusehen. Patch-Management, das nicht darauf angewiesen ist, dass Klaus daran denkt, alle paar Monate die Systeme zu aktualisieren.

Das ist nicht sexy. Daraus werden keine beeindruckenden Vendor-Demos. Aber es stoppt etwa 80% der Angriffe, die wir in freier Wildbahn sehen.

Tools konsolidieren, die das Gleiche machen. Wir hatten einen Kunden, der drei verschiedene Monitoring-Lösungen laufen hatte. Drei! Jede fing etwas andere Dinge ab, aber mit massiven Überschneidungen. Wir halfen ihnen, auf ein komplementäres Tool zu konsolidieren und dabei jährlich mehrere Tausend Franken zu sparen, während die Sichtbarkeit des Monitorings trotzdem für die wichtigsten Komponenten vorhanden ist.

Das langweilige Zeug automatisieren. Schau, wir mögen Administratoren. Aber jemandem einen sechsstelligen Lohn im Jahr zu zahlen, um Konten für Mitarbeitende manuell zu erstellen? Das ist keine gute Rechnung. Setzt diese klugen Leute auf die komplexen Probleme, die tatsächlich menschliches Urteilsvermögen brauchen.


Die echte Frage: Was könnt ihr euch tatsächlich leisten zu verlieren?

Hier wird das Gespräch mit unseren Kunden real.

Weil Security-Ausgaben zu kürzen eigentlich nicht ums Geld geht. Es geht um Risikotoleranz. Und ehrlich gesagt? Die meisten Führungsteams haben nicht wirklich durchdacht, was das in praktischen Begriffen bedeutet.

Wir setzen uns mit ihnen zusammen und fragen: Was passiert, wenn eure Kundendaten geleakt werden? Oder eure Produkte nicht mehr geliefert werden können. Nicht nur die potenziellen Strafen. Sondern das Kundenvertrauen. Der Wettbewerbsvorteil, den ihr verliert, wenn weil ihr nicht liefern könnt. Die wochenlange All-Hands-on-Deck-Incident-Response, die jedes andere Projekt entgleist.

Manchmal verändert dieses Gespräch alles. Manchmal merken sie, dass sie es sich tatsächlich nicht leisten können, Security-Ausgaben zu kürzen. Sie müssen nur effektiver ausgeben.


Unser „Gut genug“-Framework

Aber manchmal sind die Budgetkürzungen real und nicht verhandelbar. Der Umsatz ist gesunken. Wachstumsprognosen haben sich geändert. Der Vorstand hat eine Entscheidung getroffen und dabei bleibt’s.

Wenn das passiert, helfen wir Kunden dabei, „gut genug“-Security aufzubauen. Nicht perfekt. Nicht überall Enterprise-Level. Aber durchdacht designt, um die wahrscheinlichsten Bedrohungen zu handhaben, denen sie tatsächlich begegnen werden.

Rausfinden, was ihr wirklich schützt. Nicht alles in eurer Umgebung braucht Fort Knox-Level-Security. Die Test-Datenbank mit Fake-Kundendaten? Braucht wahrscheinlich nicht den gleichen Schutz wie euer Produktions-Payment-Processing-System.

Eure Bedrohungslandschaft kennen. Macht ihr euch wirklich Sorgen über nationalstaatliche Akteure? Oder ist euer grösseres Risiko verärgerte Mitarbeiter und opportunistische Cyberkriminelle? Verschiedene Bedrohungen brauchen verschiedene Abwehrmassnahmen, und ihr könnt viel sparen, indem ihr realistisch darüber seid, wer euch tatsächlich ins Visier nimmt.

In Schichten bauen, aber klug. Ihr braucht nicht sieben verschiedene Security-Tools. Aber ihr braucht mehrere Wege, um zu erkennen und zu reagieren, wenn etwas schiefgeht. Netzwerk-Monitoring. Endpoint-Protection. User-Behavior-Analytics. Wählt die drei Dinge, die euch die beste Abdeckung für eure spezifische Umgebung geben.

Die Kennzahlen, die wirklich zählen

Hier ist etwas, das uns verrückt macht: Unternehmen, die Security-Erfolg daran messen, wie viel sie ausgeben.

„Wir haben unser Security-Budget dieses Jahr um 30% erhöht!“ Okay… und? Seid ihr tatsächlich sicherer? Oder habt ihr nur teurere Tools gekauft?

Die Kennzahlen, die wir mit Kunden verfolgen, sind anders:

  • Zeit bis zur Erkennung tatsächlicher Security-Incidents (nicht nur Alerts)
  • Wie schnell ihr Probleme eindämmen und euch davon erholen könnt
  • Prozentsatz eurer Angriffsfläche, die tatsächlich überwacht wird
  • Mitarbeiter-Security-Bewusstsein (gemessen durch Phishing-Simulationsergebnisse, nicht durch Training-Abschlussraten)

Denn am Ende des Tages ist das beste Security-Programm das, welches Incidents verhindert. Nicht das mit dem grössten Budget oder dem schicksten Dashboard.

Den Fall für das machen, was ihr wirklich braucht

Wir verstehen es. Manchmal wisst ihr genau, was ihr braucht, aber die Führung zu überzeugen ist der schwere Teil.

Der Schlüssel ist, Security-Risiken in Geschäftssprache zu übersetzen. Nicht „wir brauchen bessere Endpoint-Detection-and-Response-Capabilities.“ Sondern „ohne diese Investition schauen wir auf eine 40%ige Chance eines geschäftsstörenden Incidents in den nächsten 18 Monaten, basierend auf dem, was wir bei ähnlichen Unternehmen in unserer Branche sehen.“

Zeigt ihnen die Rechnung. Die Kosten der Prävention gegen die Kosten, mit einem Incident umzugehen. Berücksichtigt nicht nur die direkten Kosten (Incident Response, regulatorische Strafen, System-Recovery), sondern auch die indirekten (verlorene Produktivität, Kundenabwanderung, verzögerte Produkteinführungen).

Meistens, wenn die Führung die echten Zahlen sieht, merkt sie, dass Security-Ausgaben zu kürzen tatsächlich die teurere Option ist.

Das Fazit (weil jemand immer fragt)

Könnt ihr Security-Ausgaben optimieren und dabei resilient bleiben? Absolut.

Wird es einige schwere Entscheidungen und kreatives Denken erfordern? Definitiv.

Solltet ihr in Panik geraten und alles zusammenstreichen, wenn die Budgets knapp werden? Nein. So landet ihr dabei, viel mehr Geld auszugeben, um mit dem unvermeidlichen Incident umzugehen.

Die Unternehmen, mit denen wir arbeiten und die das gut handhaben, machen alle dasselbe: Sie werden richtig klar darüber, was sie schützen, vor wem sie es schützen und wie „gut genug“ für ihre spezifische Situation aussieht.

Dann bauen sie Security-Programme, die zu ihrem Budget passen, nicht andersherum.

Und ehrlich gesagt? Manchmal sind diese „gut genug“-Programme effektiver als die vergoldeten Lösungen, die sie ersetzt haben. Weil sie für die Realität designt sind, nicht für eine perfekte Welt, in der Budget-Einschränkungen nicht existieren.

Wenn ihr gerade dieses Gespräch in eurem Unternehmen führt… ihr seid nicht allein. Und es ist definitiv lösbar. Versucht es nur nicht zu lösen, indem ihr so tut, als wären die Bedrohungen nicht real.

Begib dich mit uns auf die Reise

Unkompliziert ein Gespräch vereinbaren und erfahren, wie wir den Erfolg in der digitalen Welt in dein Unternehmen bringen.

Jetzt Gespräch planen
dienstleistungen
Youtube Linkedin
Kontaktiere uns!
Navigation
Copyright © 2025 ODCUS | Alle Rechte vorbehalten.