{"id":31761,"date":"2024-11-25T23:14:55","date_gmt":"2024-11-25T21:14:55","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?page_id=31761"},"modified":"2024-11-27T15:40:18","modified_gmt":"2024-11-27T13:40:18","slug":"it-security-economics-2024","status":"publish","type":"page","link":"https:\/\/www.kaspersky.de\/blog\/it-security-economics-2024\/","title":{"rendered":"IT Security Economics"},"content":{"rendered":"

\"\"<\/a><\/p>\n

Einleitung<\/h2>\n

Die Anforderungen an die IT-Sicherheit unterliegen einem stetigen Wandel. Mit dem Aufkommen von K\u00fcnstlicher Intelligenz (KI) sowie der zunehmenden Digitalisierung und der Cloud-Migration sind ganze Wirtschaftszweige im Umbruch. All das bringt jedoch auch Risiken mit sich, denen Entscheidungstr\u00e4ger in der IT gegen\u00fcberstehen. In diesem Bericht zum Thema IT Security Economics wird beleuchtet, wie sich dieser Wandel auf die Sicherheitsstrategien von Unternehmen jeglicher Gr\u00f6\u00dfe und Branche auswirkt.<\/p>\n

KI und die zunehmende Automatisierung ver\u00e4ndern die Art und Weise, wie Unternehmen agieren. KI bringt Innovation und Effizienz, aber auch Schwachstellen. Cyberkriminelle nutzen zunehmend KI-gesteuerte Tools, um immer raffiniertere Angriffe durchzuf\u00fchren, w\u00e4hrend automatisierte Systeme neue Einfallstore f\u00fcr Hacker bieten[1]<\/a>. IT-Teams m\u00fcssen dabei schnell reagieren: sie m\u00fcssen einerseits alle Vorteile der KI nutzen und andererseits ihre digitalen Umgebungen sch\u00fctzen. Das rasante Tempo der Digitalisierung in allen Branchen tut ein \u00dcbriges, so dass es f\u00fcr Sicherheitsteams vor allem darauf ankommt, den Bedrohungen stets einen Schritt voraus zu sein \u2013 und das in Echtzeit.<\/p>\n

Everything-as-a-Service (XaaS) und Cloud-Infrastrukturen haben dazu gef\u00fchrt, dass Unternehmen auf die Flexibilit\u00e4t und Skalierbarkeit abonnementbasierter Modelle setzen. Dieser Trend birgt jedoch auch neue Risiken. \u00d6ffentliche, private und hybride Cloud-Umgebungen erfordern eine st\u00e4ndige \u00dcberwachung, um die riesigen Datenmengen zu sch\u00fctzen, was besonders f\u00fcr kleinere Unternehmen mit begrenzten IT-Ressourcen eine Herausforderung darstellt[2]<\/a>. Aber auch gro\u00dfe Unternehmen, die mitunter mit Multi-Cloud-Umgebungen agieren, sind mit Risiken und erh\u00f6hter Komplexit\u00e4t ihrer Sicherheitsarchitektur konfrontiert. Staatliche Stellen, die h\u00e4ufig mit sensiblen Daten umgehen, m\u00fcssen diese Risiken ebenfalls adressieren und gleichzeitig daf\u00fcr sorgen, dass gesetzliche Vorschriften eingehalten werden.<\/p>\n

Die Globalisierung von Lieferketten bietet gro\u00dfe Chancen, aber auch Herausforderungen f\u00fcr die IT-Sicherheit[3]<\/a>. Globale Netzwerke sorgen f\u00fcr mehr Effizienz, bringen aber auch zus\u00e4tzliche Schwachstellen. Ein einziger Vorfall in einem Teil der Lieferkette kann Auswirkungen auf ganze Wirtschaftszweige haben, was Unternehmen weltweit zu sp\u00fcren bekommen. Unternehmen sind zunehmend bem\u00fcht, mehr Waren vor Ort zu produzieren, um die eigene Resilienz zu st\u00e4rken. Aber auch wenn sich damit globale Risiken eind\u00e4mmen lassen, sind solche lokalen Abl\u00e4ufe nicht vor zielgerichteten Cyberangriffen gefeit \u2013 insbesondere in kritischen Sektoren wie dem Gesundheitswesen, dem Energiesektor oder staatlichen Stellen.<\/p>\n

Lieferketten resilient zu gestalten, ist eine der Hauptaufgaben von IT-Sicherheitsteams. Mehr und mehr Unternehmen sind sich der Notwendigkeit einer verst\u00e4rkten Kontrolle ihrer Zulieferer bewusst. Die Pandemie hat gezeigt, wie anf\u00e4llig globale Lieferketten sein k\u00f6nnen. Das hat das Thema Cybersicherheit ins Zentrum des Interesses ger\u00fcckt. IT-Entscheidungstr\u00e4ger m\u00fcssen nicht nur den Schutz ihrer eigenen Systeme, sondern der gesamten Lieferkette sicherstellen. Hierf\u00fcr m\u00fcssen die aktuellen Sicherheitspraktiken der Anbieter auf den Pr\u00fcfstand gestellt und potenzielle Risiken ausgelotet werden; jeder Partner muss strengen Sicherheitsprotokollen folgen.<\/p>\n

In den vergangenen Jahren hat eine Reihe aufsehenerregender Cyberangriffe gezeigt, wie wichtig robuste Cybersicherheitssysteme sind. Im Jahr 2022 nahm die Hackergruppe Lapsus$ gro\u00dfe Unternehmen wie Microsoft und Okta ins Visier, verschaffte sich Zugang zu sensiblen Kundendaten und verursachte einen erheblichen Imageschaden[4]<\/a>. Im Jahr 2023 wurde Capita, ein gro\u00dfes britisches Outsourcing-Unternehmen, Opfer eines Cyberangriffs; infolgedessen waren zahlreiche Kunden im \u00f6ffentlichen und privaten Sektor betroffen. Die Kosten zur Wiederherstellung beliefen sich Sch\u00e4tzungen zufolge auf 25\u00a0Millionen Pfund[5]<\/a>.<\/p>\n

F\u00fcr kleine und mittlere Unternehmen (KMU) stellen diese Trends eine ganz besondere Herausforderung dar. Geringe Budgets und eine beschr\u00e4nkte Anzahl von IT-Mitarbeitern erschweren die Abwehr komplexer Bedrohungen, insbesondere bei KI- und Cloud-gest\u00fctzten Angriffen. Gro\u00dfunternehmen verf\u00fcgen zwar \u00fcber mehr Ressourcen und sind besser ausgestattet, m\u00fcssen daf\u00fcr aber die Sicherheit ausgedehnter Infrastrukturen an mehreren Standorten in all ihrer Komplexit\u00e4t gew\u00e4hrleisten. Auch Einrichtungen des \u00f6ffentlichen Sektors haben mit diesen Problemen zu k\u00e4mpfen, da sie kritische Infrastrukturen und sensible Informationen trotz eingeschr\u00e4nkter Mittel wirksam sch\u00fctzen m\u00fcssen.<\/p>\n

Der vorliegende Bericht geht neben einer Darstellung dieser Herausforderungen auch darauf ein, welche Ma\u00dfnahmen Unternehmen ergreifen k\u00f6nnen, um in dieser im stetigen Wandel befindlichen Sicherheitslandschaft besser bestehen zu k\u00f6nnen. Da KI, Digitalisierung und der zunehmende Trend zur Cloud den Wandel in allen Branchen weiter vorantreiben werden, m\u00fcssen Entscheidungstr\u00e4ger in der IT vorrangig auf Sicherheitsstrategien setzen, die mit diesen Megatrends Schritt halten k\u00f6nnen.<\/p>\n

Methodik<\/h2>\n

Die vorliegende Studie basiert auf Daten aus 1.985 Interviews mit Entscheidungstr\u00e4gern und IT-Sicherheitsspezialisten, die in Organisationen unterschiedlicher Gr\u00f6\u00dfe t\u00e4tig sind; von KMUs mit weniger als 500 \u00fcber solche mit 500 bis 5.000\u00a0Mitarbeitern bis hin zu Gro\u00dfunternehmen mit mehr als 5.000\u00a0Besch\u00e4ftigten. Die Umfrage wurde in 27\u00a0L\u00e4ndern der wichtigsten M\u00e4rkten, in denen Kaspersky t\u00e4tig ist, durchgef\u00fchrt. Zum Umfang geh\u00f6rt eine detaillierte Analyse der IT-Sicherheitsbudgets, des Personalbestands, der Schwachstellen und der branchenspezifischen Erkenntnisse.<\/p>\n

Haupterkenntnisse<\/h2>\n

Allgemeiner Anstieg der IT-Sicherheitsausgaben<\/h2>\n

Die Umfrage zeigt, dass die Budgets f\u00fcr IT-Sicherheit in Unternehmen jeglicher Gr\u00f6\u00dfe erh\u00f6ht wurden.<\/p>\n\n\n\n\n\n\n
Unternehmensgr\u00f6\u00dfe<\/strong><\/td>\nIT-Gesamtbudget<\/strong><\/td>\nIT-Sicherheitsbudget<\/strong><\/td>\nVerh\u00e4ltnis von IT-Sicherheit zu IT-Gesamtausgaben<\/strong><\/td>\nGeplante Erh\u00f6hung der Ausgaben f\u00fcr IT-Sicherheit*<\/strong><\/td>\n<\/tr>\n
Gro\u00dfunternehmen<\/td>\n$\u00a041,8 Mio.<\/td>\n$\u00a05,7 Mio.<\/td>\n13,6 %<\/td>\n+ 8,5 %<\/td>\n<\/tr>\n
KMG<\/td>\n$\u00a010,5 Mio.<\/td>\n$\u00a01,2 Mio.<\/td>\n11,6 %<\/td>\n+ 9,2 %<\/td>\n<\/tr>\n
KMU<\/td>\n$\u00a01,6 Mio.<\/td>\n$\u00a00,2 Mio.<\/td>\n12,5 %<\/td>\n+ 8,8 %<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

*Steigerung in den n\u00e4chsten 2\u00a0Jahren<\/p>\n

Das nahezu identische Verh\u00e4ltnis der IT-Sicherheitsausgaben \u00fcber verschiedene Unternehmensgr\u00f6\u00dfen hinweg und der prognostizierte Anstieg von fast 10 Prozent in den n\u00e4chsten zwei Jahren spiegeln die wachsende Erkenntnis wider, dass, unabh\u00e4ngig von der Unternehmensgr\u00f6\u00dfe, Cybersicherheit einen Gro\u00dfteil der insgesamt in IT investierten Summe ausmacht.<\/p>\n

Angesichts der zunehmenden Bedeutung digitaler Infrastrukturen unterstreicht dieser Trend die vorherrschende Meinung der Branche, dass Investitionen in die Sicherheit keine Ermessenssache sind, sondern unverzichtbar, um IT-Umgebungen im stetigen Wandel zu sch\u00fctzen.<\/p>\n

Kosten f\u00fcr IT-Sicherheit in KMU<\/h2>\n\n\n\n\n\n\n
Unternehmensgr\u00f6\u00dfe<\/strong><\/td>\nGesamtzahl der IT-Mitarbeiter<\/strong><\/td>\nIT-Sicherheitsexperten<\/strong><\/td>\nDurchschnittliche Anzahl von L\u00f6sungen<\/strong><\/td>\nVerh\u00e4ltnis IT-Sicherheitsexperten zu IT-Mitarbeiter insg.<\/strong><\/td>\n<\/tr>\n
Gro\u00dfunternehmen<\/td>\n105<\/td>\n23<\/td>\n15<\/td>\n21,9 %<\/td>\n<\/tr>\n
KMG<\/td>\n29<\/td>\n9<\/td>\n12<\/td>\n31 %<\/td>\n<\/tr>\n
KMU<\/td>\n12<\/td>\n4<\/td>\n9<\/td>\n33,3 %<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Trotz der Komplexit\u00e4t und des Umfangs ihrer IT-Sicherheitssysteme setzen Gro\u00dfunternehmen einen geringeren Anteil ihres gesamten IT-Personals f\u00fcr die Sicherheit ein. Das deutet darauf hin, dass die erheblichen Investitionen in fortschrittliche IT-L\u00f6sungen und Automatisierung zu gr\u00f6\u00dferen Skaleneffekten f\u00fchren, so dass der Bedarf an spezialisiertem Personal sinkt und robuste Sicherheitsfunktionen aufrechterhalten werden k\u00f6nnen.<\/p>\n

Fehlende Weiterbildung als ernsthaftes Risiko<\/h2>\n\n\n\n\n\n\n\n\n\n
IT-Sicherheitsl\u00f6sung<\/strong><\/td>\nProzentualer Anteil der Befragten, die die jeweilige L\u00f6sung nutzen (Durchschnitt aus Unternehmen aller Branchen und Gr\u00f6\u00dfen)<\/strong><\/td>\n<\/tr>\n
Endpoint Security<\/td>\n100 %<\/td>\n<\/tr>\n
Netzwerksicherheit<\/td>\n94 %<\/td>\n<\/tr>\n
Cloud Security<\/td>\n83 %<\/td>\n<\/tr>\n
Security Services<\/td>\n75 %<\/td>\n<\/tr>\n
Cybersicherheitsanalysen, Bedrohungsdaten, Reaktion und Orchestrierung<\/td>\n69 %<\/td>\n<\/tr>\n
Sicherheitsschulungen<\/td>\n53 %<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Dass 100 Prozent der Unternehmen, unabh\u00e4ngig von ihrer Gr\u00f6\u00dfe, Endpoint-Sicherheit implementiert haben und au\u00dferdem fast alle von ihnen Netzwerksicherheit (94\u00a0Prozent), Cloud-Sicherheit (83\u00a0Prozent) und Security Services (75\u00a0Prozent) nutzen, zeigt, dass Unternehmen verstehen, wie wichtig der Schutz ihrer zentralen digitalen Infrastruktur ist.<\/p>\n

Der deutlich geringere Fokus auf Weiterbildung im Bereich Sicherheit (53\u00a0Prozent) deutet jedoch darauf hin, dass viele Unternehmen entscheidende Sicherheitsma\u00dfnahmen \u00fcbersehen. Angesichts der Tatsache, dass Social Engineering und menschliches Versagen nach wie vor zu den gr\u00f6\u00dften Sicherheitsbedrohungen geh\u00f6ren, ist das fehlende Weiterbildungsangebot ein nicht zu untersch\u00e4tzender Schwachpunkt. Selbst die fortschrittlichsten technischen Schutzma\u00dfnahmen werden konterkariert, wenn aufgrund mangelnden Sicherheitsbewusstseins einfache, vermeidbare Fehler gemacht werden.<\/p>\n

\u00dcberblick \u00fcber Vorf\u00e4lle<\/h2>\n

\"\"<\/a><\/p>\n

Trotz Millionenausgaben f\u00fcr IT-Sicherheit und eine nahezu fl\u00e4chendeckende Implementierung von Netzwerksicherheit in Unternehmen jeglicher Gr\u00f6\u00dfe verzeichnet die \u00fcberw\u00e4ltigende Mehrheit weiterhin Netzwerkangriffe. Am meisten Angriffe verzeichnen dabei Gro\u00dfunternehmen (97\u00a0Prozent), gefolgt von kleinen und mittleren Gro\u00dfunternehmen (88\u00a0Prozent) und KMU (83\u00a0Prozent).<\/p>\n

Die hohe Zahl an Angriffen, selbst bei Unternehmen mit erheblichen Investitionen in die Sicherheit, verdeutlicht die anhaltende und sich stetig weiterentwickelnde Bedrohungslage. Die Studie zeigt, dass der Schutz der Netzwerkumgebung zwar nach wie vor unerl\u00e4sslich ist, Angreifer jedoch immer wieder neue und raffinierte Wege finden, um in Systeme einzudringen. H\u00e4ufig nutzen sie dabei Schwachstellen aus, die sich mit herk\u00f6mmlichen Mitteln nicht g\u00e4nzlich ausr\u00e4umen lassen.<\/p>\n

Vor allem KMU sind f\u00fcr Datendiebstahl \u00fcber \u00f6ffentliche Cloud-Dienste anf\u00e4llig: 49\u00a0Prozent der KMU melden solche Vorf\u00e4lle, verglichen mit 19\u00a0Prozent er Gro\u00dfunternehmen. Das mag daran liegen, dass KMU weniger strenge Richtlinien zur Nutzung von \u00f6ffentlichen Cloud-Diensten haben, so dass Mitarbeiter ungesch\u00fctzte Umgebungen nutzen, um sensible Daten abzurufen oder zu speichern.<\/p>\n

Dar\u00fcber hinaus verlassen sich KMU eher auf Public-Cloud-L\u00f6sungen statt in die eigene Infrastruktur zu investieren, w\u00e4hrend Gro\u00dfunternehmen mehr Wert auf die verbesserte Kontrolle \u00fcber ihre Daten legen, die firmeninterne L\u00f6sungen bieten. Diese Abh\u00e4ngigkeit von Drittanbietern kann ohne angemessene Kontrolle das Risiko von Datenmissbrauch und -diebstahl erh\u00f6hen.<\/p>\n

Zitat<\/strong><\/p>\n

Ein weiterer wichtiger Faktor, der gerade bei kleineren Unternehmen zu Datenpannen f\u00fchrt, ist der Faktor Mensch. Fehler oder die schlichte Gedankenlosigkeit von Mitarbeitern, sei es aufgrund mangelnden Sicherheitsbewusstseins oder fehlender Weiterbildungsangebote, sind die Hauptursache f\u00fcr Sicherheitsverletzungen in Unternehmen[6]<\/a>.<\/p>\n

Da nur 53\u00a0Prozent der Unternehmen in Sicherheitsschulungen investieren, sind viele von ihnen unzureichend von Social-Engineering-Angriffen, Phishing und anderen Formen von Bedrohungen gesch\u00fctzt, die auf menschliches Fehlverhalten zur\u00fcckzuf\u00fchren sind. Verst\u00e4rkte Vermittlung von Best Practices k\u00f6nnte die Zahl der Vorf\u00e4lle aufgrund vermeidbarer Fehler erheblich verringern.<\/p>\n

<\/a>IT-Sicherheit nach Gr\u00f6\u00dfe<\/h2>\n

Gro\u00dfunternehmen<\/h2>\n\n\n\n\n\n\n\n
IT-Budget<\/td>\n$\u00a041,8 Mio.<\/td>\n<\/tr>\n
Ausgaben f\u00fcr IT-Sicherheit<\/td>\n$\u00a05,7 Mio.<\/td>\n<\/tr>\n
Steigerung der IT-Ausgaben \u00fcber zwei Jahre<\/td>\n+8,5 %<\/td>\n<\/tr>\n
Durchschnittliche Anzahl an Vorf\u00e4llen<\/td>\n12<\/td>\n<\/tr>\n
Durchschnittliche Unternehmensverluste<\/td>\n$\u00a06,2 Mio. (das 1,1-Fache des Sicherheitsbudgets)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

KMG<\/h2>\n\n\n\n\n\n\n\n
IT-Budget<\/td>\n$10,5<\/td>\n<\/tr>\n
Ausgaben f\u00fcr IT-Sicherheit<\/td>\n$\u00a01,2 Mio.<\/td>\n<\/tr>\n
Steigerung der IT-Ausgaben \u00fcber zwei Jahre<\/td>\n+9,2 %<\/td>\n<\/tr>\n
Durchschnittliche Anzahl an Vorf\u00e4llen<\/td>\n13<\/td>\n<\/tr>\n
Durchschnittliche Unternehmensverluste<\/td>\n$\u00a01,7 Mio. (das 1,4-Fache des Sicherheitsbudgets)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

KMU<\/h2>\n\n\n\n\n\n\n\n
IT-Budget<\/td>\n$\u00a01,6 Mio.<\/td>\n<\/tr>\n
Ausgaben f\u00fcr IT-Sicherheit<\/td>\n$\u00a00,2 Mio.<\/td>\n<\/tr>\n
Steigerung der IT-Ausgaben \u00fcber zwei Jahre<\/td>\n+8,8 %<\/td>\n<\/tr>\n
Durchschnittliche Anzahl an Vorf\u00e4llen<\/td>\n16<\/td>\n<\/tr>\n
Durchschnittliche Unternehmensverluste<\/td>\n$\u00a00,3 Mio. (das 1,5-Fache des Sicherheitsbudgets)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Trotz gr\u00f6\u00dferer Ressourcen und fortschrittlicher Sicherheitsinfrastrukturen sind Gro\u00dfunternehmen aufgrund ihrer Gr\u00f6\u00dfe und Komplexit\u00e4t anf\u00e4lliger f\u00fcr teure Sicherheitsverst\u00f6\u00dfe. Sie sind zwar oft besser aufgestellt, wenn es um die schnelle Erkennung von Vorf\u00e4llen geht, allerdings kann es Stunden dauern, bis sie auf diese Bedrohungen reagieren und diese eind\u00e4mmen k\u00f6nnen, was deutlich macht, wie schwierig sich die Verwaltung weitl\u00e4ufiger, komplexer IT-Umgebungen gestaltet.<\/p>\n

Was die Auswirkungen auf das Budget betrifft, sind KMU am schwersten betroffen. Ihnen fehlen oft solide Richtlinien und Verfahren, so dass ihre Cybersicherheitssysteme Vorf\u00e4llen wenig entgegenzusetzen haben, die auf Mitarbeiterverhalten, Fehlkonfigurationen der \u00f6ffentlichen Cloud und die Vergabe zu hoher Berechtigungen zur\u00fcckzuf\u00fchren sind.<\/p>\n

Zitat<\/strong><\/p>\n

Angesichts des zunehmenden Umstiegs auf Cloud und Fernarbeit bleiben unzureichende Sicherheitsrichtlinien und der menschliche Faktor kritische Bereiche, gerade f\u00fcr diese kleineren Unternehmen. Vor diesem Hintergrund sind ma\u00dfgeschneiderte Sicherheitsstrategien unverzichtbar, die auf die spezifischen Risiken ausgerichtet sind, denen Unternehmen je nach Gr\u00f6\u00dfe und Ressourcen ausgesetzt sind.<\/p>\n

Erkenntnisse nach Branche<\/h2>\n

\u00d6ffentlicher Dienst (staatliche Stellen, Bildung, Verteidigung)<\/h2>\n