CISOs erwarten höhere Security-Budgets wegen Corona

Gute Nachrichten vorneweg: CISOs und Security-Verantwortlichen erfahren von ihrer Geschäftsführung immer mehr Unterstützung, wenn es um Investitionen in neue Cybersicherheitsmaßnahmen geht. So bestätigt die bedeutende Mehrheit von ihnen, nämlich 90 Prozent, dass ihre Vorgesetzten die Notwendigkeit neuer Ausgaben mittlerweile voll und ganz erkennen. Mehr als acht von zehn geben zudem an, dass das von ihnen empfohlene Investitionsvolumen von der Geschäftsführung grundsätzlich genehmigt wird. Dies bedeutet, dass Sicherheitsexperten längst nicht mehr so intensiv um mehr Budget kämpfen müssen wie noch vor ein paar Jahren.

Security-Manager erwarten größere Budgets als Reaktion auf COVID-19

Wie die Befragung von mehr als 900 Sicherheitsentscheidern weltweit zeigt, spielt dabei auch die Corona-Krise eine Rolle. Insbesondere die unerwartete Zunahme von Remote-Arbeit hat die Verantwortlichen in Unternehmen vor große Herausforderungen gestellt und neue Strategien und Standards in Sachen Cybersicherheit und Datenschutz gefordert. Dies hat direkte Auswirkungen auf die geplanten Ausgaben im kommenden Jahr und so sind rund 58 Prozent der befragten Security-Manager überzeugt, dass sie im nächsten Geschäftsjahr bedingt durch die Veränderungen durch COVID-19 über ein größeres Sicherheitsbudgets verfügen werden als in diesem Jahr.

Die Angst vor Bußgeldern ist Hauptmotivator

Doch welche Kriterien spielen bei der Entscheidung für oder gegen neue Security-Investitionen eine wichtige Rolle und welche Argumente überzeugen Vorgesetzte besonders? Auch auf diese Fragen liefert die neue Thycotic-Studie Antworten. Gefragt nach dem überzeugendsten Argument, um die Zustimmung der Vorgesetzten für weiteren Cybersicherheitsausgaben zu erlangen, nannten die Befragten an erster Stelle Hinweise auf mögliche Compliance-Verstöße und drohende Bußgelder. Laut 23 Prozent (in Deutschland allein sogar 33 %) ist die Androhung von bzw. Angst vor potenziellen Strafzahlungen die überzeugendste Strategie in den Verhandlungen. Diese Furcht ist nicht unbegründet, bedenkt man, dass sich allein die finanziellen Sanktionen für DSGVO-Verstöße rund zweieinhalb Jahre nach Inkrafttreten der Datenschutz-Grundverordnung auf insgesamt über 177 Millionen Euro belaufen.

Darüber hinaus sind es vor allem konkrete Sicherheitsvorfälle im Unternehmen (49 %) und daraus resultierend Datenlecks, Reputationsschäden und finanzielle Verluste aber auch nicht bestandene Audits (28 %), die Vorstände und Geschäftsführung dazu bewegen, Budget für neue Security-Projekte bereitzustellen.

Die Security-Agenda 2021: Neue Produkte und ein Umzug in die Cloud

Wie sie das erhöhte IT-Budget in den kommenden zwölf Monaten nutzen wollen, auch hierfür haben die befragen IT-Sicherheitsentscheider schon konkrete Vorstellungen: So planen 85 Prozent, im kommenden Jahr weitere Sicherheitslösungen anzuschaffen und 50 Prozent werden in die Cloud umziehen. Letzteres zeigt, dass immer mehr Unternehmen einen Cloud-first-Ansatz wählen, um von mehr Flexibilität und Hochverfügbarkeit zu profitieren und gleichzeitig die Verwaltung und Absicherung von Remote-arbeitenden Mitarbeitern zu vereinfachen.

Fachkräftemangel führt dazu, dass Investitionen nicht voll ausgenutzt werden

Doch die Studie bringt auch Nachholbedarf und Herausforderungen zu Tage. Dies betrifft einerseits die Ausschöpfung der Sicherheitslösungen. Denn trotz der zu erwartenden höheren Ausgaben im Sicherheits-Bereich werden nicht alle Investitionen den Mehrwert bringen, den man sich von ihnen erhofft. So sind die Befragten mehrheitlich davon überzeugt, dass 50 Prozent der neuen Cybersicherheitslösungen nie voll ausgenützt werden. An eine zufriedenstellende Ausschöpfung von mehr als 80 Prozent glauben sogar nur neun von hundert Befragten.

Ein weiterer Kritikpunkt ist die Tatsache, dass CISOs neue Innovationen im Security-Bereich nur langsam vorantreiben. So zeigt die Befragung, dass Kaufentscheidungen in den Security-Teams heutzutage vor allem auf dem Wunsch basieren, mit Branchenkollegen und Wettbewerbern Schritt zu halten. So geben zwar dreiviertel der Befragten an, dass sie innovative neue Produkte ausprobieren wollen, in der Praxis, d.h. bei der Auswahl neuer Lösungen und Services, orientieren sie sich jedoch meist an ihren Branchenkollegen, wobei fast 50 Prozent von ihnen Kaufentscheidungen mit denen anderer Unternehmen ihres Sektors vergleicht. Dies mag taktisch auf den ersten Blick klug sein, hindert die Teams jedoch daran, neue Technologien einzusetzen und innerhalb ihrer Branche Innovationen zu forcieren.

Vor ersteres Problem lässt sich mit dem allgegenwärtigen Fachkräftemangel erklären. Denn wenn Unternehmen nicht über ausreichende Ressourcen verfügen, können sie neue Lösungen oder Technologien nicht voll auszunutzen. Gleichzeitig könnte dies ein Indiz dafür sein, dass viele Sicherheitslösungen noch immer zu komplex in der Installation und daher schwierig in der täglichen Anwendung sind.