Hohe Inflation, Energiekrise, steigende Kosten, Rezession – die Meldungen zu den wirtschaftlichen Entwicklungen überschlagen sich derzeit. Unternehmen suchen nach Möglichkeiten, Kosten zu sparen und Budgets werden gekürzt. Das hat auch Auswirkungen auf die IT-Sicherheit. Zum Stellenwert der IT-Sicherheit in der Krise und worauf Unternehmen jetzt Acht geben sollten.
Die Auswirkungen der Wirtschaftskrise auf Unternehmen
Bereits seit Juli 2021 befindet sich die Inflationsrate in Deutschland auf einem Rekordniveau. Im vergangenen Jahr 2022 lag sie im Schnitt bei 7,9 Prozent – in den Monaten September bis November krisen- und kriegsbedingt sogar deutlich höher bei über 10 Prozent. Das vorläufige Ergebnis für Januar 2023 liegt bei 8,7 Prozent. Für Verbraucher machten sich diese Preissteigerungen vor allem bei Energie- und Lebensmittelkosten bemerkbar.
Für Unternehmen hat das mehrere Folgen: Steigende Kosten, sinkende Kauf- und Investitionsbereitschaft bei Kunden und steigende Gehälter für Mitarbeitende. Die Marktsituation hat sich geändert und Unternehmen suchen nach Möglichkeiten, um ihre Preise zu steigern und Kosten einzusparen. Das bedeutet zum Beispiel, dass Budgets für verschiedene Unternehmensbereiche reduziert werden – unter anderem für die IT-Sicherheit.
Stellenwert der IT-Sicherheit in der Krise
In wirtschaftlich schlechten Zeiten sinken die Ausgaben für die IT-Sicherheit parallel zur Gesamtentwicklung der Kosten. Häufig werden diese mehr unter dem Kosten- statt dem Nutzenfaktor betrachtet. Dabei sollte der Stellenwert der IT- und Informationssicherheit in der Krise eigentlich größer als ohnehin schon sein.
Verschiedene Risikofaktoren spielen hierbei eine Rolle: Zum einen wird in Krisen die diffuse Gefahr vor Cyberangriffen sehr konkret. Im Kontext des Ukrainekrieges sind insbesondere KRITIS-Unternehmen im Visier von Cyberkriminellen, sodass das BSI vor einer erhöhten Bedrohungslage warnt. Aber auch die Angriffe auf kleine und mittelständische Unternehmen haben im vergangenen Jahr zugenommen: Im Jahr 2022 zielten 61 Prozent aller Cyberangriffe weltweit auf kleine Unternehmen.
Trotz dieser erhöhten Gefahrenlage sorgt der generelle Kostendruck dafür, dass Unternehmen im Bereich der IT-Sicherheit sparen. Zu wenig Problembewusstsein bei der Geschäftsführung oder fehlende Abläufe und Prozesse für die Bewertung und Vorsorge von Risiken können Gründe dafür sein.
Verunsicherte Mitarbeiter als Risikofaktor
Ein weiterer Faktor, der IT- und Informationssicherheit insbesondere in Krisen so wichtig macht, sind die Mitarbeitenden. Generell sind interne, menschliche Fehler oder Verstöße der Hauptgrund für Sicherheitseinbrüche. Laut einer aktuellen Studie von GData haben fast 34 Prozent der deutschen Angestellten nur geringe oder sehr geringe Kompetenzen im Bereich IT-Sicherheit und gefährden damit die Sicherheit ihres Unternehmens.
Insbesondere in der Krise steigt dieses Risiko zusätzlich durch unsichere oder unzufriedene Mitarbeitende. Experten schätzen, dass über die Hälfte der entlassenen Mitarbeiter:innen vertrauliche Daten ihres Arbeitgebers mitnehmen (aus Sorge vor der eigenen beruflichen Zukunft oder aus Rache). Fast noch gefährlicher als die bewusste Spionage oder Datenklau sind aber Unwissenheit, Unaufmerksamkeit und Unsicherheit bei Mitarbeitenden, die zu Fehlern mit weitreichenden Folgen führen.
Finanzielle Sorgen, sinkender Lebensstandard, Inflation, höhere Zinssätze etc. fordern Mitarbeitende persönlich emotional heraus, was dazu führt, dass sie bei der Arbeit eher abgelenkt oder unzufrieden sind und die Wahrscheinlichkeit für Fehler steigt. Cyberkriminelle wissen um diesen Effekt und nutzen ihn gezielt mit Angriffen und Manipulation aus.
IT-Sicherheit trotz sinkender Budgets
Um diese Risiken einzugrenzen, sollte man sie zunächst einmal überblicken und konkret für das eigene Unternehmen bewerten. Grundlage dafür ist eine Risikoanalyse. Diese eignet sich nicht nur dafür, um daraus den Mindest-Schutzbedarf und die Sicherheitsanforderungen abzuleiten, sondern auch, um Möglichkeiten der Kostenersparnis zu erkennen. Eine Bestandsaufnahme hilft dabei, das begrenzte Budget zielsicher und angemessen an den richtigen Stellen zu investieren.
Die Krise ist somit ein guter Zeitpunkt für eine grundsätzliche Prüfung. Was ist gesetzlich erforderlich, wo liegen beim Unternehmen individuelle Schwerpunkte und was ist wirtschaftlich angemessen? Eine Möglichkeit liegt zum Beispiel auch darin, bestimmte Bereiche zur Kostenersparnis auszulagern – allerdings nur unter der Voraussetzung, dass dies in einem ganzheitlichen Sicherheitskonzept des Unternehmens eingegliedert ist, denn die Verantwortung für die IT- und Informationssicherheit liegt dennoch bei dem Unternehmen und kann nicht an Dienstleister ausgelagert werden.
Ist das Mindestmaß für Sicherheitsanforderungen auf Basis einer Risikoanalyse festgelegt, können die notwendigen Maßnahmen zur Risikovorsorge und -minimierung gezielt umgesetzt und das Budget kostenoptimiert investiert werden. Das bedeutet beispielsweise auch, dass bei Neuanschaffungen direkt die Sicherheitseigenschaften berücksichtigt werden – denn das frühzeitige Erkennen und Absichern von möglichen Sicherheitslücken ist kosteneffektiver als ein nachträgliches Beheben.
Fazit
Eine komplexe Mischung aus verschiedenen Faktoren wie eine gestiegene Gefahrenlage, Kostendruck und unsichere Mitarbeitende sorgt dafür, dass der IT- und Informationssicherheit in Unternehmen gerade in wirtschaftlich schlechten Zeiten eine hohe Bedeutung beizumessen ist. Es ist daher wichtig, den eigenen Sicherheitsbedarf und die notwendigen Maßnahmen zu kennen und kostenoptimiert umzusetzen. Grundlage hierfür ist eine Risikoanalyse.
So können die individuellen Risiken erkannt, bewertet und minimiert und dabei das Budget zielgerichtet in die passenden Technologien und Mitarbeiterschulungen investiert werden. Letztendlich ist es wichtig, dass Unternehmen die Bedeutung der IT-Sicherheit erkennen und die notwendigen Maßnahmen ergreifen, um ihre Daten und Netzwerke zu schützen. Durch die Erhöhung der IT- und Informationssicherheit können Unternehmen die Wirtschaftskrise besser überstehen und ihren Geschäftserfolg sichern.
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security