Als ich meinen ersten CISO-Job vor 22 Jahren beim größten Unternehmen in Rüsselsheim antrat, da lag das Security Budget bei ca. 1,8 – 2,2% vom IT Budget. Bei einem IT Budget von 30 Millionen pro Jahr hatte ich also 600.000 für einige Werke, Hauptverwaltung, Bank, und mehr. Man gab mir freiwillig 750.000. Das war das reguläre Budget, das einem die Finanz noch kürzte, denn es hieß oft „wos braache mer Firewalls wemmer ka Produkte verkawe“ und wieder stand die Produktion wegen Viren.
20 Jahre später das gleiche Problem. Nicht nur in Rüsselsheim, sondern überall ist das der Fall. Es werden immer noch viel zu niedrige Security Budgets eingeplant oder gefordert. CISOs, die neu ins Unternehmen kommen werden oft nicht gefragt, was Sie benötigen und wie sie die Forderung validieren wollen, sondern werden vor Fakten gesetzt. Ich habe Ihnen einmal 3 Mio zurückgestellt, das sollte fürs Erste reichen. Die meisten CISO berichten immer noch an den CIO, was ein großer Fehler ist. CISO und CIO ginge es besser, wenn der CISO an den Vorstand oder die GF berichtet. Die 3 Mio schaffen unwiderruflich Fakten bei der Finanz. Im Folgejahr dann 6 Mio zu verlangen, weil man sieht es reicht hinten und vorne nicht, macht sehr oft die Finanz und der CFO/GF nicht mit. Das heißt man benötigt mindestens drei Jahre um evt. Lücken zu schließen, die schon da sind, Geschweige denn neuen Schutz einzurichten, für Dinge, vor denen man sich neu schützen müsste, bzw. gar nicht zu denken an Dinge die sagen wir „fancy“ sind.
IT-Sicherheit ist nicht nur eine Abwehr. IT-Sicherheit bedeutet auch Angriff, wo notwendig, und legal. Abwehrprodukte kosten, Angriffsprodukte auch, und da dieser Markt neu ist, kosten sie mehr als Abwehrprodukte. Unternehmen, die eine kritis-relevante Infrastruktur haben müssen ein SOC betreiben, bzw. teils betreiben lassen. Im Safetybereich kann man nicht alles outsourcen, also fallen höhere Kosten an. Klärwerke, Wasseraufbereitung und Wasserwerke, die sind fast alle meilenweit weg von einem Security Operations Center. Das kümmert scheinbar den Leiter nicht, wenn so ein Ding mal ausfällt und Haushalte kein Wasser bekommen. Stromgrids, Gasversorger, Nahrungsmittelhersteller und -händler, und viele mehr.
Man wurstelt sich hin zur Sicherheit. Das können Sie vergleichen mit dem Bau eines Atomkraftwerkes mit ganz wenig Schutz, bei dem man über die Jahre versucht die Sicherheit zu verbessern, wie gerade Geld verfügbar ist.
Ein angemessenes IT-Sicherheitsbudget fängt heute bei einem kleinen Mittelständler mit einer 2 an und hört mit einer Null auf. 20%. Zumindest einmal über den Zyklus von 3 Jahren. Unter dem Wert kann die IT auch operieren, aber in Zukunft mit massiv mehr Ausfällen, und hier ist die Rechnung einfach, was billiger ist?
Alleine die Compliance und deren Dokumentation frisst heute schon massiv IT Budgets auf. Was glauben Sie warum die Dokumentation so schlecht in den Unternehmen ist? Erst wenn die Revision wieder vorbei kommt, wird Geld in die Hand genommen um auch hier aufzuräumen und nachzubessern. Aber das Geld ist immer nur angemessen zum Schrei. Es kommt einem vor als würde nur Schuld beglichen mit dem Budget aber nichts investiert.
In Zukunft wird das alles noch schlimmer. Denn hatte man keinen ausreichenden Schutz gegen dies und das, und organisierte sich mit einer Versicherung, werden die einem heute etwas husten. Zu hoch die Schäden der Ausfälle. Bald kann man sich diese Versicherung nicht mehr leisten, aus Kollektivschuld. Versicherungen schauen sich immer genauer an, wen sie versichern. Die MunichRe als eine der Rückversicherer macht schon lange Kampagnen dazu.
Bei den Aufgaben, die IT-Sicherheit heute hat, sind die 20% und mehr angemessen. Und man kann das nicht mehr so sehen, wie viele…Investieren in die Sicherheit für den Fall der Fälle, dann doch lieber weniger als mehr, ist ja wie eine Versicherung. Der Gedanke hat ausgedient. Sicherheit bietet so viel Qualität für User, ist immer präsent, muss einfach und schnell und am besten nicht sichtbar sein. Zumindest werden diese Merkmal von den Arbeitnehmern besser angenommen.
CISO, CIO und CFO bzw. die GF müssen sich besser absprechen und das zu einem zu diskutierenden Thema machen, was gut vorbereitet sein muss. Dann fließt das Geld auch, denn es ist nachhaltig investiert.
