Cybersicherheits-Budget: Diese Security-Kostenfallen sollten Sie vermeiden

Foto: Marko Aliaksandr – shutterstock.com

Sicherheitsinvestitionen können auch Kostenfallen mit sich bringen, die nicht immer offensichtlich sind. Im Laufe der Zeit werden dadurch kostbare Mittel belastet, ohne dass es jemals bemerkt wird. Auf diese Kostenfallen sollten CISOs achten:

CISOs kämpfen mit Gebührenstrukturen

Viele CISOs kämpfen mit den komplizierten Gebührenstrukturen, die viele IT-Sicherheitsanbieter für ihre Produkte vorsehen. “Viele Produkte haben heute sehr komplexe Gebührenstrukturen, und während die Basisversion einer Lösung relativ attraktiv aussehen mag, ist es nicht ungewöhnlich, dass für anspruchsvollere Funktionen – oft solche, die der CISO benötigt – ein Aufpreis berechnet wird”, erklärt Brain Honan, Cybersecurity-Berater und Mitglied der Beratungsgruppe der European Union Agency for Cybersecurity (ENISA), gegenüber CSO.

Dies kann bei Lösungen für das Sicherheitsinformations- und Ereignis-Management (SIEM) oder das Security Operations Center (SOC) vorkommen, bei denen der anfängliche Kauf des Tools oder der Plattform relativ günstig ist. “Doch wenn die Menge der gespeicherten Daten, der getrackten Ereignisse, des analysierten Datenverkehrs oder der überwachten Endpunkte zunimmt, kann es zu erheblichen Preissprüngen kommen”, fügt Honan hinzu.

Diese zusätzlichen Kosten für Security-Produkte und -Services können auch Lizenz-, Wartungs- und Supportkosten umfassen. “Ich habe schon von CISOs gehört, die sich um Sicherheitsfunktionen wie SOC und Infrastruktur kümmerten und feststellten, dass sie auf Support- und Wartungskosten sitzengeblieben sind, die eigentlich in den Zuständigkeitsbereich des CIO/CTO fallen sollten, insbesondere wenn die Budgetlinien eng miteinander verbunden sind”, mahnt Paul Watts, Analyst beim Information Security Forum (ISF).

Prüfen Sie die Kosten Dritter sorgfältig

Bevor sich CISOs für den Kauf eines Cybersicherheitsdienstes oder die Zusammenarbeit mit einem Dritten entscheiden, sollten sie alle potenziellen Zusatzkosten, die mit der Nutzung verbunden sind, erfragen und sorgfältig bewerten. “Hier geht es darum, die Strategien zur Einbindung von Anbietern und zur Verhandlung zu verfeinern, um den niedrigsten angemessenen Preis für Produkte und Dienstleistungen zu zahlen”, erläutert Mike Manrod, CISO bei Grand Canyon Education.

Insbesondere dann, wenn es sich bei einem Produkt um eine Neuanschaffung, eine neue Geschäftsbeziehung und/oder ein Szenario handelt, bei dem die Kosten mehr mit geistigem Eigentum als mit physischen Produkten zu tun haben, empfiehlt der Experte einen größeren Verhandlungsspielraum.

“Bei Dienstleistungen kommt es darauf an, dass bei jedem neue Produkt ein Mitarbeiter zur Unterstützung und der Lösung der Probleme hinzugezogen wird”, so Manrod.”Sobald dies geschehen ist, lassen Sie sie einen Ersatzmann ausbilden und schaffen Sie eine Kultur der Dokumentation und des nachhaltigen Wissenstransfers.” Dem IT-Sicherheitschef zufolge lässt sich dadurch eine Menge Geld sparen.

Laut Manrod ist es zudem hilfreich, günstigere Preise für neue IT-Sicherheitsprodukte auszuhandeln. “Als beispielsweise einige Anbieter von Remote-Browser-Isolierung absurde Preise anboten, erklärten wir im Detail, wie wir unsere eigene Lösung über ein GitHub-Projekt erstellen könnten, um sie für andere kostenlos zur Verfügung zu stellen. Dabei würden wir die gleichen Investitionsstunden aufwenden, die sie verlangen. Das war ein sehr deutlicher Realitätscheck für die Anbieter und die Preise wurden vernünftiger”, sagt er.

Lesetipp: So holen Sie das Beste aus Ihrem Security-Budget heraus

Interne Betriebskosten werden oft übersehen

Die komplizierten Kostenstrukturen von IT-Sicherheitsprodukten und -dienstleistungen sind nur ein Teil des Puzzles der potenziellen versteckten Kosten. Ein weiterer Punkt sind die internen Kosten für den effektiven Betrieb, die oft übersehen werden. “Nehmen wir SIEM als Beispiel: Es ist zweifellos ein wirksames Instrument, aber es muss eine große Menge an Daten verwaltet und für die Einhaltung von Vorschriften aufbewahrt werden, was einen erheblichen Speicher- und Zeitaufwand erfordert”, erklärt Dave Allan, Mitglied des CREST UK Council, gegenüber CSO.

Es sei auch wichtig, Dinge wie die Schulung von Mitarbeitern, die Wartung, das Hinzufügen von Benutzern und den Umgang mit Fehlalarmen zu berücksichtigen, “alles Dinge, die in der anfänglichen Kostenanalyse möglicherweise nicht enthalten sind”, ergänzt Allan.

Als weitere Beispiele nennt der Experte Penetrationstests und Open-Source-Lösungen. Beim Einsatz von Penetrationstests sollten auch die dafür intern benötigte Zeit und Ressourcen berücksichtigt werden. Dazu zählten auch Kosten, die dem Unternehmen durch mögliche Ausfallzeiten entstehen, die Zeit, die für die Analyse der Berichte benötigt wird, und die Kosten für die Implementierung der erforderlichen Sicherheitsmaßnahmen, so Allan.

Open-Source-Lösungen würden zwar oft als kostengünstige Alternative zu kommerziellen Tools angepriesen, führten aber nicht unbedingt zu Kosteneinsparungen für das Cybersicherheitsteam, fügt ENISA-Experte Honan hinzu. “Die laufenden Kosten für die Implementierung, Verwaltung, Integration und Unterstützung der Lösung können oft zu unerwarteten Kosten für die Rekrutierung von Personen mit den erforderlichen Fähigkeiten oder für die Inanspruchnahme von externem Fachwissen führen”.

Unnötige Dienste und Doppelfunktionen belasten die Budgets

Sich überschneidende Dienste und Doppelfunktionen sind ein weiterer häufiger Grund für überhöhte Ausgaben. “Für diese doppelten Security-Features zu bezahlen, kann finanziell ineffizient sein und das Budget belasten”, so Nick Trueman, CISO beim Cloud-Service-Anbieter Nasstar. Dabei könne es auch zu Integrationsproblemen kommen, da die Koordination und Integration mehrerer Anbieter mit ähnlichen Funktionen zu Komplexität und Interoperabilitätsproblemen führe, fügt er hinzu.

CISOs sollten eine umfassende Überprüfung durchführen und alle aktuellen IT-Sicherheitsanbieter und die von ihnen angebotenen Dienste identifizieren. “Beurteilen Sie deren Effektivität und ob sie mit den Sicherheitsanforderungen des Unternehmens übereinstimmen”, sagt Trueman. Wenn doppelte Funktionen festgestellt werden, sollte eine Konsolidierung der Dienste unter einem einzigen Anbieter in Betracht gezogen oder mit den Anbietern verhandelt werden, um Redundanzen zu beseitigen. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.