ESG-Prognose: So werden CISOs 2023 ihr Budget verplanen

Foto: Andrey_Popov – shutterstock.com

Um die Prioritäten für Technologieausgaben in den nächsten zwölf bis 18 Monaten bewerten zu können, hat die Enterprise Strategy Group (ESG) 742 IT-Entscheider befragt. Die Teilnehmer an der Studie arbeiten in mittelständischen Unternehmen mit 100 bis 999 Mitarbeitern sowie in Enterprise-Unternehmen mit 1.000 oder mehr Mitarbeitern in Nordamerika und Westeuropa.

Lesetipp: 6 mutige Security-Prognosen für 2023

Ausgaben für Cybersicherheit steigen

Laut ESG werden 53 Prozent der Unternehmen ihre IT-Ausgaben im Jahr 2023 erhöhen. 30 Prozent der Befragten geben an, dass ihre IT-Ausgaben unverändert bleiben werden und nur 18 Prozent prognostizieren einen Rückgang des Budgets für die IT. Was die Cybersicherheit betrifft, planen 65 Prozent der Unternehmen die Ausgaben in diesem Jahr zu erhöhen. Aus diesen Zahlen lässt sich schließen, dass auch Unternehmen mit stagnierenden oder sinkenden IT-Budgets die Ausgaben für die Cybersicherheit erhöhen werden. Dies wird durch die Tatsache unterstützt, dass 40 Prozent der Befragten angeben, dass die Verbesserung der IT-Sicherheit die wichtigste Rechtfertigung für Investitionen im Jahr 2023 ist.

Nichtsdestotrotz gaben 70 Prozent an, dass auch Kürzungen oder das Einfrieren von Budgets im Laufe des Jahres möglich oder sogar wahrscheinlich sind. Wenn es zu Kürzungen kommt, planen die IT- und Sicherheitsexperten mit Einstellungsstopps, Projektverzögerungen und einer strengeren Überprüfung ihrer Anbieter und Dienstleister. Diese positiven Prognosen für die Ausgabensteigerung sollten etwas nüchterner betrachtet werden, da die Entscheider gewillt sind, notfalls auf die Bremse zu treten. Basierend auf den Daten der ESG kann davon ausgegangen werden, dass

• CISOs sich nach innen konzentrieren werden.

Wenn die Ausgaben für die IT reduziert werden müssen, werden CISOs ihre bestehenden Sicherheitsprogramme genau prüfen, um Sparpotenziale zu identifizieren. Sie werden sich deshalb auf die allgemeine Sicherheitshygiene im Unternehmen sowie die Verbesserung bestehender Prozesse und Kontrollen fokussieren. Letztere können Informationssicherheitsbeauftragte mit SOAR-Lösungen (Security Orchestration Automation and Responses), dem MITRE ATT&CK sowie regelmäßigen Überprüfungen optimieren. Zur Sicherheitshygiene gehören auch alle Tools zur Erkennung, Analyse und Überwachung der IT-Ressourcen, die im Zuge von Sparmaßnahmen konsolidiert werden. Davon werden Technologieanbieter wie Axonius, Brinqa, Detectify, JupiterOne, Noetic Cyber, Panaseer, Sevco und ServiceNow profitieren.

• Investitionen eher taktischer als strategischer Natur sein werden.

Schon heute vermeiden es Sicherheitsteams, langfristige Verträge mit Anbietern zu schließen und verschieben komplexe, ressourcenintensive Projekte. Daraus lässt sich schließen, dass sie in Projekte und Plattformen investieren werden, die in gut verdaulichen Häppchen daherkommen und die ihre dringlichsten Bedürfnisse stillen. Anstelle von Zero Trust werden sich die Entscheider auf die Klassifizierung von Daten und Anwendungen fokussieren, auf Zugriffsrichtlinien, deren Durchsetzung sowie die Netzwerksegmentierung. Auch werden sie 2023 wohl eher zögern, veraltete SIEM-Plattformen (Security Information and Event Management) zu ersetzen. Stattdessen werden sie ihr SIEM mit Sicherheitsdaten aus XDR- (Extended Detection and Response) und SOAR-Systemen ergänzen.Während ein wirtschaftlicher Abschwung oftmals dazu führt, dass das Budget für Mitarbeiterschulungen gekürzt wird, wird dies in diesem Jahr nicht passieren. CISOs planen, die Investitionen in die Aus- und Weiterbildung der Mitarbeiter zu erhöhen, um die Mitarbeiterbindung und Produktivität zu steigern.

• die Konsolidierung der Föderation weichen wird.

Unternehmen werden weiterhin Anbieter konsolidieren und Technologien integrieren, jedoch in einem langsameren Tempo. In der Zwischenzeit werden sie ihre Bemühungen auf einzelne Sicherheitsdomänen konzentrieren, zum Beispiel für die Cloud, E-Mails, Endpunkte und das Netzwerk. Dieser Trend wird zu offeneren Plattformen führen, die durch APIs und eine wachsende Zahl offener Standards zusammengefügt werden. Zudem wird 2023 ein entscheidendes Jahr für das Open Cybersecurity Schema Framework (OCSF) werden, das auf der Black Hat 2022 vorgestellt wurde.

• die Ausgaben für Dienstleistungen die Budgets dominieren werden.

Die ESG-Studie zeigt, dass fast die Hälfte (45 Prozent) der Unternehmen einen problematischen Mangel an Cybersicherheitsfähigkeiten hat. Trotz Entlassungen in der Industrie werden Cybersicherheitsexperten weiterhin sehr gefragt sein. CISOs haben also keine andere Wahl, als intern Mitarbeiter weiterzubilden und Fähigkeiten bei Service Providern in Bereichen wie Managed Threat Intelligence, Managed Detection and Response sowie Identity as a Service einzukaufen.

Lesetipp: Gibt es bald den “CISO-as-a-Service”?

Back to the basics

Die Cybersicherheit sollte im Business eine Priorität sein, doch viele Unternehmen haben hier noch Nachholbedarf. Zwar ist größtenteils geplant, die Investitionen zu erhöhen, dabei wird es sich jedoch um den Ausbau der Grundlagen handeln. Im Laufe des Jahres werden die meisten CISOs ihre Budgetplanung noch einmal verfeinern. Dementsprechend sollten sich Technologieanbieter darauf konzentrieren, ihren Kunden Tools an die Hand zu geben, mit denen sie das Beste aus ihren vorhandenen Ressourcen herausholen können. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Jetzt kostenlos für den CSO-Newsletter anmelden