Logo Deutsche Industrie- und Handelskammer Logo Deutsche Industrie- und Handelskammer
Pfadnavigation

Cybersicherheit: Kostentreiber oder Kostensparer?

Maßnahmen für die Cybersicherheit sollten immer einen Nutzen haben. Sinnvoller als über die Haftung zu argumentieren, ist es, deutlich zu machen, welche Geschäftsprozesse durch geeignete Schutzmaßnahmen digitalisiert werden können oder überhaupt erst möglich sind (und so die Kosten dort zuzuordnen). Damit tragen diese Maßnahmen direkt zu der Wertschöpfung des Unternehmens bei – oder eben nicht, und dann ist die Frage, ob man sie noch benötigt.

Frau tippt auf Taschenrechner rum

© Ideengut

Sicherheit kostet Geld – allerdings ist Sicherheit nur dann notwendig, wenn es etwas zu schützen gibt. Sicherheitskosten sind – so gesehen  – immer Teil der "Betriebskosten" einer wertschöpfenden Tätigkeit. Sicherheit als Teil der IT-Infrastruktur zu betrachten, macht es einfach, legt aber die Kosten auf alle Tätigkeiten im Unternehmen um. Knapp ein Viertel der IT-Ausgaben sind dann für Cybersicherheit einzuplanen. Dies zeigt auch, dass IT-Dienstleistungen nicht automatisch Cybersicherheit abdecken – dafür sind die zusätzlichen Kosten zu hoch.

Nicht jede Cybersicherheits-Maßnahme ist zudem für jedes Unternehmen die richtige  – je besser eine Maßnahme zur Wertschöpfung einer Organisation passt, desto stärker kann sie ihre Wirkung entfalten; umgekehrt kann man von Maßnahmen keinen Sicherheitsgewinn erwarten, wenn sie Wertschöpfung oder Kultur im Unternehmen entgegenlaufen. Wenn ein Betrieb etwa mit Dienstleistungen am Kunden Geld verdient, dann sind Sicherheitsmaßnahmen, die den Kontakt zu Kunden erschweren (etwa durch zusätzliche Authentifizierungsmaßnahmen), dem Unternehmenserfolg nicht zuträglich und werden meist abgelehnt beziehungsweise umgangen.

Es gilt daher folgende Faustregel: Wenn Sicherheitsmaßnahmen sowieso als Teil eines (eventuell neuen) Geschäftsprozesses umgesetzt würden, dann passen sie gut zum Unternehmen und werden ihre Wirkung entfalten können. Nicht sehr sinnvoll sind generische Sicherheitsmaßnahmen, die jedem empfohlen werden oder die aus technischen Gründen heraus ausgewählt werden.

Die zwei Top-Tipps

  • Aufstellung aller heutigen Kosten (direkt und indirekt) für Cybersecurity
  • Abgleich der Sicherheits- Maßnahmen mit den strategischen Unternehmenszielen: wo behindern die Maßnahmen – und wo unterstützen sie?

Kontakt

Porträtfoto Katrin Sobania
Dr. Katrin Sobania Referatsleiterin Informations- und Kommunikationstechnologie | E-Government | Postdienste | IT-Sicherheit
+49 30 20308 2109 sobania.katrin@dihk.de

Podcast Folge 2: Kostentreiber oder Kostensparer?

Über Kosten von IT-, Cyber- und Informationssicherheit hat DIHK-Expertin Katrin Sobania mit Prof. Dr. Sachar Paulus von der Fakultät für Informatik der Hochschule Mannheim gesprochen:

Hilfreiche Links

Management-Handbuch und Toolkit des BSI, unter anderem mit Infos zur Kostenbetrachtung