Probleme bei der IAM-Budgetierung? Denken Sie wie eine Führungskraft!

Illustration Absmeier foto freepik

Ein Budget für den Bereich Cybersicherheit richtig zu dimensionieren und zuzuweisen bleibt ein Dauerthema. Sicherheitsexperten sollten überdenken, wie sie die entsprechenden Budgets am besten priorisieren, um diese an die aktuelle Bedrohungslandschaft anzupassen. Eine erste Erkenntnis hierbei ist, Identity and Access Management (IAM) ist im Vergleich zu anderen, glamouröser anmutenden Sicherheitsinitiativen chronisch unterfinanziert [1].

Im Folgenden wollen wir IAM-Führungskräfte darin unterstützen, den traditionellen Budgetierungsansatz in Frage zu stellen. Stattdessen wollen wir die Bereitstellung eines Kostenrahmens für IAM-Programme diskutieren, die Sie gegenüber Vorständen, Führungsteams und anderen Entscheidungsträgern plausibel machen können.

 

Der geschäftliche Wert von IAM

Traditionell werden Investitionen in ein IAM legitimiert, in dem man ihren Wert für die betriebliche Effizienz in den Vordergrund rückt. Ein Grund dafür mag sein, dass IAM stets eng mit dem internen IT-Support verknüpft war. Die Kosten dafür werden pro Support-Ticket oder Anruf beim Helpdesk berechnet. Initiativen für mehr betriebliche Effizienz haben deshalb das Ziel, deren Anzahl zu senken. Das war in den vergangenen 20 Jahren so – und ist häufig immer noch der Fall.

Das geschäftliche Umfeld hat sich allerdings deutlich verändert. In einer Welt nach Ransomware, nach einer Pandemie und mit Arbeitsmodellen abseits der typischen Büroumgebung braucht man bessere Argumente für Investitionen in IAM. Es ist an der Zeit, sich auf den konkreten geschäftlichen Nutzen zu konzentrieren, den IAM für ein Unternehmen hat [2].

Normalerweise geht es dabei meist um die breit gefächerten Möglichkeiten im Sinne von mehr geschäftlicher Flexibilität, Kostensenkungen und die Erhöhung der Produktivität der Mitarbeiter. Hier soll es jedoch eher um die dahinter liegende Denkweise gehen und weniger um die daraus resultierenden Vorteile selbst. Der entscheidende Unterschied in dieser Denkweise besteht darin, dass die geschäftliche, unternehmerische Seite die Bedingungen vorgibt. Jedes Unternehmen setzt individuelle Prioritäten, wenn es um die Geschäftsziele für das Quartal, das Jahr und die absehbare Zukunft geht. Jede Initiative, einschließlich die eines IAM, sollte sich auf genau diese Ziele hin ausrichten.

Dazu muss man verstehen, welchen Fokus geschäftliche Initiativen haben. Konzentrieren sie sich beispielsweise auf Risikominderung, KPI-Wachstum oder steht die digitale Transformation im Mittelpunkt? IAM-Investitionen sollten immer mit dem unternehmensweiten Mandat übereinstimmen. Dementsprechend sollte sich das komplette IAM-Programm an den unternehmerischen Initiativen orientieren. Das könnte auch zu einer Verschiebung der eigenen Prioritäten führen. Man könnte bestimmte Elemente eines IAM-Projekts anderen vorziehen, andere könnten entfallen. Oft reicht es jedoch, Formulierungen zu ändern, um die IAM-Vorteile korrekt den Geschäftsinitiativen zuzuordnen.

In einigen Fällen läuft das vergleichsweise unkompliziert. Schon, weil die digitale Transformation in den meisten Unternehmen ein Schwerpunktbereich ist, der einem Entscheidungsträger auf der C-Ebene wie einem CTO, CIO oder CMO obliegt. Hier gehen Sie als Verantwortlicher für IAM auf diese Personen zu. Legen Sie dar, wie Investitionen in das Identity und Access Management zugleich eine Voraussetzung für die digitale Transformation bilden und in Abhängigkeit dazu stehen – und wie Sie die digitale Transformation in vielerlei Hinsicht unterstützen können. Allgemeiner ausgedrückt besteht das Ziel darin, die geschäftlichen Anforderungen zu ermitteln und das IAM-Programm daran auszurichten.

 

IAM und geschäftliche Prioritäten in Einklang bringen

Als nächstes sollten Sie Kontakt zu den relevanten Entscheidungsträgern aufnehmen und Allianzen bilden. Ein gutes Vertrauensverhältnis aufzubauen, hat sich bewährt. Zudem empfiehlt es sich, aktiv auf C-Level-Führungskräfte zuzugehen, das vorgeschlagene IAM-Programm im Detail zu erläutern und Entscheider zu Befürwortern zu machen. Gerade Führungskräfte werden daran gemessen, was sie erreicht haben. Machen Sie klar, wie IAM-Initiativen dazu beitragen können, deren Zielvorgaben zu erreichen.

Es gibt etliche Beispiele für IAM-Programme, die sich ganz natürlich an den geschäftlichen Prioritäten orientieren. Eine vom CMO ausgehende Marketinginitiative profitiert beispielsweise von einer Investition in das Customer Identity Access Management (CIAM). Dabei werden alle Kundenidentitäten in das IAM-Programm einbezogen. So erhält die Marketingabteilung eine ganzheitliche Sicht auf jeden Benutzer. Das ist im E-Commerce oder im Einzelhandel ein unschätzbarer Wettbewerbsvorteil. Ähnliches gilt beispielsweise für Dienstleister im Gesundheitswesen, denen es primär darum geht, Risiken zu senken und die Cybersicherheit insgesamt zu verstärken. IAM hat ein enormes Potenzial, den Return on Invest für Sicherheitsinitiativen zu beschleunigen und sich positiv auf die Geschäftsergebnisse auszuwirken.

Fast alle Unternehmen messen den Erfolg von Initiativen anhand bestimmter Kennzahlen. Die KPIs (oder Schlüsselindikatoren im Risikomanagement) bilden diese Verbindung ab. IAM-Experten sollten gegenüber Entscheidungsträgern plausibel machen, wie sich IAM-Ergebnisse direkt auf die KPIs auswirken. Ein Beispiel. Bei einem CIAM-Anwendungsfall sorgt eine bessere User Experience für ein einfacheres Kunden-Onboarding, Kunden wandern seltener ab und geben pro Kontaktaufnahme mehr aus. Für einen CMO sind das extrem wichtige Kennzahlen.

Ähnliches gilt für Zertifizierungen im Bereich Cybersicherheit. Hier sind meist erhebliche Investitionen in das Privileged Access Management (PAM) oder Access Management (AM) erforderlich [3] [4]. Will sich ein Unternehmen für eine Cyberversicherung qualifizieren (eine beim CFO aufgehängte Initiative) ist dagegen vielleicht eine Multi-Faktor-Authentifizierung notwendig. Man sollte unbedingt bedenken, dass die KPIs des einen nicht mit den KPIs eines anderen übereinstimmen müssen. Jedes IAM-Projekt wird anhand bestimmter Metriken gemessen. Etwa wie lange es dauert, bis sich die Investition amortisiert hat, mit welcher Geschwindigkeit das Projekt eingeführt/umgesetzt werden kann und wie es insgesamt akzeptiert wird. Für andere Unternehmensbereiche sind diese Metriken möglicherweise weniger relevant.

Initiativen auf Vorstands- oder ELT-Ebene fallen normalerweise in eine der folgenden drei Kategorien:

  1. Risikobasierte Initiativen konzentrieren sich auf Geschäftskontinuität, Ausfallsicherheit und den Schutz von Benutzer- und Unternehmensdaten. Access Management, PAM und Log-Management (zur Erkennung und Eindämmung von Sicherheitsverletzungen) lassen sich problemlos diesen Initiativen zuordnen.
  2. Qualitätsbasierte Initiativen konzentrieren sich auf Geschäftsprozesse, die Produktivität von Mitarbeitern, Effizienz und Kostensenkung. Hier lassen sich Automatisierung und das User Lifecycle Management einbeziehen, ebenso wie die mit Hilfe von SSO erreichte Reduzierung von Lizenzen (durch verhaltensorientierte Governance).
  3. Wachstumsorientierte Initiativen im Sinne einer Umsatz-/Gewinnsteigerung, Investitionen in Personal oder durch Unternehmens-Akquisitionen, hängen ebenfalls in Ihren Voraussetzungen vom Identity Access Management ab. Das kann die UX, den Bereich Automatisierung und/oder das erfolgreiche Umsetzen einer Fusion betreffen.

 

Die Denkweise dauerhaft verändern

Diese neue Herangehensweise sollte in Budgetgesprächen kein Einzelfall bleiben. Es lohnt sich, die Haltung eines IAM-Teams dahingehend zu verändern, dass ein IAM-Programm neben den geschäftlichen Anforderungen und Initiativen vorausschauend an den Unternehmensvorgaben ausrichtet wird. Für Techniker ist es längst nicht immer selbstverständlich, die Dinge aus dieser Perspektive zu betrachten. Wer sich aber auf der Karriereleiter als angehender Leiter des Bereichs IAM positionieren will, für den sollte diese Herangehensweise zumindest einer der zentralen Aspekte seiner Arbeit sein.

Larry Chinski, VP of Global Strategy at One Identity

 

[1] https://www.oneidentity.com/community/blogs/b/one-identity/posts/we-need-to-talk-about-cybersecurity-spending
[2] https://www.onelogin.com/learn/iam
[3] https://www.oneidentity.com/what-is-privileged-access-management/
[4] https://www.onelogin.com/learn/access-management-iam

 

1591 Artikel zu „Sicherheit Budget“

Fehlendes Budget führt zu Cybersicherheitsvorfällen in 18 Prozent der Unternehmen

Ein nicht unerheblicher Teil der Cybersicherheitsvorfälle in Deutschland (18 Prozent) sind auf fehlende Cybersicherheitsinvestitionen zurückzuführen, wie eine aktuelle Umfrage zeigt [1]. Dennoch hält hierzulande die große Mehrheit (79 Prozent) den vorhandenen Etat für ausreichend. Im Europa-Vergleich wird deutlich, dass vor allem die Fertigungsindustrie und kritische Infrastrukturen deswegen mit Sicherheitsvorfällen zu kämpfen haben. Acht von zehn…

Alternative Lösungswege bei sinkenden IT-Budgets – Optionen für IT-Sicherheit in Krisenzeiten

In Zeiten der Unsicherheit ist es nur verständlich, dass Unternehmen dazu neigen, sich zurückzuziehen und ihre Ausgaben zu reduzieren, wo immer dies möglich ist. Im Jahr 2020 zeigt sich dies ganz offensichtlich im Veranstaltungsbereich: Konferenzen und Kongresse wurden abgesagt oder virtuell abgehalten, während Geschäftsreisen für viele Unternehmen zum Stillstand gekommen sind. Dies ist aber nicht…

Trotz umfassender IT-Budgetkürzungen: Cybersicherheit bleibt Investitionspriorität

Auch während der Covid-19-Pandemie hat IT-Security wachsende Relevanz. Cybersicherheit hat auch 2020 für Unternehmen eine hohe Priorität hinsichtlich der Entscheidung für entsprechende Investitionen, wie eine aktuelle Kaspersky-Umfrage unter Entscheidungsträgern zeigt [1]. Ihr Anteil an den IT-Ausgaben ist bei KMUs von 23 Prozent im vergangenen Jahr auf 26 Prozent 2020 und bei großen Unternehmen im gleichen…

IT-Sicherheitsbudgets sind höher, wenn Top-Tier-Management in Entscheidungen involviert ist

72 Prozent der Führungskräfte in Cybersicherheitsbudgets involviert – und geben dabei mehr aus Kostenfreies Tool nutzen, um Anhaltspunkt für notwendiges Budget zu erhalten   Bei jeweils mehr als der Hälfte der mittelständischen (65 Prozent) und großer (68 Prozent) Unternehmen ist das Top-Tier-Management in die Entscheidungen zum Thema Cybersicherheit involviert [1]. Diese Einbindung korreliert auch in…

IT-Sicherheit: Unternehmen planen Budgetoffensive gegen digitale Sorglosigkeit

Jedes vierte Unternehmen in Deutschland kämpft mit dem Problem knapp bemessener Budgets für IT-Sicherheit. Bedarf besteht bei der Sensibilisierung der Mitarbeiter und bei der Rekrutierung von IT-Sicherheitsspezialisten. Das soll sich bis 2021 ändern. Mehr als die Hälfte der Entscheider (56 Prozent) erwarten für die kommenden drei Jahre eine Steigerung des Budgets. Jeder vierte Manager geht…

Unternehmen investieren immer weniger IT-Budget in Sicherheit und bezahlen eher Lösegeldforderungen

Nicht einmal jedes zweite deutsche und österreichische Unternehmen stuft seine eigenen kritischen Daten als »vollständig sicher« ein. So lautet ein beunruhigendes Ergebnis des aktuellen Risk:Value-Reports [1]. Die Investitionen in die IT-Sicherheit bleiben aber ungeachtet dessen weiterhin auf vergleichsweise niedrigem Niveau. Die Unternehmen sind eher bereit, auf Lösegeldforderungen im Falle einer Ransomware-Attacke einzugehen. Den Risk:Value-Report erstellt…

IT-Budgets sozialer Organisationen wachsen, Sicherheitslücken bleiben

Neuer IT-Report für die Sozialwirtschaft erschienen. Die Digitalisierung ist auf dem Vormarsch und soziale Einrichtungen investieren kräftig in Informationstechnologie. Zu diesem Ergebnis kommt die neue Ausgabe des jährlich von der Arbeitsstelle für Sozialinformatik an der Katholischen Universität Eichstätt-Ingolstadt (KU) herausgegebenen »IT-Report für die Sozialwirtschaft« [1]. Demnach stiegen die IT-Budgets der Träger mit über 100 Mitarbeitern…

Zentralisiertes Sicherheitsmanagement kann Frachtdiebstähle reduzieren

Moderne Kontroll- und Zutrittsmanagement Lösungen bieten umfassenden Schutz. Laut der Arbeitsgemeinschaft Diebstahlprävention in Güterverkehr und Logistik und dem Gesamtverband der deutschen Versicherungswirtschaft (GDV) werden in Deutschland pro Jahr die Ladungen von rund 26.000 Lkws gestohlen. Dabei beträgt der direkte Warenschaden durch solche Frachtdiebstähle 1,3 Mrd. €. Dazu kommen weitere Schäden durch Konventionalstrafen für Lieferverzögerungen, Reparaturkosten…

Gartner sieht Anstieg der Ausgaben für Informationssicherheit um 15 Prozent im Jahr 2025

Bis 2027 sollen 17 Prozent aller Cyberangriffe von generativer KI ausgehen.   Laut einer neuen Prognose von Gartner werden sich die weltweiten Ausgaben für Informationssicherheit im Jahr 2025 auf 212 Milliarden US-Dollar belaufen, was einem Anstieg von 15,1 Prozent gegenüber 2024 entspricht. Im Jahr 2024 werden die weltweiten Ausgaben der Endnutzer für Informationssicherheit auf 183,9…

Die Qualität der Sicherheitsmaßnahmen verbessern – »NIS2 wird zur neuen Norm in der Sicherheits­landschaft werden«

In Zeiten zunehmender Cybersicherheitsbedrohungen sind Unternehmen gefordert, ihre Schutzmaßnahmen kontinuierlich zu verbessern. Dr. Matthias Rosche, Managing Director bei Orange Cyberdefense, erklärt, dass nicht nur die klassischen Bedrohungen, sondern auch neue Compliance-Anforderungen und -Regularien wie NIS2 die Unternehmen vor Probleme stellen.

Sicherheit wird noch sichtbarer – IT-Sicherheitskennzeichen für mobile Endgeräte

Mobile IT-Geräte wie Smartphones und Tablets speichern und verarbeiten eine Vielzahl relevanter und zum Teil persönlicher Daten wie Fotos, Videos, Textnachrichten und Kontakte. Ein angemessenes IT-Sicherheitsniveau mobiler Endgeräte ist ein wesentlicher Baustein für den Schutz dieser Daten und damit auch der Verbraucherinnen und Verbraucher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt nun die…

NIS2: In 5 Schritten zu mehr OT-Cybersicherheit

Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter. Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt…

EDR vs. XDR vs. MDR: Die passende Sicherheitslösung finden

Bedrohungen durch Hacker werden immer raffinierter, umfangreicher und effizienter. Über die Hälfte deutscher Unternehmen fühlt sich durch Cyberangriffe in ihrer wirtschaftlichen Existenz bedroht – so eine Umfrage des Branchenverbands Bitkom. Zum Vergleich: 2021 waren es nur 9 Prozent. Unternehmen erkennen zunehmend die Gefahren, die Cyberangriffe auf ihren Geschäftsbetrieb haben können und reagieren mit Abwehrmaßnahmen. Auf…

Vier Tipps für verbesserte Cybersicherheit in KMU

Cyberangriffe betreffen nur Großunternehmen, soziale Netzwerke oder IT-Dienstleister? Weit gefehlt – inzwischen werden immer häufig auch Produktionsbetriebe, Mittelständler oder sogar Kleinunternehmen Ziel der Attacken. Doch gerade dort fehlen oft die Ressourcen, um effektive Prävention zu ergreifen und die eigenen Systeme stets auf dem neusten Stand zu halten. Nils Gerhardt, CTO von Utimaco gibt vier Tipps,…

Cybersicherheit nicht kaputtsparen: Unternehmen stehen auf der Investitionsbremse

Kaum Fortschritte bei der Cybersicherheit: Im Vergleich zum Jahr 2023 ist der Reifegrad der Cybersicherheit großer, international agierender Unternehmen um lediglich ein Prozent auf nun 53 Prozent gestiegen. Das ist das Ergebnis der Wavestone Cyber Benchmark 2024. In einer umfassenden Analyse hat Wavestone fast 200 Sicherheitsmaßnahmen von mehr als 150 Unternehmen unter die Lupe genommen.…

Sicherheitsbedenken von 1.200 IT-Sicherheitsentscheidern

Bitdefender hat seinen 2024 Cybersecurity Assessment Report vorgestellt. Für die Studie befragten die unabhängigen Marktforscher von Censuswide professionelle Sicherheitsverantwortliche nach ihren Bedenken, Vorgehen und wichtigsten Herausforderungen, mit denen sich Unternehmen konfrontiert sehen. Die augenfälligsten Ergebnisse sind die hohe Angst vor künstlicher Intelligenz, eine Zunahme von Data Breaches in Deutschland um 12,7 % gegenüber 2023 und…