{"id":4300,"date":"2025-08-08T04:00:00","date_gmt":"2025-08-08T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4300"},"modified":"2025-08-08T04:00:00","modified_gmt":"2025-08-08T04:00:00","slug":"so-sparen-cisos-ohne-die-sicherheit-zu-torpedieren","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4300","title":{"rendered":"So sparen CISOs, ohne die Sicherheit zu torpedieren"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Geht\u2019s dem Security-Budget an den Kragen, ist der Spielraum f\u00fcr CISOs denkbar gering.\n

TippaPatt | shutterstock.com<\/p>\n<\/div>\n

Vor etlichen Jahren fand sich David Mahdi<\/a>, heute CISO Advisor beim IAM-Spezialisten Transmit Security, in einer Situation wieder, vor der wohl jedem Sicherheitsentscheider graut: Die Budgets sollten mitten im Jahr drastisch gek\u00fcrzt werden<\/a> \u2013 ohne die M\u00f6glichkeit, irgendetwas aufzuschieben. \u201cDas war damals eine unkontrollierbare Konstellation aus internen Problemen, technischen Schulden, Marktdruck und geopolitischen Faktoren. Ich war gezwungen, m\u00f6glichst schnell schmerzhafte Kompromisse einzugehen\u201d, erinnert sich der Berater.<\/p>\n

Angesichts des rasanten Tempos, in dem diese K\u00fcrzungen vorgenommen werden sollten, war Mahdi schnell klar, dass dabei zwangsl\u00e4ufig L\u00fccken<\/a> entstehen w\u00fcrden. Diese Erfahrung hat seine Herangehensweise an finanzielle Zwangslagen gepr\u00e4gt. CISOs in einer \u00e4hnlichen Lage r\u00e4t er deshalb vor allem dazu, bewusste und gut durchdachte Entscheidungen dar\u00fcber zu treffen, wo gek\u00fcrzt wird und was um jeden Preis gesch\u00fctzt werden muss: \u201cH\u00fcten Sie sich vor einer falschen Sparpolitik, bei der einfach in jedem Bereich gek\u00fcrzt wird. Das schafft Schwachstellen<\/a>, die zun\u00e4chst unsichtbar bleiben \u2013 bis dann etwas kaputt geht.\u201d<\/p>\n

Wo CISOs den Rotstift ansetzen sollten<\/h2>\n

Dass sich immer mehr Sicherheitsentscheider demn\u00e4chst in einer solchen Zwangslage wiederfinden, ist relativ wahrscheinlich. Denn mit Blick auf aktuelle Studienergebnisse scheinen die Zeiten zweistelliger Wachstumsraten mit Blick auf Cybersecurity-Budgets vorbei. So kommt der aktuelle \u201cSecurity Budget Benchmark Report<\/a>\u201d von IANS Research und Artico Search zum Ergebnis, dass jeder achte CISO (von insgesamt 750 befragten) im Jahr 2024 mit Budgetk\u00fcrzungen zu k\u00e4mpfen hatte. Und fast ein Drittel der CISOs gibt an, \u00fcber unzureichende Budgets zu verf\u00fcgen. Bei der Aufschl\u00fcsselung der CISO-Ausgaben:<\/p>\n

entf\u00e4llt mit 37 Prozent der gr\u00f6\u00dfte Teil auf Personal, beziehungsweise Verg\u00fctung,<\/p>\n

flie\u00dfen 23 Prozent in externe Software,<\/p>\n

f\u00fcnf Prozent in Hardware, und<\/p>\n

lediglich vier Prozent in Schulungsinitiativen, w\u00e4hrend<\/p>\n

drei Prozent f\u00fcr nicht vorab zweckgebundene Ausgaben vorgesehen sind.\u00a0\u00a0<\/p>\n

Die knappe Zuweisung verdeutlicht, dass Sicherheitsentscheider bei Budgetk\u00fcrzungen eigentlich kaum Spielraum haben. Muss man also entscheiden, was gesch\u00fctzt und was reduziert werden soll \u2013 ohne dabei das Unternehmen zu gef\u00e4hrden \u2013 ist strategisches Denken gefragt. Ebenso wichtig ist es jedoch laut Mahdi, auch die richtige Einstellung<\/a> an den Tag zu legen: \u201cWenn Budgets gek\u00fcrzt werden, sehe ich darin eine Chance, bestehende Risikoannahmen und Legacy-Ausgaben auf den Pr\u00fcfstand zu stellen und die Cybersecurity-Investitionen auf gesch\u00e4ftskritische Ergebnisse auszurichten.\u201d<\/p>\n

Dabei verfolgt der Sicherheitsexperte einen strukturierten Ansatz, der auf den folgenden drei Dimensionen basiert:<\/p>\n

Strategisches Risiko:<\/strong> Wie hoch ist das tats\u00e4chliche Risiko, wenn diese Kontrollma\u00dfnahme versagt?<\/p>\n

Ausrichtung auf das Gesch\u00e4ft: <\/strong>Welche Funktionen st\u00fctzen den Umsatz, das Kundenvertrauen oder die Compliance?<\/p>\n

No-Brainer:<\/strong> Redundante Tools, Shelfware oder Kontrollma\u00dfnahmen, die in die Kategorie \u201cSecurity Theatre<\/a>\u201d fallen (auf dem Papier gut, kein messbarer Schutz).<\/p>\n

F\u00fcr dieses Assessment stellt Mahdi ein funktions\u00fcbergreifendes Team zusammen. Dieses besteht aus F\u00fchrungskr\u00e4ften der jeweiligen Gesch\u00e4ftsbereiche, Security-Architekten, Threat-Intelligence<\/a>-Spezialisten und weiteren vertrauensw\u00fcrdigen Menschen inner- und au\u00dferhalb des Unternehmens. \u201cDieser kollaborative Ansatz verteilt nicht nur die Verantwortlichkeiten, sondern unterst\u00fctzt auch dabei, blinde Flecken aufzudecken und die K\u00fcrzungen an der allgemeinen Risikolage des Unternehmens auszurichten\u201d, erkl\u00e4rt der Sicherheitsberater. Sein Ansatz, so Mahdi weiter, st\u00fctze sich au\u00dferdem auch auf wichtige Metriken<\/a>, mit denen sich beurteilen l\u00e4sst, ob bestimmte Tools oder Prozesse effizient funktionieren. Schlie\u00dflich ber\u00fccksichtigt er auch, wie schnell eine Investition messbare Ergebnisse liefern kann: \u201cMithilfe dieses Rahmens k\u00f6nnen CISOs Bereiche identifizieren, die ohne wesentliche Risikoerh\u00f6hung reduziert werden k\u00f6nnen\u201d, verspricht Mahdi.<\/p>\n

Einer der ersten Bereiche, der dem Berater zufolge in Augenschein genommen werden sollte, ist redundantes Tooling<\/a>: \u201cWenn zwei Tools sich in weiten Teilen funktional \u00fcberschneiden, behalten Sie das mit der besseren Integration und dem besseren Support. Anschlie\u00dfend k\u00f6nnen Sie sich alten, Compliance-orientierten Kontrollen zuwenden, die sich oft rationalisieren lassen. Konzentrieren Sie sich auf effektive Kontrollen, nicht auf solche, die nur dazu dienen, K\u00e4stchen auf einer Checkliste abzuhaken. Das gilt insbesondere f\u00fcr Unternehmen, die \u00fcberm\u00e4\u00dfig auf alte Governance-, Risiko- und Compliance-Strukturen setzen\u201d, f\u00fchrt Mahdi aus.<\/p>\n

Doch nicht jede Budgetentscheidung ist schwarz-wei\u00df. Einige Initiativen, etwa experimentelle oder Innovationsprojekte, befinden sich in einer Grauzone: Sie sind zwar wertvoll, aber nicht unbedingt zeitkritisch. In Zeiten finanzieller Engp\u00e4sse k\u00f6nnten solche Vorhaben vor\u00fcbergehend zur\u00fcckgestellt werden, insbesondere, wenn sie keine dringenden Bedrohungen oder Compliance-Anforderungen betreffen, meint Mahdi \u2013 schr\u00e4nkt jedoch ein: \u201cUm die Moral des Teams mit Blick auf pausierte Innovationsprojekte aufrechtzuerhalten, sollten Sie eine detaillierte Strategie f\u00fcr den Wiederanlauf erarbeiten, sobald sich die Budgetlage wieder bessert.\u201d<\/p>\n

Bei Laura Gonzalez Priede<\/a>, CISO beim Sicherheitsanbieter Approach Cyber, stehen in Zeiten von Budgetk\u00fcrzungen Menschen und Prozesse im Fokus: \u201cTools sind zwar wichtig, aber viele k\u00f6nnen durch quelloffene oder selbst entwickelte Alternativen ersetzt werden. Ein starker Prozess, der von f\u00e4higen Mitarbeitern unterst\u00fctzt wird, kann oft auch kompensieren, dass ein bestimmtes Tool fehlt.\u201d<\/p>\n

Geht es dennoch nicht ohne Personalabbau, empfiehlt Mahdi, dabei \u00fcber den Tellerrand zu schauen: \u201cSie sollten nicht davon ausgehen, dass die technisch anspruchsvollsten Job-Rollen auch die erfolgskritischsten sind. Manchmal sind die Menschen, die Security und Business verzahnen, ihre wichtigsten Assets.\u201d<\/p>\n

Welche Fehler Sicherheitsentscheider teuer zu stehen kommen<\/h2>\n

Zu ermitteln, wo man ein Cybersecurity-Budget am besten zusammenstreicht, ist also diffizil. Kommt dann noch Zeitdruck hinzu, macht das die Sache nicht besser, wie Mahdi wei\u00df: \u201cMeiner Erfahrung nach k\u00fcrzen CISOs unter Druck viel zu oft die Ressourcen f\u00fcr Detection- und Response-F\u00e4higkeiten<\/a>, Incident-Readiness-Programme und Security Operations.\u201d<\/p>\n

Diese Entscheider gingen davon aus, dass st\u00e4rkere Pr\u00e4ventionsma\u00dfnahmen rechtfertigten, nicht mehr so viel in die Aufarbeitung von Sicherheitsvorf\u00e4llen investieren zu m\u00fcssen. Das sei allerdings ein riskantes Unterfangen, meint Mahdi: \u201cPr\u00e4vention ist toll, aber irgendetwas kommt immer durch. Wenn wirklich etwas schiefgeht, kommt es nicht auf die Anzahl der Kontrollma\u00dfnahmen an, sondern auf die Reaktionszeit, sowie darauf, den Angriff einzud\u00e4mmen und sich m\u00f6glichst schnell davon zu erholen.\u201d<\/p>\n

Ein weiterer Fehler, den CISOs bei Budgetk\u00fcrzungen laut Mahdi begehen, ist es, bei funktions\u00fcbergreifenden Rollen zu k\u00fcrzen \u2013 etwa wenn es um Produktsicherheit, Governance<\/a> oder gesch\u00e4ftsorientiertes Risikomanagement geht: \u201cDiese Rollen sind Bindeglieder. Fallen sie weg, wird Sicherheit reaktiv, missverstanden und an den Rand gedr\u00e4ngt.\u201d<\/p>\n

Approach-Cyber-Managerin Gonzalez Priebe sieht das ganz \u00e4hnlich, fokussiert sich dabei aber in erster Linie auf die Themen Personal und Schulungen: \u201cKontinuierliche Weiterbildung sorgt daf\u00fcr, dass die Mitarbeiter kompetent und sicherheitsbewusst bleiben. Das ist in einer sich st\u00e4ndig weiterentwickelnden Bedrohungslandschaft von entscheidender Bedeutung.\u201d<\/p>\n

Ein weiteres h\u00e4ufiges Vers\u00e4umnis betrifft in den Augen der Sicherheitsentscheiderin den Bereich Prozessdokumentation. Das sei f\u00fcr die Business Continuity unerl\u00e4sslich \u2013 insbesondere, wenn wichtige Mitarbeiter das Unternehmen verlie\u00dfen: \u201cOhne gut dokumentierte Prozesse riskieren Unternehmen kritisches Knowhow und Execution-Konsistenz zu verlieren. Das kann ebenfalls nicht absehbare Risiken nach sich ziehen.\u201d (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Geht\u2019s dem Security-Budget an den Kragen, ist der Spielraum f\u00fcr CISOs denkbar gering. TippaPatt | shutterstock.com Vor etlichen Jahren fand sich David Mahdi, heute CISO Advisor beim IAM-Spezialisten Transmit Security, in einer Situation wieder, vor der wohl jedem Sicherheitsentscheider graut: Die Budgets sollten mitten im Jahr drastisch gek\u00fcrzt werden \u2013 ohne die M\u00f6glichkeit, irgendetwas aufzuschieben. […]<\/p>\n","protected":false},"author":0,"featured_media":4301,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4300","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4300"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4300"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4300\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4301"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4300"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4300"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4300"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}