Budgetierung in der Web-Sicherheit

Vorwort

Cyberangriffe sind in den letzten Jahren immer zielgerichteter, komplexer und professioneller geworden, während die technischen Hürden für deren Durchführung gesunken sind. Viele Angriffe sind wirtschaftlich oder geopolitisch motiviert und werden von professionell organisierten Teams durchgeführt.

Unternehmen müssen daher technische Schutzmaßnahmen mit einem angemessenen Budget einplanen. Dieser Artikel beleuchtet, wie IT-Security-Budgets typischerweise aufgeteilt werden und welchen Anteil Penetrationstests (Pentests) im Bereich der Web-Anwendungssicherheit einnehmen sollten.

Eine wirksame Anwendungssicherheit umfasst die systematische Prüfung auf Schwachstellen in der Geschäftslogik und der technischen Implementierung – unabhängig davon, ob es sich um cloudbasierte Plattformen, Web-Anwendungen oder mobile Apps handelt.

Allgemeine Budgetentwicklung in der IT-Security

Unternehmen sollten einen substanziellen Teil ihres IT-Budgets für Informationssicherheit einplanen, um ihre Abwehrfähigkeit kontinuierlich zu verbessern und auf Sicherheitsvorfälle reagieren zu können. Die Bedeutung dieser Investitionen wird nach wie vor unterschätzt. Die Budgetzusammensetzung der teilnehmenden Unternehmen ist in Abbildung 1 dargestellt. Aus unserer Sicht widmen viele Organisationen dem Thema angesichts der aktuellen Bedrohungslage weiterhin zu wenig Aufmerksamkeit.

Eine Studie von Capgemini Invent aus dem Jahr 2018 unterteilt das IT-Sicherheitsbudget in vier Kategorien: Prävention (z. B. Sicherheitsstrategie, IT-Risikomanagement), Schutz (z. B. Zugangskontrolle, Datensicherheit), Erkennung (z. B. SIEM, SOC) und Response & Recovery (z. B. BCM, Krisenmanagement). Im Durchschnitt entfielen 20 % auf Prävention (25 % in 2017), 43 % auf Schutz (43 % in 2017), 22 % auf Erkennung (20 % in 2017) und 15 % auf Reaktion und Wiederherstellung (14 % in 2017).

Darüber hinaus wurde die Verteilung zwischen internen Ressourcen (z. B. eigenes Sicherheitspersonal) und externen Dienstleistern analysiert. Branchenübergreifend teilen die meisten Unternehmen ihr Budget etwa hälftig auf. Das verdeutlicht auch, wie stark der Wettbewerb um qualifizierte Sicherheitsfachkräfte inzwischen ist.

Kasperskys-IT-Security-Budgetrechner

Kaspersky stellt einen Budgetrechner bereit, mit dem Unternehmen ein angemessenes IT-Sicherheitsbudget anhand ihrer Größe und Branche ermitteln können. Der grundlegende Trend zeigt stetig wachsende Ausgaben, da die IT-Landschaft immer komplexer wird und regulatorische Anforderungen wie die DSGVO zusätzlichen Aufwand erzeugen.

zu Kasperskys-IT-Security-Budgetrechner

Budgetierung für Pentests

In der genannten Studie investierten die Teilnehmer 22 % ihres Sicherheitsbudgets in die Erkennung von Schwachstellen. In diese Kategorie fallen sowohl manuelle als auch automatisierte Penetrationstests. Diese Größenordnung deckt sich mit unseren Empfehlungen, wobei jede Organisation individuell bewertet werden muss. Gerade bei Pentests sollte nicht am Budget gespart werden, da sie einen wesentlichen Beitrag zur Vermeidung existenzbedrohender Angriffe leisten.

Kostenverlauf im Verhältnis zur Effizienz in der manuellen Web-Anwendungssicherheit

Absolute IT-Sicherheit ist nicht erreichbar – deshalb muss eine kosteneffiziente Annäherung an das Optimum stattfinden. Grundsätzlich gilt: Je mehr Zeit Security Engineers in die Analyse investieren, desto aussagekräftiger sind die Ergebnisse.

Die dargestellte Kurve veranschaulicht den typischen Verlauf bei manuellen Pentests. Ab einem bestimmten Punkt sinkt der Erkenntnisgewinn pro investierter Stunde deutlich. Unsere Leistungen zielen darauf ab, im optimalen Bereich dieser Kurve zu arbeiten und so den maximalen Sicherheitsgewinn für das verfügbare Budget zu erzielen.

Unser Portfolio zur agilen Web-Sicherheit

Für bestmögliche Ergebnisse kombinieren wir bei turingpoint manuelle und automatisierte Tests in einem abgestimmten Prüfprozess. Ergänzend kann externe Expertise über kosteneffiziente Managed-Bug-Bounty-Programme eingebunden werden.

Quellen

Capgemini Invent, Abbildung 1 und Budgetentwicklung in der IT-Sicherheit, 2019, Information-Security-Benchmark-2019.