PenetrationstestJan Kahmen5 min Lesezeit

Budgetierung in der Web-Sicherheit

IT-Security kann nie vollkommen sein, deswegen muss eine kosteneffiziente Annäherung an ein Optimum stattfinden.

Inhaltsverzeichnis

Vorwort

Cyberangriffe sind in den letzten Jahren immer zielgerichteter, komplexer und professioneller geworden, wobei die technischen Anforderungen für eine Durchführung gesunken sind. Viele Angriffe sind wirtschaftlich oder landespolitisch motiviert und werden strukturiert und organisiert von ganzen Teams durchgeführt.

Für diese Gefahren müssen technische Maßnahmen mit geeignetem Budget projektiert werden. Dieser Artikel beleuchtet die IT-Security-Katalogisierung und dessen prozentuale Budgetierung der Anwendungssicherheit durch Penetrationstests, kurz Pentests, im Kontext der Web-Entwicklung.

Effiziente Sicherheitsmaßnahmen in der Anwendungssicherheit sind essentiell für eine funktionsfähige Applikationssicherheit, welches eine gründliche Suche nach Fehlern in der Geschäftslogik und Implementierungsschwachstellen in Anwendungen jeglicher Art, von großen cloudbasierten Lösungen bis hin zu Web- und mobilen Anwendungen.

Allgemeine Budgetentwicklung in der IT-Security

Es ist wichtig, dass Unternehmen einen erheblichen Teil ihres gesamten IT-Budgets für die Informationssicherheit aufwenden, um über die finanziellen Mittel zur Verbesserung ihrer Abwehrmaßnahmen und zur Bekämpfung von Sicherheitsverletzungen zu verfügen. Dabei ist es wichtig, das Ausmaß der lebenswichtigen Investitionen in die Informationssicherheit nicht zu unterschätzen und sie als wichtigen Teil des Unternehmens zu betrachten. Die Budgetzusammensetzung der teilnehmenden Unternehmen ist in Abbildung 1 dargestellt. Angesichts der aktuellen Gefahren und Cybersicherheitstrends widmen sich Organisationen aus unserer Sicht dem Thema weiterhin zu wenig.

Die Studie von Capgemini Invent bat alle Teilnehmer im Jahr 2018, ihr Budget für Informationssicherheit in vier Kategorien aufzuteilen: Prävention (z.B. Sicherheitsstrategie, IT-Risikomanagement), Schutz (z.B. Zugangskontrolle, Datensicherheit), Erkennung (z.B. SIEM, SOC) und Response & Recovery (z.B. BCM, Krisenmanagement). Im Durchschnitt gaben die Beitragszahler 20% für Prävention (25% im Jahr 2017), 43% für Schutz (43% im Jahr 2017), 22% für Erkennung (20% im Jahr 2017) und 15% für Reaktion und Erholung (14% im Jahr 2017) aus.

Schließlich wurde die Verteilung der Teilnehmer zwischen internen (z.B. eigenem Sicherheitspersonal) und externen (z.B. Dienstleistern) Informationssicherheit-Ressourcen analysiert. In allen Sektoren geben die meisten Teilnehmer den gleichen Teil ihres Budgets für interne und externe Ressourcen aus. Diese Budgetverteilung zeigt auch, dass der Markt für Sicherheitstalente derzeit stark umkämpft ist.

Budgetierung IT-Sicherheit

Abbildung 1 - Allgemeine Budgetentwicklung in der IT-Security

Kasperskys-IT-Security-Budgetrechner

Kaspersky bietet einen Budgetrechner, der Firmen dabei helfen soll ein optimales Budget für die gegebene Größe und Branche auszurechnen, um effizient aufgestellt zu sein. Der Grundsatz hier beschreibt stetig wachsende Ausgaben, da die Informationstechnik immer komplexer wird und regulatorische Maßnahmen zu Mehr­auf­wand führen wie z.B die DSGVO.

zu Kasperskys-IT-Security-Budgetrechner

Budgetierung für Pentests

In der obigen Studie haben die Teilnehmer 22% ihres Budget für Informationssicherheit in die Erkennung investiert. In diese Kategorie fallen manuelle sowie auch automatisierte Pentests. Dieses Aufwendungen decken sich auch mit unseren Empfehlungen, wobei hier jede Organisation individuell bewertet werden muss. Diese Schutzmaßnahme sollte niemals zu knapp budgetiert werden, um existenzbedrohende Angriffe zu verhindern.

Kostenverlauf im Verhältnis zur Effizienz in der manuellen Web-Anwendungsicherheit

IT-Security kann nie vollkommen sein, deswegen muss eine degressive und kosteneffiziente Annäherung an ein Optimum stattfinden. Grundsätzlich gilt, je länger Security Engineers Systeme untersuchen, desto aussagekräftiger sind die Ergebnisse.

Pentest: Kosten in Relation zur Effizienz

Abbildung 2 - Kosten-Trend in Relation zur Effizienz

Die dargestellte Funktion soll den Verlauf für manuelle Pentests darstellen. Ab einem gewissen Punkt lohnt es sich nicht noch mehr Zeit zu investieren, da dieses nur Kosten bei wenig neuer Erkenntnis verursacht. Unsere Leistungen bieten bestmögliche Effizienz in dem Funktionskontext, so gewährleisten wir maximale Erkenntnisgewinnung für das gegebene Budget.

Unser Portfolio zur agilen Web-Sicherheit

Ein zufriedenstellendes Prozessergebnis erreichen wir unteranderem mit turingpoints Trinität der Web-Sicherheit, denn hier spielen manuelle sowie automatisierte Tests bestmöglich zusammen. Externe Expertise kann durch kostengünstige managed Bug-Bountys erlangt werden.

Quellen

Capgemini Invent, Abbildung 1 und Budgetentwicklung in der IT-Sicherheit, Sonntag, September 8, 2019, Information-Security-Benchmark-2019

Erweitern Sie Ihren Horizont mit einer Reifegradanalyse!

Reifegradanalyse für 1990 € !

Buchen Sie unserer Kennenlernprojekt, um einen groben aber ganzheitlichen Überblick über Ihre Maßnahmen in der Informationssicherheit zu bekommen!

Security-Check-up

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen:

Termin vereinbaren