Unternehmen sehen sich mit einer wachsenden Gefahr für ihre Cybersicherheit konfrontiert und die Zahl der Angriffe wird weiter zunehmen. Die Folge: Nicht nur die Awareness bei den Kunden wächst, auch immer mehr Anbieter sehen ihre Chance. Inzwischen tummeln sich rund 7000 Anbieter auf dem Cybersecurity-Markt – Tendenz steigend. Es wird erwartet, dass der Markt bis 2030 ein Volumen von ca. 470 Milliarden US-Dollar erreicht. Das entspräche einem Wachstum von jährlich 9,5 %. Kein Wunder also, dass sich angesichts des riesigen Angebots viele Unternehmen überfordert fühlen und nach Orientierung suchen.
Warum der Beschaffungsprozess Struktur braucht
Um auf dem komplexen Cybersecurity-Markt nicht den Überblick zu verlieren, bedarf es einer strukturierten und transparenten Herangehensweise. Denn nur so können Unternehmen sicherstellen, dass sie Produkte und Services einkaufen, die auch zu den eigenen Anforderungen passen. Ein klar organisierter Beschaffungsprozess vereinfacht darüber hinaus die regelmäßige Bewertung der gekauften Produkte: Erfüllen sie die Erwartungen? Passen sie überhaupt noch zu meinen Anforderungen? Diese ändern sich nämlich regelmäßig – sei es durch eigenes Wachstum oder durch angepasste gesetzliche Vorgaben. Besonders der zweite Punkt erfordert umfassende Transparenz, um die Einhaltung von Compliance-Vorschriften zu erleichtern. Das gilt vor allem für öffentliche Ausschreibungen. Hier ist Transparenz nicht nur vorteilhaft, sondern verpflichtend.
So sieht ein systematisierter Einkauf aus
Doch wie kann solch ein transparenter und gleichzeitig möglichst unbürokratischer Einkaufsprozess aussehen? Hier gibt es natürlich keine allgemeingültige Blaupause, aber einige Aspekte, an denen sich Unternehmen orientieren können.
Am Beginn eines solchen Prozesses steht die Risikobewertung. Um Betriebsblindheit zu vermeiden und eine möglichst objektive Einschätzung vorzunehmen, empfiehlt es sich, die Bewertung von einem unabhängigen Akteur durchführen zu lassen. Darauf aufbauend können notwendige Kontrollmaßnahmen sowie ein Technologie- und Service-Stack definiert werden. Besonderes Augenmerk sollte hierbei auf gesetzlichen Vorschriften wie dem IT-SiG 2.0 liegen, das KRITIS-Unternehmen seit dem 01. Mai dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen. Je genauer die Risikobewertung ausfällt und die eigenen Anforderungen und Ziele definiert werden, desto enger kann das Feld gesteckt und die Auswahl der geeigneten Konzepte und Lösungen bereits eingegrenzt werden.
Im nächsten Schritt geht es darum, Systeme und Anbieter miteinander zu vergleichen: Inhaltlich und kommerziell. Hier gibt es viele Kriterien, die Unternehmen heranziehen können und die jede Organisation unterschiedlich gewichtet. Ein paar dieser Kriterien lauten wie folgt:
- Werden relevante Security-Anforderungen erfüllt?
- Wie viel kostet eine Lösung in der Anschaffung, dem Betrieb und der Wartung?
- Wie zukunftssicher ist die Technologie dahinter?
- Wie flexibel und skalierbar ist die Lösung?
Security langfristig stärken
Im Einkauf sind die Kosten für eine Lösung häufig das entscheidende Kriterium. Denn obwohl die Awareness in den letzten Jahren gewachsen ist, sind die Budgets weiterhin meist knapp bemessen. Ein pragmatisch durchstrukturierter Einkaufsprozess kann dabei helfen, unnötige Ausgaben zu reduzieren und versteckte Einsparpotenziale (wie z. B. unnötige Optionen) zu identifizieren. Die zu erwartenden Kosten sollten bei der Auswahl jedoch keineswegs das einzige Argument darstellen. Erfüllt eine Lösung beispielsweise schon jetzt bestimmte Vorgaben, die vom Gesetzgeber wohl in nächster Zeit eingeführt werden, kann es sich oft lohnen, diese jetzt schon zu implementieren, statt sie zu einem späteren Zeitpunkt teuer nachzurüsten. Ein gutes Beispiel ist dabei die NIS2-Richtlinie. Diese muss bis Oktober 2024 in nationales Recht umgewandelt werden. Ein Unternehmen kann und sollte sich also jetzt schon auf neue Regelungen vorbereiten, die auf der NIS2-Direktive beruhen.
Ein klarer Beschaffungsprozess ermöglicht es zudem, Lösungen immer wieder auf den Prüfstand zu stellen und zu bewerten, ob sie nach wie vor den aktuellen Anforderungen entsprechen. So können versteckte Kostenfaktoren identifiziert werden. Zudem sollten die aktuellen Lösungen immer mit dem aktuellen Marktstand verglichen werden. Dabei ist es von Vorteil, einen wertorientierten Ansatz zu verfolgen. Denn wer am falschen Ende spart, muss oft Einbußen in der Sicherheit der Lösungen hinnehmen. Daher sollten sich Unternehmen lieber auf die Gesamtkosten über einen realistischen Zeitraum fokussieren. Darunter fallen auch die Kosten für die Einführung der Produkte, die Schulung der Mitarbeiter, Betrieb und Wartung der Lösung.
Die richtige Struktur schont Ressourcen
Ein umfassender Beschaffungsprozess kostet natürlich mehr Zeit, als sich einfach für die erstbeste oder billigste Lösung zu entscheiden. In einem solch fragmentierten und unübersichtlichen Markt wie der der Cybersicherheit ist es für Unternehmen allerdings fast alternativlos, eine strukturierte Herangehensweise zu wählen, um den Überblick zu behalten. Denn klar ist auch: Das beste Preis-Leistungs-Verhältnis kann man nur finden, wenn man den Einkauf von Services und Leistungen systematisch gestaltet. Dabei können Unternehmen auf externe Partner zurückgreifen, die den Markt kennen und gleichzeitig wissen, welche Angebote zu welchen Anforderungen passen und wie sich diese voraussichtlich in Zukunft ändern werden. Ressourcen zu verschwenden kann sich kein Unternehmen leisten. Wer auf einen umfassenden Beschaffungsprozess verzichtet, tut jedoch genau das. Entweder, weil die gewählte Lösung keine umfassende Sicherheit bietet oder nicht die richtige für die eigenen Anforderungen ist.
Der Autor:
Dr. Jannis Stemmann, CEO bei Bosch CyberCompare
