Angesichts der stetig zunehmenden Bedrohungen durch Hacker wird es immer wichtiger, ausreichend Budget für die IT-Security bereitzustellen. Viele CISOs wenden etwa zehn Prozent des gesamten IT-Budgets für IT-Security auf. Ist das angemessen?
Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben.
(Bild: rogerphoto - stock.adobe.com)
Angesichts der stetig zunehmenden Bedrohungen durch Hacker-Angriffe wird es immer wichtiger, genügend Budget für Initiativen der IT-Security bereitzustellen. So kann eine jetzt eingesparte größere Summe später leicht ein Vielfaches ausmachen, wenn ein Ransomware-Angriff die Firewall eines Unternehmens durchbricht oder ein Phishing-Versuch zu einem Leck sensibler Kundendaten führt. Selbst im Falle einer abgeschlossenen Cyber-Versicherung zur direkten Minderung des Schadens, kann ein erfolgreicher Angriff dennoch erhebliche Reputationsschäden, verlorene Kunden und hohe Anwaltskosten nach sich ziehen.
Überlegungen für eine Budgetierung
Der Betrag, den Unternehmen für die IT-Security im Verhältnis zu ihrem IT-Gesamtbudget ausgeben, kann je nach Branche und Organisation sehr unterschiedlich ausfallen. Daher ist es grundsätzlich schwierig, wenn CISOs aufgefordert werden, einen bestimmten Prozentsatz vorzugeben. Hierzu gibt es jedoch eine Reihe von Kriterien, die für eine Bestimmung des IT-Security-Budgets berücksichtigt werden sollten:
Je nach Branche schreiben gewisse Compliance-Vorschriften quasi die Zuweisung von Sicherheitsbudgets vor. Dies gilt beispielsweise für das Gesundheitswesen. Um diese Anforderungen zu erfüllen und potenziell hohe Bußgelder zu vermeiden, müssen CISOs ein Budget für bestimmte Tools und Technologien ausgeben.
Kontinuierliche Risikobewertungen
Proaktiv operierende CISOs überwachen laufend die Wirksamkeit von Sicherheitskontrollen und kalibrieren diese gegen vorherrschende Angriffsvektoren. Wenn die Risiken die zuvor vereinbarten Schwellenwerte überschreiten, müssen CISOs die Bedrohung neu bewerten und die Risiken mit dem Management besprechen. Tools und Services, die in dieser Kategorie budgetiert werden sollten, umfassen im Wesentlichen Cyber-Versicherungen, Penetrationstests, Bug-Bounty-Initiativen und Reaktionen auf Vorfälle.
Laufendes Sicherheitstraining
Es ist zwingend erforderlich, dass jeder Mitarbeiter und Auftragnehmer in kontinuierliche Sicherheitsschulungen einbezogen wird. Vorausschauende CISOs arbeiten mit ihren Kollegen aus den Geschäftsbereichen zusammen, um dies zu einer reibungslosen und wirkungsvollen Übung zu machen.
Neue Geschäftsinitiativen
Jede neue betriebliche Initiative muss von den daraus entstehenden IT-Security-Risiken bewertet und gegebenenfalls mit einem Sicherheitsbudget versehen werden. Beispielsweise können Daten an einen Drittanbieter im Ausland ausgelagert werden oder der Kundensupport kann entscheiden, alle Kundensupportfälle auf einer Cloud-Plattform zu speichern. Beide Szenarien stellen zusätzliche Risiken dar, die von CISOs vor der Implementierung zu berücksichtigen sind.
Allgemeine Veränderungen
Diese können mit Menschen oder Technologien zusammenhängen. Aus der Perspektive der Menschen ist ein Beispiel das hybride oder in einigen Fällen dauerhafte Heimarbeitsmodell zu nennen. Vom Onboarding der Mitarbeiter bis hin zur Nutzung gemeinsam genutzter Heim-Router durch die Mitarbeiter, lokale Offline-Datenspeicherung, persönliche Geräte und die Anforderungen an die Privatsphäre zuhause bei Video-Konferenzen erfordern alle Maßnahmen gewisse Sicherheitsanpassungen und eine Neuzuweisung des Budgets. Beispiele für Technologiewechsel sind der Wechsel in die Cloud oder der Wechsel von einem einzigen Anbieter zu einem Hybrid-Anbieter oder das Outsourcing von Engineering. Jede Ebene erfordert eine Neubewertung bzw. Neuzuweisung von Budgets.
Festlegung eines IT-Budgets
Es gibt einige Ansätze, die CISOs anwenden können, um nachfolgende Aktivitäten umzusetzen:
Reaktiver vs. proaktiver Ansatz
Reaktive Ansätze sind die Reaktion auf die Verletzung oder das Ereignis bzw. das Aufdecken und Bewerten von Schäden. Das heißt, ein Hacker dringt in das Netzwerk ein und plötzlich wird eine neue Firewall, IDS/IPS, Virenschutz und eine ganze Reihe anderer Präventionsprodukte, um dem Ansturm von Angriffen ein Ende zu setzen, benötigt.
Ein solcher Ad-hoc oder reaktiver Ansatz zur Festlegung des Budgets für IT-Security mag für einige wenige Unternehmen funktionieren, aber für die meisten jedoch nicht. Ferner konzentrieren sich die meisten IT-Security-Budgets darauf, Datenschutz-Verletzungen zu verhindern und Hacker fernzuhalten. Daher ist es nur sinnvoll, von einem reaktiven Budgetierungsansatz zu einem proaktiven Budget für Informationssicherheit überzugehen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein proaktiver Ansatz für IT-Security-Budgets bedeutet, die Denkweise eines Hackers zu verstehen und dann eine Strategie um diesen Ansatz herum aufzubauen. Aus diesem Grunde muss das IT-Security-Team ein Experte darin werden, Möglichkeiten zu finden, in das eigene Unternehmensnetzwerk einzudringen, und dann Maßnahmen ergreifen, um das Problem zu beheben. Dafür sind regelmäßige Risiko- und Schwachstellenbewertungen sowie Penetrationstests und Red-Team- bzw. Blue-Team-Übungen in Betracht zu ziehen.
Das Benchmarking untersucht, wie jemand arbeitet, und vergleicht diese Arbeitsweise mit Kollegen, einem Framework, einer umfassenden Studie oder einer Gruppe befragter Unternehmen. Wenn ein Unternehmen die Best Practices anderer Sicherheitsteams (Organisationsstruktur, Höhe der Investitionen in Sicherheit, KPIs usw.) fokussiert, kann es die Ergebnisse quantifizieren und ein Standard-Budget für IT-Security erstellen.
Risikobasierter Ansatz
Ein risikobasierter Ansatz besteht darin, Budget-Überlegungen erstmal beiseite zu legen und zunächst zu bewerten, was zum Schutz vor Bedrohungen der IT-Security überhaupt notwendig ist. Der Ausgangspunkt sollte eine fundierte Risikobewertung sein, nicht die Festlegung einer Summe in Euro. Natürlich haben alle Unternehmen Grenzen, wie viel sie für die IT-Security aufwenden können.
Dennoch ermöglicht der Risk-First-Ansatz einem Unternehmen, bewusst zu entscheiden, welche Bedrohungen akzeptabel sind, anstatt das Unternehmen potenziell lähmenden Angriffen auszusetzen. Ein risikobasierter Ansatz wird oft als Budgetierungsmethode für ausgereifte Organisationen angesehen, da sie Risiken über mehrere Domänen hinweg kategorisieren und basierend darauf, die IT-Security-Risiken minimieren und budgetieren können.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/42/07/4207a6ae481716e03ae4ec1b66b3743d/0129161840v1.jpeg "Patrick van Tent wird zum neuen Vorstand der Verbundgruppe berufen. (Bild: ElectronicPartner)")
:quality(80)/p7i.vogel.de/wcms/73/8a/738a14c02d5f128dc1aeeb97426878cb/0129113507v1.jpeg "Wire hat sein Führungsteam erweitert und Adam Low (l.) zum CTO sowie Oliver Brown zum CCO berufen. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/48/2a/482a0953bf55fcc497763f7dadb6c5d6/0129166170v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/58/9c/589c1ae4ba47109676e32d27326f4156/0129180939v1.jpeg "Omdia sagt für 2026 voraus, dass der Channel-Anteil der weltweiten IT-Ausgaben sinken wird, Partner aber weiterhin eine zentrale Rolle bei IT-Endscheidungen spielen werden. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/0f/d30f909ea304c3acfdd5bf0a6e54cfe7/0129179494v1.jpeg "Motorola hat neue günstige Smartphones vorgestellt, die IP64-zertifiziert sind und über leistungsfähige Kameras verfügen. (Bild: Motorola)")
:quality(80)/p7i.vogel.de/wcms/11/0f/110f00f836727507d8d29697099001f0/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v. l.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/60/cb/60cb1e784befc/securepoint-logo-800-400-max.jpeg "securepoint-logo-800-400-max (Securepoint)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0b/8b/0b8b715f1970edd5c6c18e5737a15d1b/0125975923v2.jpeg "Um der Komplexität der Angriffsflächen entgegenzuwirken, intergiert Qualys neue KI-Agenten in die Qualys-Plattform. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c1/ce/c1ce344aaaf6ca8c7680b3cff4b66a80/0123274160v1.jpeg "RATs, eine Art von Cyberangriff, erlauben es Hackern, Daten zu stehlen, Anmeldedaten zu entwenden und Nutzer auszuspionieren, was die wachsende Komplexität alltäglicher Cybergefahren widerspiegelt. Dass die Anzahl der RATs 2024 deutlich sichtbar gestiegen ist, belegt Darktrace in seinem Threat Report. (Bild: DigitalArt Max - stock.adobe.com)")