Was kostet Cybersicherheit mit einem ISMS? - Part 3

Zusammenfassung
Ein Preisschild an die ISO-27001-Zertifizierung zu hängen, ist nicht pauschal möglich. Viele Einflussfaktoren können eine erhebliche Spannbreite bei den Aufwänden bedeuten.
Die Aufwände sind abhängig von
· Unternehmens-Größe
· Art des Unternehmens
· Geltungsbereich (Scope)
· Hierarchien und Kommunikations-Strukturen
· Reifegrad / Ausgangspunkt
· Vorhandenem Wissen
· Vorhandener Infrastruktur
· Vorhandenen Prozessen
· Vorhandener Dokumentation
Zusätzlich müssen eventuell existierende innere Widerstände beseitigt werden. Das Tagesgeschäft soll aufrecht erhalten bleiben. Man darf nicht nur die Aufwände kalkulieren, in der Regel geht erhöhte Sicherheit auch mit Einschränkungen der Flexibilität einher, was sich damit auch auf die Produktivität auswirkt. Die Auswirkungen auf die Produktionskosten sind z.B. bei Angebotsplanungen zu berücksichtigen.
Trotzdem sollte und darf das niemanden abschrecken, in Sicherheit zu investieren! Auch kleine Schritte sind eine Bewegung in die richtige Richtung. Auch ein abgewehrter oder gar nicht erst begangener Cyber-Angriff verschafft einen Wettbewerbs-Vorteil. Und sollte doch etwas passieren, kann man umsichtiger reagieren, wenn man sich vorbereitet hat. Mit kühlem Kopf trifft man bessere Entscheidungen.
Orientierung am Umsatz
In diesem Abschnitt werden typische Umsatz-Szenarien zu Grunde gelegt. Für Organisationen, die keine umsatz-orientierte Liquiditätsplanung haben, sollten sich diese Betrachtungen entsprechend übertragen lassen, um das Budget sicher zur Verfügung stellen zu können. Die Beispiele sind dabei nicht als generelle Empfehlungen zu verstehen, sondern lediglich zur allgemeinen Veranschaulichung einer unter Umständen sehr individuellen Situation.
Kleinstunternehmen, die einen Umsatz von weniger als 500.000 € erwirtschaften, müssen schon sehr gewichtige Gründe vorliegen haben, um eine Zertifizierung nach ISO 27001 durchzuführen. Dies kann z.B. der Fall sein, wenn man als Zulieferer diesen Nachweis gegenüber seinen Haupt-Auftraggebern erbringen muss oder damit man mit einer Zertifizierung an strategisch wichtigen Ausschreibungen teilnehmen kann.
Selbst bei Firmen mit weniger als 1.000.000 € Umsatz sollte der Business-Case einer Zertifizierung genau durchgerechnet werden. Insbesondere wenn wenig oder kein entsprechendes Know-How vorhanden ist, könnte das sehr schnell zu finanziellen Engpässen führen.

Keine Zertifizierung bedeutet aber nicht, dass man einfach abwarten sollte. Schritte hin zu mehr Cybersicherheit sind wichtig und die Zertifizierung kann auch zu einem späteren Zeitpunkt eingeplant werden. Das gibt auch etwas mehr zeitlichen Spielraum für die Umsetzung der einzelnen Sicherheitsaspekte und den Wissensaufbau innerhalb der Firma. Zudem kann man sich in Ruhe auf die Suche nach externen Experten begeben, erste Kontakte und Vertrauen aufbauen. Auch mit kleineren Investitionen kann man viele Dinge bewegen und die digitale Umgebung Stück für Stück sichern.
Firmen mit einem Umsatz von mehr als einer Million € und ausreichenden Finanzierungsgrundlagen können auch die Zertifizierung diskutieren. Insbesondere bis zur Erreichung der Zertifizierung ist ein erhöhtes Budget einzuplanen.

Dabei können etwa 10% des jährlichen Haushalts bzw. Umsatzes gute Voraussetzungen sein. Das ist aber nur ein ungefährer Richtwert – die realen Zahlen hängen natürlich von den eingangs beschriebenen Voraussetzungen ab, was bisher für die Cybersicherheit getan wurde. Für die dann folgenden Jahre fallen dann erfahrungsgemäß weniger Kosten an. Aber auch hier sollte man – wie in der Politik – etwa 2 bis 5% seines Haushaltes für Verteidigungsausgaben zur Verfügung stellen, um ein gutes Sicherheits-Niveau gewährleisten zu können.