Startseite > Security > Den Überblick im Anbieterdschungel behalten

Beschaffung von Cybersecurity-Lösungen

Den Überblick im Anbieterdschungel behalten

14. Juni 2023, 11:55 Uhr | Jannis Stemmann/am

Unternehmen sehen sich mit einer wachsenden Gefahr für ihre Cybersicherheit konfrontiert, und die Zahl der Angriffe wird weiter zunehmen. Die Folge: Nicht nur die Awareness bei den Kunden wächst, auch immer mehr Anbieter sehen ihre Chance. Inzwischen tummeln sich rund 7.000 Anbieter auf dem Cybersecurity-Markt – Tendenz steigend. Es ist zu erwarten, dass der Markt bis 2030 ein Volumen von zirka 470 Milliarden Dollar erreicht. Kein Wunder also, dass sich angesichts des riesigen Angebots viele Unternehmen überfordert fühlen und nach Orientierung suchen. Ein strukturierter Beschaffungsprozess kann Unternehmen dabei helfen, die passende Lösung für jedes Budget und zu fairen Preisen zu finden.

Um auf dem komplexen Cybersecurity-Markt nicht den Überblick zu verlieren, bedarf es einer strukturierten und transparenten Herangehensweise. Denn nur so können Unternehmen sicherstellen, dass sie Produkte und Services einkaufen, die auch zu den eigenen Anforderungen passen. Ein klar organisierter Beschaffungsprozess vereinfacht darüber hinaus die regelmäßige Bewertung der gekauften Produkte: Erfüllen sie die Erwartungen? Passen sie überhaupt noch zu meinen Anforderungen? Diese ändern sich nämlich regelmäßig – sei es durch eigenes Wachstum oder durch angepasste gesetzliche Vorgaben. Besonders der zweite Punkt erfordert umfassende Transparenz, um die Einhaltung von Compliance-Vorschriften zu erleichtern. Das gilt vor allem für öffentliche Ausschreibungen. Hier ist Transparenz nicht nur vorteilhaft, sondern verpflichtend.

So sieht ein systematisierter Einkauf aus

Doch wie kann solch ein transparenter und gleichzeitig möglichst unbürokratischer Einkaufsprozess aussehen? Hier gibt es keine allgemeingültige Blaupause, aber einige Aspekte, an denen sich Unternehmen orientieren können.

Am Beginn eines solchen Prozesses steht die Risikobewertung. Um Betriebsblindheit zu vermeiden und eine möglichst objektive Einschätzung vorzunehmen, empfiehlt es sich, die Bewertung von einem unabhängigen Akteur durchführen zu lassen. Darauf aufbauend lassen sich nötige Kontrollmaßnahmen sowie ein Technik- und Service-Stack definieren. Besonderes Augenmerk sollte dabei auf gesetzlichen Vorschriften wie dem IT-SiG 2.0 liegen, das Kritis-Unternehmen seit dem 1. Mai dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen. Je genauer die Risikobewertung ausfällt und die eigenen Anforderungen und Ziele definiert sind, desto enger kann man das Feld stecken und die Auswahl der geeigneten Konzepte und Lösungen bereits eingrenzen.

Im nächsten Schritt geht es darum, Systeme und Anbieter miteinander zu vergleichen: Inhaltlich und kommerziell. Hier gibt es viele Kriterien, die Unternehmen heranziehen können und die jede Organisation unterschiedlich gewichtet. Ein paar dieser Kriterien lauten wie folgt:

Lassen sich relevante Security-Anforderungen erfüllen?
Wie viel kostet eine Lösung in der Anschaffung, dem Betrieb und der Wartung?
Wie zukunftssicher ist die Technik dahinter?
Wie flexibel und skalierbar ist die Lösung?

Security langfristig stärken

Im Einkauf sind die Kosten für eine Lösung häufig das entscheidende Kriterium. Denn obwohl die Awareness in den letzten Jahren gewachsen ist, sind die Budgets weiterhin meist knapp bemessen. Ein pragmatisch durchstrukturierter Einkaufsprozess kann dabei helfen, unnötige Ausgaben zu reduzieren und versteckte Einsparpotenziale zu identifizieren. Die zu erwartenden Kosten sollten bei der Auswahl jedoch keineswegs das einzige Argument darstellen. Erfüllt eine Lösung beispielsweise schon jetzt bestimmte Vorgaben, die der Gesetzgeber wohl in nächster Zeit einführt, kann es sich oft lohnen, diese jetzt schon zu implementieren, statt sie zu einem späteren Zeitpunkt teuer nachzurüsten. Ein gutes Beispiel ist dabei die NIS2-Richtlinie. Diese muss bis Oktober 2024 in nationales Recht umgewandelt sein. Ein Unternehmen kann und sollte sich also schon auf neue Regelungen vorbereiten, die auf der NIS2-Direktive beruhen.

Ein klarer Beschaffungsprozess ermöglicht es zudem, Lösungen immer wieder auf den Prüfstand zu stellen und zu bewerten, ob sie nach wie vor den aktuellen Anforderungen entsprechen. So lassen sich versteckte Kostenfaktoren identifizieren. Zudem sollte man die aktuellen Lösungen immer mit dem aktuellen Marktstand vergleichen. Dabei ist es von Vorteil, einen wertorientierten Ansatz zu verfolgen. Denn wer am falschen Ende spart, muss oft Einbußen in der Sicherheit der Lösungen hinnehmen. Daher sollten sich Unternehmen lieber auf die Gesamtkosten über einen realistischen Zeitraum fokussieren. Darunter fallen auch die Kosten für die Einführung der Produkte, die Schulung der Mitarbeiter, Betrieb und Wartung der Lösung.

Die richtige Struktur schont Ressourcen

Ein umfassender Beschaffungsprozess kostet mehr Zeit, als sich für die erstbeste oder billigste Lösung zu entscheiden. In einem solch fragmentierten und unübersichtlichen Markt wie der der Cybersicherheit ist es für Unternehmen allerdings fast alternativlos, eine strukturierte Herangehensweise zu wählen, um den Überblick zu behalten. Denn klar ist auch: Das beste Preis-Leistungsverhältnis kann man nur finden, wenn man den Einkauf von Services und Leistungen systematisch gestaltet. Dabei können Unternehmen auf externe Partner zurückgreifen, die den Markt kennen und gleichzeitig wissen, welche Angebote zu welchen Anforderungen passen und wie sich diese voraussichtlich in Zukunft ändern werden. Ressourcen zu verschwenden, kann sich kein Unternehmen leisten. Wer auf einen umfassenden Beschaffungsprozess verzichtet, tut jedoch genau das. Entweder, weil die gewählte Lösung keine umfassende Sicherheit bietet oder nicht die richtige für die eigenen Anforderungen ist.

Jannis Stemmann ist CEO bei Bosch CyberCompare.