Logo von PREVISEC, einer Software für Incident Management und Krisenmanagement
Alexander Berger, CEO, SMART DATA Deutschland GmbH
03.09.2021

 Kostenoptimierung in der Unternehmenssicherheit:
Der Budget Sweet Spot

Das Budgetproblem

Der Kostenoptimierung in der Unternehmenssicherheit liegt ein Budgetproblem zugrunde: Es gibt unzählbar viele Möglichkeiten für Unternehmen und Organisationen, Produkte und Dienstleistungen zu beziehen, die ihnen helfen Risiken ihres Geschäftsbetriebs oder deren Auswirkungen im Eintrittsfalle zu minimieren. Deutlich besser zählen lassen sich diejenigen Abteilungen und Manager, die mit einem Budget operieren können, welches so groß ist, dass andere Faktoren, wie z.B. die selbst erbringbare Koordinationsleitung, die limitierende Ressource sind. Viele kennen die schwierigen Verhandlungen in denen manchmal der Eindruck entsteht, „Sicherheit“ (in jeglicher Hinsicht) koste nur Geld und ist ein allenfalls geduldeter Pflicht-Posten, umgesetzt auf Compliance-Niveau. Gleichwohl hängt vermutlich keiner der fachlich versierten Manager der Illusion nach, man könne einfach Millionen für Leistungen ausgeben und damit automatisch „Sicherheit“ erzeugen. Was also tun? Die Kollegen einfach mal machen lassen? Oder gibt es Kostenoptimierung in der Unternehmenssicherheit?

Die Sicherheit-Budget-Kurve

Einigen wir uns kurz auf ein sehr integrales Verständnis von Unternehmenssicherheit: Jedes Ereignis und jeder Zustand, der die Geschäftsprozesse nachteilig beeinflusst, die Reputation einer Organisation gefährdet oder direkte Schäden für Mitarbeiter, Kunden und Assets bedeutet, ist hier relevant. Darunter fallen also sehr unterschiedliche Themen, wie z.B. Cybersecurity, Corporate Security, BCM, Privacy, Compliance, Health & Safety, Sustainability, etc. . Wie könnte also eine Sicherheit-Budget-Kurve für ein Unternehmen aussehen? Nun, Kosten lassen sich i.d.R. gut ermitteln und einfach darstellen. Wir nehmen also eine x-Achse mit 0-N€ für die Indikation des jeweils für die Bearbeitung von sicherheitsrelevanten Themen zur Verfügung stehenden Budgets. „Sicherheit“ ist schwieriger zu quantifizieren, weshalb sich eine relative Skala von 0-100% anbietet. Hierbei soll 0% bedeuten, das Unternehmen hat keinerlei bewusste Maßnahme dafür getroffen, seine Sicherheit zu erhöhen. 100% soll bedeuten, das Unternehmen war in der Lage alle seine Risiken auszuschließen. Dieser Satz schmerzt fast schon beim Schreiben – „Das gibt es nicht!“ mag Ihnen in den Sinn schießen. Zu Recht. Deshalb erreicht unsere Kurve beim größtmöglichen Budget dennoch niemals die 100%, es gibt immer ein Restrisiko!

Diagrammbereich für die Darstellung der Risikokosten

Am unteren Ende startet die Kurve mit einer Art Sprung (Hinweis: Nicht „Sprungfunktion“ im mathematischen Sinne“): Es gibt je nach Eigenschaften einer Organisation einen rechtlich vorgegebenen Umfang von sicherheitsrelevanten Maßnahmen, der zu ergreifen ist (verpflichtend). Dafür muss ein Budget ermittelt werden, mit dem dieses „minimale Sicherheitsniveau“ erreicht wird. Dieser Punkt ist sehr individuell je Unternehmen. Was zwischen „0€-0%“ und diesem Punkt passiert klammern wir vorerst mal aus. Die Kurve ergänzt sich also folgendermaßen:

Baseline der Sicherheit und der Kosten in der Unternehmenssicherheit

Jeder kennt Prinzipien wie die „80/20-Regel“ und es leuchtet ein, dass anfangs durch kleine, günstige Maßnahmen vergleichsweise große Zugewinne an „Sicherheit“ zu erzielen sein werden, während gegen Ende der Effekt von einem weiteren Euro Budget immer geringer wird. Die Kurve zwischen unseren beiden Randpunkten sieht also etwa so aus:

Verlauf der Sicherheit abgetragen auf Security Spend im Diagramm

Ihre Steigung wird immer kleiner und dabei aber nie null.
Zum „Kästchen“ unter dem „Compliance-Punkt“: was hierin genau passiert ist nicht so leicht herzuleiten. Der Einfachheit halber nehmen wir an, dass hier dieselben Effekte überwiegen wie oben und ergänzen:

Wichtige Punkte im Bezug auf den Security Spend

Gewichtete Risikokosten

Eine weitere Überlegung bringt uns zu einer spannenden Ergänzung: Für jedes Risiko können wir die resultierenden Kosten bepreisen. Die Wahrscheinlichkeit, dass diese Kosten tatsächlich aufgewendet werden müssen, sinkt, je weiter oben wir uns auf der „Sicherheitsskala“ befinden. Dazu kann jedes Ereignis bzw. jeder Zustand mit einer Eintrittswahrscheinlichkeit versehen werden, die individuell anzupassen ist, sobald getroffenen Maßnahmen die Wahrscheinlichkeit senken. Verstärkende Effekt zwischen einzelnen Elementen mal ausgeklammert, sind die gesamten Risikokosten als  zu ermitteln. Das aufgewendete Budget hat unmittelbaren Einfluss auf die getroffenen Mitigations-Maßnahmen und damit die Eintrittswahrscheinlichkeit. Mit dieser Korrelation im Hintergrund und unter Annahme derselben Effekte (80/20, abnehmende Effektivität) ergänzt sich unsere Ansicht folgendermaßen:

Einführung der gewichteten Risikokosten

„Risikokosten“ sind hier also die summierten, nach Eintrittswahrscheinlichkeit gewichteten Kosten, abgetragen auf das eingesetzte Budget. Wie zu erwarten lassen sich auch nicht alle Risikokosten durch ein beliebig hohes Budget eliminieren – unser Restrisiko verursacht Restkosten. Einen deutlichen Anstieg sieht man im Compliance-Bereich, hier erhöhen u.a. Strafen die ereignisbezogenen Kosten u.U. enorm.

Der „Sweet Spot“ bei der Kostenoptimierung Unternehmenssicherheit

Um jetzt ein Optimierungsproblem zu schaffen und zu lösen, benötigt man nur einen weiteren Schritt: Für jedes denkbare Budget addiert man die Risikokosten mit dem eingesetzten Budget und sucht sich das Minimum. Das ist der „rational“ optimale Mitteleinsatz für eine effiziente Unternehmenssicherheit. Um das zu tun, kann man z.B. die Gesamtkostenkurve auf das eingesetzte Budget abtragen.

Natürlich gibt es hierzu eine Reihe weiterer, valider Überlegungen: Man könnte auch ein Ziel-Sicherheitsniveau definieren (Herausforderung: Messbarkeit) und dieses Ziel zu erreichen – die Daten ergeben dann einen sinnvollen Investitionsplan für das Ziel. Vermutlich möchte man das Budget auch nicht innerhalb eines Jahres von 0 auf 100 steigern, sondern sich diesem Punkt über eine bestimmte Periode annehmen.
Weiterhin spannend wäre: Welche Möglichkeiten hat Unternehmenssicherheit vielleicht, die Steigung der Kurven jeweils zu beeinflussen, um im Endeffekt mit weniger Budget mehr zu erreichen? Gibt es zudem vielleicht „harte Rahmenbedingungen“? – Beispiel: Wie hoch dürfen unsere Risikokosten im Worst Case sein (liquidtätsbezogene Überlegung)? Was können wir stemmen und deshalb akzeptieren?

Um all das zu bearbeiten ist Grundvoraussetzung, dass man eine Datenlage vorzuweisen hat, die es einem erlaubt in diesem Diagramm ein Kreuzchen für die eigene, aktuelle Position des Unternehmens zu setzen. Das mit der x-Achse ist einfach…die Frage ist: Wie sehen die Kurven für Ihr Unternehmen aus?
Auf einer Datenplattform für Unternehmensrisiken laufen alle relevanten Informationen zu sicherheitsrelevanten Ereignissen zusammen und werden mit Kontextdaten verknüpft. Solch eine Plattform bieten wir mit PREVISEC. Wie Sie damit Kostentransparenz herstellen, die Effektivität und Effizienz des eingesetzten Budgets messen und Investitionsentscheidungen clever treffen zeigen wir in einem weiteren Artikel.

Wie PREVISEC Unternehmenssicherheit vernetzt

Plattform für Incident- und Krisenmanagement PREVISEC im Schema
Lesen

Mehr zu Analysen in PREVISEC

Ein Desktop der die Incident Analyse von PREIVSEC zeigt
Lesen

Übersicht über alle Funktionen der Plattform

hier entlang