Dies führt dazu, dass nicht nur die Kunden zunehmend für das Thema sensibilisiert werden, sondern auch immer mehr Anbieter ihre Chance wittern. Das größte Problem bleibt dabei jedoch, die richtige Lösung für die spezifischen Bedürfnisse zu finden. Bereits jetzt ist der Markt mit rund 7.000 Anbietern äußerst fragmentiert und für die Kunden zum Teil unübersichtlich – und das Marktvolumen wird sich in den nächsten Jahren rasant weiterentwickeln. Unternehmen dürfen sich jetzt nicht von den neuesten Innovationen blenden lassen, sondern müssen den Blick auf die bestmögliche Lösung richten. Andernfalls stehen Angreifern mittelfristig Tür und Tor offen, oder auf der anderen Seite werden Dinge beschafft, die nicht wesentlich die Sicherheit erhöhen. Doch wie treffen CIOs die richtige Wahl in diesem Anbieterdschungel? Die Lösung dieses Problems kann ein unabhängiger Partner sein, der sie bei der Beschaffung der richtigen IT-Security-Partner für die jeweiligen Anforderungen und das entsprechende Budget begleitet.

Struktur im Einkaufsprozess – ein unabdingbares Gut

Angesichts der stetig wachsenden Bedrohungen und der steigenden Zahl von Anbietern auf dem Cybersicherheitsmarkt wird die Auswahl der richtigen Lösungen zu einer Herausforderung für viele Unternehmen. Es gilt daher, Struktur in den eigenen Beschaffungsprozess zu bringen und dabei die passenden Sicherheitslösungen zu finden, die den jeweiligen Anforderungen eines Unternehmens entsprechen und gleichzeitig in das Budget passen. So können Security-Verantwortliche sicherstellen, dass sie ihre Cybersicherheitsstrategie kontinuierlich verbessern und auf dem neuesten Stand halten. Ein transparenter Beschaffungsprozess hat zudem den Vorteil, dass Unternehmen ihre Compliance-Vorschriften besser einhalten können. Dies ist insbesondere bei öffentlichen Ausschreibungen essenziell: Hier ist die Transparenz ein verpflichtender Bestandteil des Beschaffungsverfahrens. Nur wer auf strukturierte Beschaffungsprozesse setzt, kann hierbei effizient durch den Cybersecurity-Markt navigieren, ohne dabei auf Grund zu laufen.

Den stärksten Wellengang verursacht dabei das sogenannte Maverick Buying. Distributoren von Cybersecurity-Lösungen sind oftmals langjährige Partnerschaften mit einer Hand voll Anbietern eingegangen, weshalb sie in der Angebotserstellung häufig über einen zu engen Horizont verfügen, um potenziellen Kunden ein adäquates Angebot zu unterbreiten. Wird ein neutraler Partner zurate gezogen, liegt in den meisten Fällen schon ein Angebot vor. Um einen strukturierten wie nachvollziehbaren Vergleich durchführen zu können, benötigt es jedoch mindestens drei unterschiedliche Angebote und eine echte Wettbewerbssituation für das beste Preis-Leistungs-Verhältnis. Nur so können Compliance-Vorgaben eingehalten werden. Anstatt auf einen Distributor zu vertrauen, ist es daher ratsam, sich an einen objektiven Partner zu wenden. Dieser legt in iterativer Abstimmung mit dem Unternehmen die Kriterien für die Ausschreibung fest und liefert so einen methodischen Angebotsvergleich mit Management Summary. So ist sichergestellt, dass CIOs eine unparteiische Entscheidung bei der Wahl ihres Sicherheitsanbieters treffen können, der zudem die individuellen Bedürfnisse ihres Unternehmens erfüllt.

Wie genau sieht systematisierte Beschaffung aus?

Wie aber kann der Einkaufsprozess schlank, transparent und gleichzeitig möglichst unbürokratisch gestaltet werden? Zwar gibt es keinen Königsweg. Nichtsdestotrotz können sich Unternehmen an einigen Punkten orientieren.

Ein wichtiger erster Schritt in diesem Prozess besteht darin, eine Risikobewertung durchzuführen. Auch hier empfiehlt sich ein unabhängiger Akteur, um Betriebsblindheit zu vermeiden. Basierend auf diesen Ergebnissen können anschließend erforderliche Sicherheitsmaßnahmen sowie ein Technologie- und Service-Stack definiert werden. Eine detaillierte Risikobewertung und die klare Definition eigener Anforderungen und Ziele ermöglichen es, das Anbieterfeld weiter einzugrenzen. Besonders unter Berücksichtigung der NIS2-Direktive müssen Unternehmen einen Fokus auf eine reife Cybersecurity-Strategie legen.

Im nächsten Schritt des Einkaufsprozesses ist es entscheidend, eine gründliche Vergleichsanalyse der Systeme und Anbieter durchzuführen. In Kooperation mit dem unabhängigen Partner werden sowohl inhaltliche als auch kommerzielle Aspekte berücksichtigt. Zu den relevanten Kriterien gehören unter anderem die Erfüllung der Sicherheitsanforderungen, die Kosten für die Anschaffung, den Betrieb und die Wartung einer Lösung, die Zukunftssicherheit der zugrunde liegenden Technologie sowie die Flexibilität und Skalierbarkeit der Lösung.

Ein besonders wichtiger Punkt bei der Kostenaufstellung: Häufig sind Marketing und Sales der stärkste Treiber einer Rechnung. Im Durchschnitt stecken Anbieter nahezu die Hälfte ihres Budgets in diese zwei Abteilungen – nicht in die Produktentwicklung. Unternehmen sollten sich daher auf Anbieter fokussieren, die ihr Budget fachgerecht investieren. Ein unabhängiger Partner, der den Markt vollumfänglich im Blick hat, kann hierbei der entscheidende Faktor werden.

Darüber hinaus können Reseller die Anschaffungskosten signifikant erhöhen – und das, obwohl sie besonders bei amerikanischen Anbietern häufig keinerlei Wertschöpfung in der Implementierung generieren. Vielmehr werden alle relevanten Meetings vom Anbieter selbst durchgeführt, ebenso die Produkt-Demo und das anschließende Q&A. Der Reseller dient dabei häufig nur als Vermittler, und ist dabei häufig nicht einmal unabhängig in der Wahl des Angebots, Stichwort Partnerschaften.

Unternehmen müssen daher vorrangig darauf achten, dass die ausgewählten Lösungen die relevanten Sicherheitsanforderungen erfüllen, um eine effektive Cybersicherheitsstrategie zu gewährleisten. Die Kosten für die Anschaffung, den Betrieb und die Wartung sollten sorgfältig geprüft werden, um sicherzustellen, dass sie im Budgetrahmen des Unternehmens liegen. Darüber hinaus ist es von Bedeutung, die zukunftssichere Technologie hinter der Lösung zu bewerten, um sicherzustellen, dass sie mit den sich ändernden Anforderungen und Entwicklungen in der Cyberlandschaft Schritt halten kann. Zudem kann eine zukunftssichere Technologie, auch wenn sie in der Anschaffung teurer ist, langfristig die bessere finanzielle Investition darstellen. Gleiches gilt für die Flexibilität und Skalierbarkeit der Lösung. Diese sind ebenfalls entscheidende Faktoren, um sicherzustellen, dass sie an das Wachstum und die sich verändernden Anforderungen des Unternehmens angepasst werden kann.

Die Gewichtung und Priorisierung dieser Kriterien liegen zwar im Ermessen jedes Unternehmens. Dabei gilt es, eine ganzheitliche Betrachtung vorzunehmen und die individuellen Anforderungen und Ziele des Unternehmens zu berücksichtigen. Oftmals kann ein unabhängiger Anbieter jedoch die notwendige Analyse deutlich sorgfältiger durchführen und so eine passgenaue Lösung vorschlagen.

Die eigene IT-Security nachhaltig verbessern

Eine durchstrukturierte Analyse des Marktes kann jedoch nicht nur dabei helfen, unnötige Ausgaben zu reduzieren und versteckte Einsparpotenziale aufzudecken. Vielmehr können ein Unternehmen und sein Partner so auch bereits prüfen, ob eine Lösung bereits bestimmte Vorgaben erfüllt, die in naher Zukunft vom Gesetzgeber eingeführt werden. In solchen Fällen kann es sich oft lohnen, diese Lösung bereits jetzt zu implementieren, anstatt sie später teuer nachrüsten zu müssen.

Ein klar definierter Beschaffungsprozess ermöglicht es Unternehmen auch, ihre Lösungen regelmäßig zu überprüfen und zu bewerten, ob sie den aktuellen Anforderungen noch entsprechen. Auf diese Weise können versteckte Kostenfaktoren identifiziert werden. Zudem ist es wichtig, die aktuellen Lösungen mit dem Status quo des Marktes zu vergleichen. Dabei ist ein wertorientierter Ansatz von Vorteil: Schließlich drohen Sicherheitseinbußen, wenn an der falschen Stelle gespart wird. Unternehmen sollten daher den Fokus auf die Gesamtkosten über einen realistischen Zeitraum legen – einschließlich der Kosten für die Produktimplementierung, Schulungen der Mitarbeiter sowie den Betrieb und die Wartung der Lösungen.

Strukturierter Beschaffungsprozess: Zeitinvestition für langfristige Erfolge

In der komplexen und fragmentierten Welt der Cybersicherheit ist es für Unternehmen unerlässlich, eine strukturierte Herangehensweise zu wählen, um den Überblick zu behalten. Auch wenn ein umfassender Beschaffungsprozess mehr Zeit in Anspruch nimmt als die schnelle Entscheidung für die erstbeste oder billigste Lösung, ist er unverzichtbar, um das beste Preis-Leistungsverhältnis zu erzielen. Vertrauen Unternehmen sich jedoch hierbei dem falschen Partner an, können sie schnell in Seenot geraten. Ein produktunabhängiger Partner wiederum erarbeitet mit dem Unternehmen essenzielle Bewertungskriterien und weiß so, welche Angebote zu den spezifischen Anforderungen passen und wie sich diese in Zukunft verändern könnten. Ressourcen zu verschwenden kann für Unternehmen keine Option darstellen. Wer auf einen umfassenden Beschaffungsprozess verzichtet, wird früher oder später Schiffbruch erleiden.

Quellen

https://www.bitkom.org/Presse/Presseinformation/Halbjahres-Konjunktur-Digitalbranche-waechst-stabil