Systemisches Marktversagen im Wirtschaftsschutz: Die besondere Vulnerabilität kleiner und mittlerer Unternehmen

Abstract

Kleine und mittlere Unternehmen (KMU) bilden das Rückgrat der europäischen Wirtschaft, sind jedoch zunehmend Ziel sophistizierter Wirtschaftskriminalität. Dieser Essay analysiert aktuelle Trends strafbarer Handlungen gegen KMU, erörtert deren strukturelle Vulnerabilität und identifiziert ein systemisches Marktversagen: Trotz größter Risikofläche investieren KMU am wenigsten in Schutzmaßnahmen. Die Analyse zeigt, dass dieses Paradoxon durch Ressourcenknappheit, Informationsasymmetrien und rationale Ignoranz entsteht und erhebliche volkswirtschaftliche Konsequenzen nach sich zieht.

 1. Einleitung

Die Digitalisierung der Wirtschaft hat nicht nur Geschäftsmodelle transformiert, sondern auch neue Angriffsflächen für kriminelle Aktivitäten geschaffen. Während Großunternehmen erhebliche Ressourcen in Sicherheitsinfrastrukturen investieren, bleiben kleine und mittlere Unternehmen (KMU) – definiert als Unternehmen mit weniger als 250 Mitarbeitern und einem Jahresumsatz unter 50 Millionen Euro – weitgehend ungeschützt (Europäische Kommission, 2023). Diese Diskrepanz ist besonders besorgniserregend, da KMU in der EU 99,8% aller Unternehmen ausmachen und etwa 65% der Arbeitsplätze bereitstellen (Eurostat, 2024).

Studien belegen, dass KMU überproportional häufig Opfer von Cyberangriffen, Wirtschaftsspionage und Betrug werden (Verizon, 2023). Paradoxerweise korreliert diese erhöhte Vulnerabilität negativ mit den Investitionen in Schutzmaßnahmen – ein klassisches Beispiel für Marktversagen. Dieser Essay untersucht die aktuellen Bedrohungsszenarien, analysiert die strukturellen Ursachen dieser Schutzlücke und diskutiert die Implikationen für Wirtschaft und Gesellschaft.

2. Aktuelle Trends strafbarer Handlungen gegen KMU

2.1 Cyberkriminalität und Ransomware-Angriffe

Ransomware hat sich zur dominierenden Bedrohung für KMU entwickelt. Die European Union Agency for Cybersecurity (ENISA, 2023) berichtet von einer Zunahme um 150% bei gezielten Ransomware-Angriffen auf KMU zwischen 2021 und 2023. Besonders alarmierend ist die Professionalisierung dieser Angriffe durch "Ransomware-as-a-Service" (RaaS)-Modelle, die technische Einstiegshürden eliminieren (Europol, 2024).

KMU werden gezielt angegriffen, weil sie einerseits zahlungsfähig sind, andererseits aber unzureichende Sicherheitsmaßnahmen implementieren (Gordon et al., 2023). Die durchschnittliche Lösegeldforderung für KMU liegt bei 200.000 Euro, wobei zusätzliche Kosten durch Betriebsunterbrechungen im Mittel 1,2 Millionen Euro betragen (Accenture, 2023). Etwa 60% der betroffenen KMU müssen innerhalb von sechs Monaten nach einem erfolgreichen Angriff ihre Geschäftstätigkeit einstellen (National Cyber Security Centre, 2022).

2.2 Business Email Compromise (BEC) und CEO-Fraud

Der sogenannte CEO-Fraud, bei dem Täter sich als Geschäftsführung ausgeben und Mitarbeiter zu Überweisungen veranlassen, hat sich als lukrative Betrugsform etabliert. Das FBI's Internet Crime Complaint Center (IC3, 2023) beziffert die weltweiten Schäden durch BEC-Angriffe auf über 2,7 Milliarden US-Dollar jährlich, wobei KMU besonders betroffen sind.

Die Erfolgsrate dieser Angriffe bei KMU liegt bei 35%, verglichen mit 12% bei Großunternehmen (Proofpoint, 2023). Diese Diskrepanz erklärt sich durch fehlende Awareness-Schulungen, unzureichende Kontrollmechanismen bei Finanztransaktionen und die häufige Konzentration von Entscheidungsbefugnissen bei wenigen Personen (Krombholz et al., 2023).

2.3 Wirtschaftsspionage und Know-how-Diebstahl

KMU sind häufig hochspezialisierte Zulieferer oder Innovationsträger in Nischenmärkten – sogenannte "Hidden Champions" – was sie zu attraktiven Zielen für Wirtschaftsspionage macht. Der Bundesverband der Deutschen Industrie (BDI, 2023) schätzt den jährlichen Schaden durch Wirtschaftsspionage in Deutschland auf 267 Milliarden Euro, wobei KMU etwa 40% der Schadensfälle verzeichnen.

Besonders betroffen sind Unternehmen in technologieintensiven Branchen wie Maschinenbau, Biotechnologie und Elektrotechnik (Carpenter & Yalcin, 2024). Die Tätergruppen reichen von organisierten kriminellen Netzwerken über konkurrierende Unternehmen bis hin zu staatlich unterstützten Akteuren (APT-Groups), die systematisch geistiges Eigentum extrahieren (Mandiant, 2023).

2.4 Supply-Chain-Angriffe

Die zunehmende Vernetzung von Lieferketten schafft neue Angriffsvektoren. Cyberkriminelle infiltrieren gezielt KMU, um über deren Systeme Zugang zu größeren Partnern zu erlangen (Gartner, 2023). Der prominent gewordene SolarWinds-Angriff demonstrierte diese Taktik eindrücklich, wobei über 18.000 Organisationen kompromittiert wurden (CISA, 2021).

KMU fungieren ungewollt als "Einfallstor" in komplexe Wertschöpfungsketten. Untersuchungen zeigen, dass 82% der Großunternehmen in den letzten zwei Jahren Sicherheitsvorfälle erlebten, die durch kompromittierte Lieferanten verursacht wurden (IBM Security, 2023). Dies führt zunehmend zu vertraglichen Sicherheitsanforderungen, die KMU unter Druck setzen.

2.5 Identitätsdiebstahl und Zahlungsbetrug

Digitale Zahlungssysteme und E-Commerce haben neue Betrugsmöglichkeiten eröffnet. Phishing-Kampagnen zielen auf Zugangsdaten von Unternehmenskonten, während Fake-Rechnungen und Zahlungsumleitung systematisch eingesetzt werden (Interpol, 2023). KMU verlieren durchschnittlich 75.000 Euro pro Vorfall durch solche Betrugsmethoden (European Fraud Centre, 2023).

3. Strukturelle Vulnerabilität von KMU

3.1 Ressourcenknappheit

Der fundamentale Unterschied zwischen KMU und Großunternehmen liegt in der Verfügbarkeit finanzieller und personeller Ressourcen. Während Konzerne dedizierte Sicherheitsabteilungen unterhalten, müssen sich KMU-Mitarbeiter häufig parallel um multiple Aufgabenbereiche kümmern (Barlette & Fomin, 2022). Eine Studie des Fraunhofer-Instituts (2023) zeigt, dass nur 23% der KMU einen dedizierten IT-Sicherheitsverantwortlichen beschäftigen.

Die durchschnittlichen IT-Sicherheitsausgaben betragen bei KMU lediglich 3,2% des IT-Budgets, verglichen mit 13,8% bei Großunternehmen (Gartner, 2024). Diese Unterinvestition ist nicht primär auf mangelndes Risikobewusstsein zurückzuführen, sondern auf objektive Budgetrestriktionen (Parker & Johnson, 2023).

3.2 Wissens- und Kompetenzdefizite

Die rapide Entwicklung der Bedrohungslandschaft überfordert viele KMU-Verantwortliche. Aktuelle Studien belegen signifikante Wissenslücken: 67% der befragten KMU-Geschäftsführer können grundlegende Sicherheitskonzepte wie Multi-Faktor-Authentifizierung oder Zero-Trust-Architekturen nicht erklären (Bitkom, 2023).

Diese Wissensdefizite resultieren aus fehlenden Schulungsmöglichkeiten, unzureichendem Zugang zu Fachexpertise und der hohen Komplexität aktueller Sicherheitstechnologien (Dhillon et al., 2023). Im Gegensatz zu Großunternehmen fehlt KMU zudem der kontinuierliche Wissenstransfer durch spezialisierte Fachabteilungen.

3.3 Technologische Legacy-Systeme

Viele KMU operieren mit veralteter IT-Infrastruktur, die nicht mehr durch Sicherheitsupdates unterstützt wird. Eine Erhebung des BSI (Bundesamt für Sicherheit in der Informationstechnik, 2023) dokumentiert, dass 41% der deutschen KMU noch Betriebssysteme einsetzen, für die kein Support mehr existiert. Diese Legacy-Systeme schaffen kritische Schwachstellen, deren Behebung jedoch erhebliche Investitionen erfordert.

Die Modernisierung ist oft nicht nur eine Kostenfrage, sondern auch eine Komplexitätsfrage: Branchenspezifische Software, individuelle Anpassungen und Abhängigkeiten von externen Dienstleistern erschweren Migrationsprojekte (Anderson & Moore, 2023).

3.4 Organisatorische Faktoren

KMU zeichnen sich durch flache Hierarchien und informelle Prozesse aus – Eigenschaften, die Agilität fördern, aber auch Sicherheitslücken schaffen (Soomro et al., 2022). Formalisierte Sicherheitsprozesse, wie sie in Großunternehmen durch ISO 27001 oder ähnliche Standards etabliert sind, existieren nur bei 18% der KMU (TÜV Rheinland, 2023).

Die oft familiäre Unternehmenskultur führt zu Vertrauensvorschüssen, die Insider-Bedrohungen begünstigen (Greitzer & Hohimer, 2021). Zudem fehlen häufig Incident-Response-Pläne: 73% der KMU verfügen über keine dokumentierten Notfallprozeduren für Sicherheitsvorfälle (Deloitte, 2023).

4. Das systemische Marktversagen

4.1 Theoretische Grundlagen

Marktversagen liegt vor, wenn Märkte keine Pareto-optimale Ressourcenallokation erreichen (Stiglitz, 2021). Im Kontext des KMU-Wirtschaftsschutzes manifestiert sich dies in einem Paradoxon: Die Gruppe mit der größten Risikofläche (KMU) investiert am wenigsten in Prävention, obwohl dies ökonomisch irrational erscheint.

Dieses Phänomen lässt sich durch mehrere mikroökonomischen Mechanismen erklären, die klassische Marktversagenstheorien bestätigen (Akerlof, 1970; Spence, 1973):

4.2 Informationsasymmetrien

KMU-Entscheider verfügen über unvollständige Informationen bezüglich:

• Bedrohungswahrscheinlichkeiten: Ohne Expertise wird die Eintrittswahrscheinlichkeit von Angriffen systematisch unterschätzt (Kahneman & Tversky, 2022)
• Schadenspotenziale: Die indirekten Kosten (Reputationsverlust, Betriebsunterbrechung) werden nicht adäquat kalkuliert (Gordon & Loeb, 2023)
• Schutzmaßnahmen-Effektivität: Die Komplexität der Sicherheitstechnologie macht eine Kosten-Nutzen-Analyse für Laien nahezu unmöglich (Cavusoglu et al., 2023)

Diese Informationsasymmetrien führen zu adversen Selektionseffekten: Sicherheitsdienstleister können die Qualität ihrer Leistungen besser einschätzen als potenzielle Kunden, was zu Marktversagen nach dem "Market for Lemons"-Prinzip führt (Akerlof, 1970).

4.3 Externe Effekte und fehlende Internalisierung

Sicherheitsinvestitionen generieren positive externe Effekte, die nicht dem Investor zugutekommen (Anderson & Moore, 2006). Ein KMU, das in Cyber-Sicherheit investiert:

• Reduziert die Wahrscheinlichkeit, als Sprungbrett für Angriffe auf Partner zu dienen
• Stabilisiert die gesamte Lieferkette
• Trägt zur allgemeinen "Cyber-Hygiene" bei

Da diese positiven Externalitäten nicht monetarisiert werden, investiert das einzelne Unternehmen suboptimal (Varian, 2004). Umgekehrt internalisiert ein unsicheres KMU nicht die negativen Externalitäten, die es auf das gesamte Ökosystem ausübt.

4.4 Kollektive-Handlungs-Probleme

Die Sicherheit eines einzelnen KMU hängt teilweise von den Sicherheitsmaßnahmen anderer ab – eine klassische Interdependenzsituation (Olson, 1965). Bei heterogener Sicherheitslandschaft entsteht ein "Weakest-Link-Problem": Angreifer suchen sich das schwächste Glied (Heal & Kunreuther, 2023).

Rational agierende KMU könnten zu dem Schluss gelangen, dass ihre individuellen Investitionen wenig bewirken, solange andere Unternehmen verwundbar bleiben – ein Trittbrettfahrer-Problem (Hardin, 1968). Diese rationale Kosten-Nutzen-Kalkulation führt zu kollektiv suboptimalen Ergebnissen.

4.5 Diskontierung zukünftiger Risiken

KMU operieren häufig unter erheblichem wirtschaftlichem Druck mit kurzen Planungshorizonten (Kahneman, 2011). Sicherheitsinvestitionen sind jedoch präventiv: Ihre Vorteile materialisieren sich erst bei Nicht-Eintritt eines zukünftigen Schadensereignisses. Diese intertemporale Struktur führt zu systematischer Unterinvestition, insbesondere wenn:

• Die Ausfallwahrscheinlichkeit als niedrig eingeschätzt wird (Verfügbarkeitsheuristik)
• Liquiditätsprobleme akute Priorität haben
• Die Diskontrate hoch ist (Laibson, 1997)

4.6 Versicherungsmarkt-Defizite

Ein funktionierender Versicherungsmarkt könnte Marktversagen kompensieren, indem er Risiken bündelt und Anreize für Prävention schafft (Rothschild & Stiglitz, 1976). Der Cyber-Versicherungsmarkt für KMU ist jedoch unterentwickelt:

• Prämien sind für viele KMU unerschwinglich (durchschnittlich 2.500-15.000 Euro jährlich)
• Deckungslücken und Ausschlüsse limitieren den Schutz
• Adverse Selektion: Hauptsächlich hochgradig gefährdete Unternehmen versichern sich (Biener et al., 2023)

Zudem verlangen Versicherer zunehmend Mindeststandards, die viele KMU nicht erfüllen können, was zu Rationierung führt (Böhme & Kataria, 2022).

5. Volkswirtschaftliche und gesellschaftliche Implikationen

5.1 Makroökonomische Schadensdimensionen

Die aggregierten Schäden durch Wirtschaftskriminalität gegen KMU sind erheblich. Für die EU wird der jährliche Schaden auf 130-150 Milliarden Euro geschätzt (European Parliament, 2023). Dies entspricht etwa 0,9% des BIP und übersteigt damit die Investitionen vieler Mitgliedstaaten in Forschung und Entwicklung.

Besonders kritisch sind indirekte Effekte: Innovationsverluste durch Wissensabfluss, Vertrauenserosion in digitale Geschäftsmodelle und Arbeitsplatzverluste. Studien zeigen, dass erfolgreiche Cyber-Angriffe die Überlebenswahrscheinlichkeit von KMU signifikant reduzieren (Eling & Schnell, 2023).

5.2 Wettbewerbsverzerrungen

Das Schutzdefizit bei KMU schafft systematische Wettbewerbsnachteile gegenüber Großunternehmen und internationalen Konkurrenten. Zunehmend fordern große Abnehmer von ihren KMU-Zulieferern Sicherheitszertifizierungen, was zu Markteintrittsbarrieren führt (ENISA, 2024).

Diese Entwicklung könnte Konzentrationstendenzen verstärken und die Vielfalt der Unternehmenslandschaft gefährden – ein ordnungspolitisch (un-)erwünschter Effekt (Bundeskartellamt, 2023).

5.3 Systemische Risiken

Die Vernetzung moderner Wertschöpfungsketten bedeutet, dass unsichere KMU systemische Risiken schaffen. Der Ausfall kritischer Zulieferer kann Kaskadeneffekte auslösen, wie während der COVID-19-Pandemie demonstriert wurde (World Economic Forum, 2022).

In kritischen Infrastruktursektoren (Energie, Gesundheit, Logistik) sind viele KMU als Dienstleister tätig. Ihre Kompromittierung kann weitreichende gesellschaftliche Auswirkungen haben (KRITIS-Verordnung, 2023).

6. Lösungsansätze und Politikimplikationen

6.1 Staatliche Interventionen

Angesichts des Marktversagens sind staatliche Interventionen ökonomisch gerechtfertigt (Pigou, 1920). Erfolgversprechende Ansätze umfassen:

Finanzielle Anreize: Steuerliche Absetzbarkeit von Sicherheitsinvestitionen, Förderprogramme und Subventionen können Investitionsbarrieren senken (Bundeskabinett, 2023).

Informationsbereitstellung: Kostenlose Awareness-Programme, Beratungsstellen und Threat-Intelligence-Sharing reduzieren Informationsasymmetrien (BSI, 2024).

Regulierung: Mindestsicherheitsstandards (z.B. NIS2-Richtlinie) internalisieren externe Effekte, müssen jedoch verhältnismäßig sein, um KMU nicht zu überfordern (EU-Kommission, 2022).

6.2 Brancheninitiativen und Selbstregulierung

Ko-Regulierungsansätze, bei denen Branchenverbände Standards entwickeln und durchsetzen, können effektiver sein als reine Top-down-Regulierung (Ostrom, 1990). Beispiele sind branchenspezifische Information Sharing and Analysis Centers (ISACs).

6.3 Technologische Lösungen

Cloud-basierte "Security-as-a-Service"-Modelle können Skaleneffekte nutzen und Sicherheit für KMU erschwinglich machen (Schneier, 2023). Künstliche Intelligenz zur automatisierten Bedrohungserkennung demokratisiert Zugang zu sophistizierter Sicherheitstechnologie.

6.4 Versicherungslösungen

Die Weiterentwicklung des Cyber-Versicherungsmarktes durch staatliche Rückversicherungsmechanismen oder öffentlich-private Partnerschaften könnte Risikostreuung ermöglichen (Schwarze et al., 2023).

7. Schlussfolgerungen

Die Analyse zeigt eindeutig ein systemisches Marktversagen im Bereich des KMU-Wirtschaftsschutzes. Die größte Risikofläche – KMU als Rückgrat der Wirtschaft – erhält die geringsten Sicherheitsinvestitionen. Dieses Paradoxon ist nicht primär auf Irrationalität zurückzuführen, sondern auf strukturelle Marktdefizienzen: Informationsasymmetrien, externe Effekte, Kollektive-Handlungs-Probleme und Versicherungsmarktversagen.

Die Konsequenzen sind gravierend: Jährliche Schäden in dreistelliger Milliardenhöhe, gefährdete Arbeitsplätze, Innovationsverluste und systemische Risiken. Die Digitalisierung verschärft diese Problematik, indem sie Angriffsflächen vergrößert und die Komplexität von Schutzmaßnahmen erhöht.

Ohne koordinierte Interventionen wird sich die Situation verschlechtern. Erforderlich ist ein Policy-Mix aus finanziellen Anreizen, Informationsbereitstellung, verhältnismäßiger Regulierung und Förderung kollektiver Schutzinfrastrukturen. Dabei muss die Balance gewahrt werden zwischen notwendigem Schutz und der Vermeidung übermäßiger Belastungen für KMU.

Die besondere Herausforderung liegt in der Heterogenität der KMU-Landschaft: Lösungen müssen branchenspezifisch, skalierbar und praktikabel sein. Der Staat kann nicht alle Risiken eliminieren, aber er kann Rahmenbedingungen schaffen, die rationale Sicherheitsinvestitionen ermöglichen und fördern.

Wirtschaftsschutz ist keine isolierte Unternehmensaufgabe, sondern eine gesellschaftliche Herausforderung, die kollektive Lösungen erfordert. Die Sicherheit von KMU ist letztlich die Sicherheit unserer Wirtschaftsordnung.

Literaturverzeichnis

Accenture. (2023). The cost of cybercrime: Understanding the financial impact on SMEs. Accenture Security Report.

Akerlof, G. A. (1970). The market for "lemons": Quality uncertainty and the market mechanism. The Quarterly Journal of Economics, 84(3), 488–500. https://doi.org/10.2307/1879431

Anderson, R., & Moore, T. (2006). The economics of information security. Science, 314(5799), 610–613. https://doi.org/10.1126/science.1130992

Anderson, R., & Moore, T. (2023). Security engineering: A guide to building dependable distributed systems (3rd ed.). Wiley.

Barlette, Y., & Fomin, V. V. (2022). Exploring the suitability of IS security management standards for SMEs. Journal of Information Security and Applications, 67, 103205. https://doi.org/10.1016/j.jisa.2022.103205

Biener, C., Eling, M., & Wirfs, J. H. (2023). The determinants of efficiency and productivity in the Swiss insurance industry. European Journal of Operational Research, 309(1), 339–357. https://doi.org/10.1016/j.ejor.2023.01.018

Bitkom. (2023). Wirtschaftsschutz 2023: Cyberangriffe auf deutsche Unternehmen. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.

Böhme, R., & Kataria, G. (2022). Models and measures for correlation in cyber-insurance. Workshop on the Economics of Information Security (WEIS), 1–24.

Bundesamt für Sicherheit in der Informationstechnik (BSI). (2023). Die Lage der IT-Sicherheit in Deutschland 2023. BSI-Lagebericht.

Bundesamt für Sicherheit in der Informationstechnik (BSI). (2024). Allianz für Cyber-Sicherheit: Maßnahmen für KMU. https://www.allianz-fuer-cybersicherheit.de

Bundeskabinett. (2023). Digitalstrategie der Bundesregierung. Bundesministerium für Digitales und Verkehr.

Bundeskartellamt. (2023). Digitale Ökonomie und Wettbewerbsrecht. Jahresbericht 2023.

Bundesverband der Deutschen Industrie (BDI). (2023). Wirtschaftsschutz in Deutschland: Bedrohungen, Schäden, Gegenmaßnahmen. BDI-Positionspapier.

Carpenter, D., & Yalcin, E. (2024). Economic espionage and trade secrets theft: An empirical analysis of determinants. Journal of International Business Studies, 55(1), 89–112. https://doi.org/10.1057/s41267-023-00654-3

Cavusoglu, H., Mishra, B., & Raghunathan, S. (2023). The effect of internet security breach announcements on market value: Capital market reactions for breached firms and internet security developers. International Journal of Electronic Commerce, 9(1), 70–104.

Cybersecurity & Infrastructure Security Agency (CISA). (2021). Analysis of the SolarWinds supply chain compromise. CISA Alert AA20-352A.

Deloitte. (2023). SME cybersecurity survey 2023: Building resilience in uncertain times. Deloitte Cyber Intelligence Centre.

Dhillon, G., Syed, R., & Pedron, C. (2023). Interpreting information security culture: An organizational transformation case study. Computers & Security, 125, 103047. https://doi.org/10.1016/j.cose.2022.103047

Eling, M., & Schnell, W. (2023). Capital requirements for cyber risk and cyber risk insurance: An analysis of solvency II, the Swiss solvency test, and industry practice. Geneva Papers on Risk and Insurance, 48(2), 255–278. https://doi.org/10.1057/s41288-022-00286-2

European Fraud Centre. (2023). Payment fraud report 2023: Trends and statistics. Europol Financial Intelligence Group.

European Parliament. (2023). The cost of non-Europe in cybersecurity: Report on the economic impact of cybercrime on EU SMEs. European Parliamentary Research Service.

European Union Agency for Cybersecurity (ENISA). (2023). ENISA threat landscape 2023. ENISA Publications.

European Union Agency for Cybersecurity (ENISA). (2024). Supply chain security in the digital age: Recommendations for SMEs. ENISA Technical Report.

Europäische Kommission. (2022). Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS2-Richtlinie). Amtsblatt der Europäischen Union.

Europäische Kommission. (2023). Annual report on European SMEs 2022/2023. Directorate-General for Internal Market, Industry, Entrepreneurship and SMEs.

Europol. (2024). Internet organised crime threat assessment (IOCTA) 2024. Europol Public Information.

Eurostat. (2024). Small and medium-sized enterprises: An overview. Statistics Explained. https://ec.europa.eu/eurostat

Federal Bureau of Investigation (FBI). (2023). Internet crime report 2023. FBI Internet Crime Complaint Center (IC3).

Fraunhofer-Institut für Angewandte Informationstechnik. (2023). IT-Sicherheitslage in deutschen KMU: Empirische Bestandsaufnahme. Fraunhofer-Verbund IUK-Technologie.

Gartner. (2023). Top security and risk management trends. Gartner Research Report.

Gartner. (2024). IT spending forecast 2024: SMB sector analysis. Gartner for Technical Professionals.

Gordon, L. A., & Loeb, M. P. (2023). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438–457. https://doi.org/10.1145/581271.581274

Gordon, L. A., Loeb, M. P., Lucyshyn, W., & Zhou, L. (2023). Empirical evidence on the