... IT-Sicherheitsstrategie?
• Sind die Ziele klar und allen bekannt?
Letzteres sollte die einfachste Aufgabe sein: Die sich häufenden Cyberattacken müssen frühzeitig erkannt und besser abgewehrt werden. Es gilt, die Folgeschäden so weit wie möglich zu minimieren. An der Strategie liegt es indes, wenn die steigenden Investitionen nicht im notwendigen Umfang dazu beitragen, die Sicherheitsziele zu erreichen.
Hohes Vertrauen, geringere Zufriedenheit
Wie die Studie „Cybersecurity 2022“ deutlich macht, liegt es nicht an der Höhe der Budgets, ob Unternehmen in Deutschland Vertrauen in die hauseigene Cybersicherheit haben. Betragen die Ausgaben für IT-Security weniger als fünf Prozent des IT-Budgets, halten sich 85 Prozent der Betriebe für fähig, Cybervorfälle selbst erkennen und abwenden zu können. Liegt der Anteil bei fünf bis zehn Prozent, sind mit 88 Prozent gerade mal drei Prozent mehr dieser Meinung.
Generell fällt auf, dass die meisten Befragten an ihre eigene IT-Sicherheit glauben – trotz der vielen Angriffe auf andere Unternehmen, die publik geworden sind. Dabei sind sie mit ihren vorhandenen Security-Lösungen keineswegs rundum glücklich: Nur 62 Prozent äußern sich zufrieden oder sehr zufrieden mit ihrem Virenschutz, 65 Prozent glauben an die Stabilität ihrer Firewall und 61 Prozent sind mit dem Verschlüsselungs-Level einverstanden. Bei neueren Themen wie Zero-Trust-Lösungen liegt die Zufriedenheit nur bei 42 Prozent. Endpoint Detection and Response (EDR) sowie Extended Detection and Response (XDR) kommen mit 41 Prozent Zustimmung nicht besser weg. Dennoch halten 60 Prozent der Unternehmen ihren Basisschutz für ausreichend.
Andererseits gibt es deutliche Hinweise darauf, dass es bei den Security-Strategien noch Luft nach oben gibt. Das beginnt bereits mit der Ist-Analyse, die viele Betriebe für ihre Cybersicherheit vornehmen. „Die Studie ergab, dass sich mehr als zwei Drittel der Unternehmen als gut oder sehr gut bei der Behandlung von Sicherheitsvorfällen einschätzen“, berichtet Sebastian Schmerl, Director Security Services EMEA, Arctic Wolf Networks Germany. Doch der Security-Experte warnt: „Das deckt sich leider nicht mit unserer Erfahrung und den realen Vorfällen, die wir im Wirtschaftsraum DACH sehen. Hier kann man von Selbstüberschätzung oder Fehleinschätzung sprechen, denn im akuten Sicherheitsvorfall sind die meisten Unternehmen schlecht vorbereitet, planlos und maßlos überlastet – kurzum im ,Headless Chicken Mode‘.“
Das eigentliche Problem liegt also offenbar darin, dass Unternehmen sich ungerechtfertigterweise sicher fühlen und nicht erkennen, dass sie Sicherheitsvorfällen professioneller begegnen müssten. Budgets für den Bereich Incident Response stellen der Umfrage zufolge gerade einmal sieben Prozent der befragten Betriebe bereit. Eine riskante Entscheidung, warnen die Security-Experten, bekanntlich komme es in jedem Unternehmen früher oder später zu einem erfolgreichen Angriff – die Frage sei nur, wie darauf reagiert werde.
Solche strategischen Fehler bei den Security-Investitionen könnten Unternehmen vermeiden, indem sie selbst Know-how in der Cybersicherheit aufbauen und auch auf die Erfahrung Dritter vertrauen. „Eine realistische Einschätzung der eigenen Incident-Response-Fähigkeiten hat man nur, wenn man mögliche Szenarien in Übungen durchgespielt oder bereits mehrere größere Sicherheitsvorfälle durchgemacht hat“, sagt Sebastian Schmerl von Arctic Wolf. Momentan sei aber die Wahrscheinlichkeit, dass Unternehmen regelmäßig IT-Notfallübungen vornehmen, nicht besonders hoch.
Laut der aktuellen Studie sagt nur etwa jedes sechste Unternehmen, die zeitnahe Auswertung und Reaktion bei Sicherheitsvorfällen sei eine große Herausforderung. Und wo kein Problem erkannt wird, muss auch nicht geübt werden.
„Leider verstehen die meisten Unternehmen gar nicht, wie Angreifer vorgehen, was dort technisch passiert und was typische Angriffsziele sind“, kommentiert Schmerl die Zahlen. „Es fehlt an personellen Ressourcen, Wissen, Prozessen, Tools und an Erfahrung.“ Die Firmen würden Sicherheitsvorfälle zu spät erkennen und dann auch nur unzureichend lösen. Mit Blick auf die sich verschärfende Bedrohungslage und die immer ausgefeilteren Angriffstechniken werde es daher in den nächsten Jahren immer wichtiger, dass sich Unternehmen helfen lassen, „damit sie nicht zu Freiwild für kriminelle Hacker werden, die immer organisierter vorgehen“.
Geringer Fokus auf Zero Trust
In Zeiten von Hybrid Work als Mischform aus klassischem Büro, Home-Office und mobilem Arbeiten sind Security-Modelle wie Zero Trust die geeignete Antwort, darin sind sich Security-Fachleute einig. In den meisten Unternehmen ist der Ansatz allerdings noch nicht angekommen, wie die Verteilung der Security-Budgets zeigt: Laut Studie investieren die Betriebe mit 43 Prozent besonders stark in die Angriffsabwehr. Für Angriffserkennung/ Whitelisting wollen 37 Prozent Budget einsetzen und für den Datenschutz ebenfalls 37 Prozent. XDR (Extended Detection and Response) steht bei elf Prozent auf der Liste der Investitionen, SASE (Secure Access Service Edge) bei zehn Prozent.
Studiensteckbrief
Herausgeber: CIO, CSO und COMPUTERWOCHE Gold-Partner: Arctic Wolf Networks Germany GmbH Partner: AWS Germany GmbH; Damovo Deutschland GmbH & Co. KG Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der DACH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Security-Spezialisten aus dem IT-Bereich Teilnehmergenerierung: Persönliche E-Mail-Einladung über die Entscheiderdatenbank von CIO, CSO und COMPUTERWOCHE sowie – zur Erfüllung von Quotenvorgaben – über externe Online-Access-Panels
Gesamtstichprobe: 323 abgeschlossene und qualifizierte Interviews Untersuchungszeitraum: 30. August bis 6. September 2022 Methode: Online-Umfrage (CAWI) Fragebogenentwicklung & Durchführung: Custom Research Team von CIO, CSO und COMPUTER-WOCHE in Abstimmung mit den Studienpartnern
Download unter:
Zero-Trust-Konzepte gehören nicht zu den Top-Investitionsbereichen der Unternehmen. In den vorhandenen Konzepten und Richtlinien für Cybersecurity sind sie nicht einmal bei der Hälfte der Betriebe (46 Prozent) verankert, als umfassend und detailliert bezeichnen sie sogar nur 14 Prozent. Unter den größten Security-Herausforderungen, die die Studie ermittelt hat, werden neue Themen, darunter die Umsetzung von Zero Trust, ebenfalls kaum genannt.
Zero Trust könnte hybriden Arbeitsszenarien zu mehr Sicherheit verhelfen. Da die Unternehmen oft darauf verzichten, stellt Hybrid Work weiterhin einen Unsicherheitsfaktor dar. Die Studie belegt, dass nur fünf Prozent der Unternehmen das geräte- und standortunabhängige Arbeiten ihrer Mitarbeiterinnen und Mitarbeiter verbieten. Gleichzeitig bleibt Hybrid Work in mehr als drei von vier Betrieben ungeregelt. Zudem sieht lediglich knapp ein Fünftel der Befragten mobiles Arbeiten als große Security-Herausforderung an.
Andererseits haben aber nur 26 Prozent der befragten Betriebe ausschließlich positive Sicherheitserfahrungen mit flexiblem Arbeiten ihrer Belegschaften gemacht. Die Mehrheit (55 Prozent) spricht diesbezüglich von sowohl negativen als auch positiven Erfahrungen.
Die Experten warnen: Ohne Konzepte wie Zero Trust wird sich die neue ortsflexible Art des Arbeitens zu einem wachsenden Unsicherheitsfaktor entwickeln. Zumindest sollten die Betriebe ihre Chief Information Security Officers (CISOs) um Rat fragen, wenn über Security-Strategien und -Investitionen entschieden werden soll. Voraussetzung dafür ist natürlich, dass diese Funktion im Unternehmen vorhanden ist.
Security-Entscheidungen brauchen mehr Expertise
Doch auch an dieser Stelle gibt es Handlungsbedarf. Wenn ein CISO vorhanden ist und internes Wissen und Erfahrung im Bereich Cybersecurity einbringen könnte, sollte man erwarten, dass die taktischen Security-Investitionen zu den strategischen Zielen rund um Cybersicherheit passen. Doch auch hier trügt der Schein.
Wie die Studie zeigt, sind fast ein Viertel (23 Prozent) der CISOs und Chief Security Officers (CSOs) gar nicht an Security-Entscheidungen beteiligt. Nur ein knappes Drittel hat hier die Federführung inne. 46 Prozent sind beratend eingebunden. Dagegen haben 43 Prozent der CIOs, Chief Digital Officers (CDOs) und IT-Vorstände bei Security-Entscheidungen den Hut auf.
Hier zeigen sich zwei grundsätzliche Herausforderungen in den Unternehmen:
• Cybersicherheit wird noch häufig als Teildisziplin der IT verstanden, weshalb die IT-Verantwortlichen die Sicherheitsstrategie bestimmen. Dabei ist Cybersecurity eine Querschnittsfunktion, auf die nicht nur die IT-Funktion Einfluss haben sollte.
•Security-Entscheidungen zu fällen ist nicht einfach. Es braucht dafür viel Fachwissen und langjährige Erfahrung. Wenn CSOs oder CISOs nicht einmal beratend hinzugezogen werden, ist kaum vorstellbar, dass die Entscheidungen mit der notwendigen Weitsicht getroffen werden – angesichts der Komplexität und Dynamik, mit der sich Themen rund um Cybersicherheit entwickeln und verändern.
„Überrascht hat mich tatsächlich, dass die Rolle des CSO/CISO bislang offensichtlich nicht in ausreichendem Maße anerkannt ist“, sagt Edgar Reinke, Strategic Technology Officer bei Damovo Deutschland, mit Blick auf die Zahlen der Studie. „Diese Ergebnisse zeigen mir, dass Cybersecurity in großen Teilen immer noch siloartig in der IT angesiedelt wird, anstatt sie als systematische Aufgabe unternehmensweit zu verankern“, bemängelt Reinke.
Security-Entscheidungen brauchen Weitsicht
Angemessene und weitsichtige Entscheidungen im Bereich Informationssicherheit zu treffen ist eine Herausforderung – daran besteht kein Zweifel. „Security ist weder allein ein technisches noch ein strategisches Thema“, betont der Damovo-Manager. „Solche
Entscheidungen zu fällen erfordert Know-how, Kommunikationsstärke und Erfahrung. Die strategischen und operativen Aufgabenstellungen sind komplex.“
Für die Umsetzung ganzheitlicher Security-Strategien wie beispielsweise Zero Trust brauche es Fachkenntnisse in beide Richtungen: systematisch-strategisch und technisch-operativ. „Ein CISO bringt die Fähigkeit mit, die dynamische Entwicklung im Security-Umfeld zu verfolgen und zu bewerten. Ihn nicht in den Security-Entscheidungsprozess einzubinden, ist fatal“, warnt Reinke.
Aber es gibt auch Bereiche, in denen bereits viele Betriebe das richtige Gespür entwickelt haben. Unternehmen scheinen dem Damovo-Mann zufolge zumindest die Wichtigkeit der
Angriffserkennung erfasst zu haben. „Das deckt sich auch mit meiner Erfahrung: Risiken sichtbar machen, Awareness und Sensibilität für – potenzielle – Gefahren schaffen: das ist von Unternehmen gefordert und dort werden sie auch aktiv.“
Reinke verweist auf Instanzen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), das etwa Betreiber kritischer Infrastrukturen in die Pflicht nimmt, Security-Events zügig zu erkennen und darauf zu reagieren, bevor es zu einem möglicherweise verhängnisvollen Angriff kommt. Das ist jedoch alles andere als trivial. „Die Risikoerkennung und -bewertung ist eine hohe Kunst, denn um die Möglichkeiten zur Angriffserkennung qualifiziert zu erfüllen, fehlt es oftmals an Know-how und Ressourcen“, konstatiert Reinke.
Fazit: Die Cybersicherheit braucht einen Kurswechsel
Die aktuelle Studie „Cybersecurity 2022“ von COMPUTERWOCHE, CIO und CSO zeigt eindrücklich, dass die Mehrzahl der Richtlinien und Sicherheitsmaßnahmen, die Unternehmen ergreifen, nach wie vor den alten Standards rund um Cybersicherheit entsprechen. So haben zum Beispiel 64 Prozent der Betriebe eine IT-Sicherheitsrichtlinie für den E-Mail-Verkehr. Doch trotz der inzwischen hohen Bedeutung von Hybrid Work haben nur 28 Prozent der Unternehmen eine angemessene IT-Sicherheitsrichtlinie für Videokonferenzen, 30 Prozent für Filesharing und 41 Prozent für Home-Offices.
So wichtig eine E-Mail-Richtlinie auch sein mag, warnen die Security-Experten, sie reicht in Zeiten des standortunabhängigen Arbeitens, bei dem zum Beispiel Videokonferenzen die Projektmeetings in physischer Form ergänzen oder sogar ersetzen sollen, keinesfalls mehr aus.
Viele Betriebe glauben auch immer noch, in Zeiten von Ransomware- und DDoS-Angriffen immer komplexere IT-Sicherheitsgeschäfte im Alleingang managen zu können. Nur 42 Prozent bekunden, dass „IT-Security zu umfangreich und komplex geworden ist, um sie ohne Hilfe von Partnern oder Dienstleistern umsetzen zu können“.
Wenn aber Cybersicherheit nur mit internen Ressourcen vorangebracht und auf Kurs gehalten werden soll, dann gilt es zumindest, die internen Spezialisten immer mit an den Tisch zu holen. Der erste Berater muss der CISO oder CSO sein, immerhin beschäftigt er oder sie sich mit nichts anderem. Besser noch ist es, den CISO nicht nur als Berater, sondern als Sicherheitsverantwortlichen einzusetzen und mit den nötigen Entscheidungskompetenzen auszustatten.
Werden diesbezüglich die Hausaufgaben gemacht, dürften schnell auch neuere Themen wie Zero Trust einen höheren Stellenwert erlangen. Hier geht es schließlich auch darum, den nicht zu unterschätzenden Risiken durch Innentäter zu begegnen: Über die Hälfte der Unternehmen hatte bereits Sicherheitsvorfälle durch ehemalige oder aktuelle Beschäftigte. Eine Antwort darauf ist Zero Trust, denn mit diesem Ansatz wird selbst den eigenen oder den ehemaligen Beschäftigten kein Anfangsvertrauen geschenkt. Es erfolgt immer eine Risikoprüfung.
Entgegen allen Statistiken sehen laut Studie nur 18 Prozent der befragten Betriebe interne Bedrohungen als größte Herausforderung für die Security, während 40 Prozent externe Angreifer viel mehr fürchten. Zu dem notwendigen Kurswechsel in der Cybersicherheit sollte also eine neue Sicht auf Risiken gehören, die von Innen genauso wie von außen auf das Unternehmen zukommen können. Für den neuen Kurs sollten die CISOs/CSOs auf der Kommandobrücke stehen, damit der Wechsel gelingt. Sie sollten mindestens als Navigatoren, besser noch als „Kapitäne“ das Kommando übernehmen.
(ba)
