Lesezeit ca. 8 Min.
arrow_back

Studie Cybersecurity 2022: Cybersicherheit muss raus aus den Silos


Logo von Computerwoche
Computerwoche - epaper ⋅ Ausgabe 1/2023 vom 06.01.2023

In mehr als 75 Prozent aller Unternehmen hat die Zahl der Cybervorfälle 2022 gegenüber dem Vorjahr zugenommen, in jedem zehnten Betrieb sogar stark. Das zeigt die aktuelle Studie „Cybersecurity 2022“ von COMPUTERWOCHE, CIO und CSO in Zusammenarbeit mit den Partnern Arctic Wolf, AWS und Damovo. Demnach berichten 65 Prozent der befragten Unternehmen, im vergangenen Jahr ihr Budget für Informationssicherheit erhöht zu haben. Doch offensichtlich reicht es nicht aus, einfach nur mehr Geld in die Hand zu nehmen. Wie die Erhebung zeigt, sind fehlende Mittel nur für 29 Prozent der Unternehmen die größte Herausforderung in Sachen Cybersicherheit. Der Schuh drückt an ganz anderer Stelle.

Artikelbild für den Artikel "Studie Cybersecurity 2022: Cybersicherheit muss raus aus den Silos" aus der Ausgabe 1/2023 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Wenn ein Unternehmen sein Budget für Sicherheit erhöht und sich der gewünschte Erfolg nicht einstellen will, sollte über drei Aspekte nachgedacht werden:

• Wurde an der richtigen Stelle investiert?

• Stimmt die ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 1/2023 von 2023 – reden wir über Unternehmenswerte. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
2023 – reden wir über Unternehmenswerte
Titelbild der Ausgabe 1/2023 von Neues Abkommen geplant: EU glaubt an hohes Datenschutzniveau in den USA. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Neues Abkommen geplant: EU glaubt an hohes Datenschutzniveau in den USA
Titelbild der Ausgabe 1/2023 von China pumpt Milliarden in seine Chipindustrie. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
China pumpt Milliarden in seine Chipindustrie
Titelbild der Ausgabe 1/2023 von Huawei widerspricht Gerüchten über EU-Rückzug. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Huawei widerspricht Gerüchten über EU-Rückzug
Mehr Lesetipps
Blättern im Magazin
Revolutionäre Chatbot-Technik – doch auch ChatGPT hat ein Bias-Problem
Vorheriger Artikel
Revolutionäre Chatbot-Technik – doch auch ChatGPT hat ein Bias-Problem
CSO Cyber Resilience Summit: Zero Trust – der Weg ist das Ziel
Nächster Artikel
CSO Cyber Resilience Summit: Zero Trust – der Weg ist das Ziel
Mehr Lesetipps

... IT-Sicherheitsstrategie?

• Sind die Ziele klar und allen bekannt?

Letzteres sollte die einfachste Aufgabe sein: Die sich häufenden Cyberattacken müssen frühzeitig erkannt und besser abgewehrt werden. Es gilt, die Folgeschäden so weit wie möglich zu minimieren. An der Strategie liegt es indes, wenn die steigenden Investitionen nicht im notwendigen Umfang dazu beitragen, die Sicherheitsziele zu erreichen.

Hohes Vertrauen, geringere Zufriedenheit

Wie die Studie „Cybersecurity 2022“ deutlich macht, liegt es nicht an der Höhe der Budgets, ob Unternehmen in Deutschland Vertrauen in die hauseigene Cybersicherheit haben. Betragen die Ausgaben für IT-Security weniger als fünf Prozent des IT-Budgets, halten sich 85 Prozent der Betriebe für fähig, Cybervorfälle selbst erkennen und abwenden zu können. Liegt der Anteil bei fünf bis zehn Prozent, sind mit 88 Prozent gerade mal drei Prozent mehr dieser Meinung.

Generell fällt auf, dass die meisten Befragten an ihre eigene IT-Sicherheit glauben – trotz der vielen Angriffe auf andere Unternehmen, die publik geworden sind. Dabei sind sie mit ihren vorhandenen Security-Lösungen keineswegs rundum glücklich: Nur 62 Prozent äußern sich zufrieden oder sehr zufrieden mit ihrem Virenschutz, 65 Prozent glauben an die Stabilität ihrer Firewall und 61 Prozent sind mit dem Verschlüsselungs-Level einverstanden. Bei neueren Themen wie Zero-Trust-Lösungen liegt die Zufriedenheit nur bei 42 Prozent. Endpoint Detection and Response (EDR) sowie Extended Detection and Response (XDR) kommen mit 41 Prozent Zustimmung nicht besser weg. Dennoch halten 60 Prozent der Unternehmen ihren Basisschutz für ausreichend.

Andererseits gibt es deutliche Hinweise darauf, dass es bei den Security-Strategien noch Luft nach oben gibt. Das beginnt bereits mit der Ist-Analyse, die viele Betriebe für ihre Cybersicherheit vornehmen. „Die Studie ergab, dass sich mehr als zwei Drittel der Unternehmen als gut oder sehr gut bei der Behandlung von Sicherheitsvorfällen einschätzen“, berichtet Sebastian Schmerl, Director Security Services EMEA, Arctic Wolf Networks Germany. Doch der Security-Experte warnt: „Das deckt sich leider nicht mit unserer Erfahrung und den realen Vorfällen, die wir im Wirtschaftsraum DACH sehen. Hier kann man von Selbstüberschätzung oder Fehleinschätzung sprechen, denn im akuten Sicherheitsvorfall sind die meisten Unternehmen schlecht vorbereitet, planlos und maßlos überlastet – kurzum im ,Headless Chicken Mode‘.“

Das eigentliche Problem liegt also offenbar darin, dass Unternehmen sich ungerechtfertigterweise sicher fühlen und nicht erkennen, dass sie Sicherheitsvorfällen professioneller begegnen müssten. Budgets für den Bereich Incident Response stellen der Umfrage zufolge gerade einmal sieben Prozent der befragten Betriebe bereit. Eine riskante Entscheidung, warnen die Security-Experten, bekanntlich komme es in jedem Unternehmen früher oder später zu einem erfolgreichen Angriff – die Frage sei nur, wie darauf reagiert werde.

Solche strategischen Fehler bei den Security-Investitionen könnten Unternehmen vermeiden, indem sie selbst Know-how in der Cybersicherheit aufbauen und auch auf die Erfahrung Dritter vertrauen. „Eine realistische Einschätzung der eigenen Incident-Response-Fähigkeiten hat man nur, wenn man mögliche Szenarien in Übungen durchgespielt oder bereits mehrere größere Sicherheitsvorfälle durchgemacht hat“, sagt Sebastian Schmerl von Arctic Wolf. Momentan sei aber die Wahrscheinlichkeit, dass Unternehmen regelmäßig IT-Notfallübungen vornehmen, nicht besonders hoch.

Laut der aktuellen Studie sagt nur etwa jedes sechste Unternehmen, die zeitnahe Auswertung und Reaktion bei Sicherheitsvorfällen sei eine große Herausforderung. Und wo kein Problem erkannt wird, muss auch nicht geübt werden.

„Leider verstehen die meisten Unternehmen gar nicht, wie Angreifer vorgehen, was dort technisch passiert und was typische Angriffsziele sind“, kommentiert Schmerl die Zahlen. „Es fehlt an personellen Ressourcen, Wissen, Prozessen, Tools und an Erfahrung.“ Die Firmen würden Sicherheitsvorfälle zu spät erkennen und dann auch nur unzureichend lösen. Mit Blick auf die sich verschärfende Bedrohungslage und die immer ausgefeilteren Angriffstechniken werde es daher in den nächsten Jahren immer wichtiger, dass sich Unternehmen helfen lassen, „damit sie nicht zu Freiwild für kriminelle Hacker werden, die immer organisierter vorgehen“.

Geringer Fokus auf Zero Trust

In Zeiten von Hybrid Work als Mischform aus klassischem Büro, Home-Office und mobilem Arbeiten sind Security-Modelle wie Zero Trust die geeignete Antwort, darin sind sich Security-Fachleute einig. In den meisten Unternehmen ist der Ansatz allerdings noch nicht angekommen, wie die Verteilung der Security-Budgets zeigt: Laut Studie investieren die Betriebe mit 43 Prozent besonders stark in die Angriffsabwehr. Für Angriffserkennung/ Whitelisting wollen 37 Prozent Budget einsetzen und für den Datenschutz ebenfalls 37 Prozent. XDR (Extended Detection and Response) steht bei elf Prozent auf der Liste der Investitionen, SASE (Secure Access Service Edge) bei zehn Prozent.

Studiensteckbrief

Herausgeber: CIO, CSO und COMPUTERWOCHE Gold-Partner: Arctic Wolf Networks Germany GmbH Partner: AWS Germany GmbH; Damovo Deutschland GmbH & Co. KG Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der DACH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Security-Spezialisten aus dem IT-Bereich Teilnehmergenerierung: Persönliche E-Mail-Einladung über die Entscheiderdatenbank von CIO, CSO und COMPUTERWOCHE sowie – zur Erfüllung von Quotenvorgaben – über externe Online-Access-Panels

Gesamtstichprobe: 323 abgeschlossene und qualifizierte Interviews Untersuchungszeitraum: 30. August bis 6. September 2022 Methode: Online-Umfrage (CAWI) Fragebogenentwicklung & Durchführung: Custom Research Team von CIO, CSO und COMPUTER-WOCHE in Abstimmung mit den Studienpartnern

Download unter:

Zero-Trust-Konzepte gehören nicht zu den Top-Investitionsbereichen der Unternehmen. In den vorhandenen Konzepten und Richtlinien für Cybersecurity sind sie nicht einmal bei der Hälfte der Betriebe (46 Prozent) verankert, als umfassend und detailliert bezeichnen sie sogar nur 14 Prozent. Unter den größten Security-Herausforderungen, die die Studie ermittelt hat, werden neue Themen, darunter die Umsetzung von Zero Trust, ebenfalls kaum genannt.

Zero Trust könnte hybriden Arbeitsszenarien zu mehr Sicherheit verhelfen. Da die Unternehmen oft darauf verzichten, stellt Hybrid Work weiterhin einen Unsicherheitsfaktor dar. Die Studie belegt, dass nur fünf Prozent der Unternehmen das geräte- und standortunabhängige Arbeiten ihrer Mitarbeiterinnen und Mitarbeiter verbieten. Gleichzeitig bleibt Hybrid Work in mehr als drei von vier Betrieben ungeregelt. Zudem sieht lediglich knapp ein Fünftel der Befragten mobiles Arbeiten als große Security-Herausforderung an.

Andererseits haben aber nur 26 Prozent der befragten Betriebe ausschließlich positive Sicherheitserfahrungen mit flexiblem Arbeiten ihrer Belegschaften gemacht. Die Mehrheit (55 Prozent) spricht diesbezüglich von sowohl negativen als auch positiven Erfahrungen.

Die Experten warnen: Ohne Konzepte wie Zero Trust wird sich die neue ortsflexible Art des Arbeitens zu einem wachsenden Unsicherheitsfaktor entwickeln. Zumindest sollten die Betriebe ihre Chief Information Security Officers (CISOs) um Rat fragen, wenn über Security-Strategien und -Investitionen entschieden werden soll. Voraussetzung dafür ist natürlich, dass diese Funktion im Unternehmen vorhanden ist.

Security-Entscheidungen brauchen mehr Expertise

Doch auch an dieser Stelle gibt es Handlungsbedarf. Wenn ein CISO vorhanden ist und internes Wissen und Erfahrung im Bereich Cybersecurity einbringen könnte, sollte man erwarten, dass die taktischen Security-Investitionen zu den strategischen Zielen rund um Cybersicherheit passen. Doch auch hier trügt der Schein.

Wie die Studie zeigt, sind fast ein Viertel (23 Prozent) der CISOs und Chief Security Officers (CSOs) gar nicht an Security-Entscheidungen beteiligt. Nur ein knappes Drittel hat hier die Federführung inne. 46 Prozent sind beratend eingebunden. Dagegen haben 43 Prozent der CIOs, Chief Digital Officers (CDOs) und IT-Vorstände bei Security-Entscheidungen den Hut auf.

Hier zeigen sich zwei grundsätzliche Herausforderungen in den Unternehmen:

• Cybersicherheit wird noch häufig als Teildisziplin der IT verstanden, weshalb die IT-Verantwortlichen die Sicherheitsstrategie bestimmen. Dabei ist Cybersecurity eine Querschnittsfunktion, auf die nicht nur die IT-Funktion Einfluss haben sollte.

•Security-Entscheidungen zu fällen ist nicht einfach. Es braucht dafür viel Fachwissen und langjährige Erfahrung. Wenn CSOs oder CISOs nicht einmal beratend hinzugezogen werden, ist kaum vorstellbar, dass die Entscheidungen mit der notwendigen Weitsicht getroffen werden – angesichts der Komplexität und Dynamik, mit der sich Themen rund um Cybersicherheit entwickeln und verändern.

„Überrascht hat mich tatsächlich, dass die Rolle des CSO/CISO bislang offensichtlich nicht in ausreichendem Maße anerkannt ist“, sagt Edgar Reinke, Strategic Technology Officer bei Damovo Deutschland, mit Blick auf die Zahlen der Studie. „Diese Ergebnisse zeigen mir, dass Cybersecurity in großen Teilen immer noch siloartig in der IT angesiedelt wird, anstatt sie als systematische Aufgabe unternehmensweit zu verankern“, bemängelt Reinke.

Security-Entscheidungen brauchen Weitsicht

Angemessene und weitsichtige Entscheidungen im Bereich Informationssicherheit zu treffen ist eine Herausforderung – daran besteht kein Zweifel. „Security ist weder allein ein technisches noch ein strategisches Thema“, betont der Damovo-Manager. „Solche

Entscheidungen zu fällen erfordert Know-how, Kommunikationsstärke und Erfahrung. Die strategischen und operativen Aufgabenstellungen sind komplex.“

Für die Umsetzung ganzheitlicher Security-Strategien wie beispielsweise Zero Trust brauche es Fachkenntnisse in beide Richtungen: systematisch-strategisch und technisch-operativ. „Ein CISO bringt die Fähigkeit mit, die dynamische Entwicklung im Security-Umfeld zu verfolgen und zu bewerten. Ihn nicht in den Security-Entscheidungsprozess einzubinden, ist fatal“, warnt Reinke.

Aber es gibt auch Bereiche, in denen bereits viele Betriebe das richtige Gespür entwickelt haben. Unternehmen scheinen dem Damovo-Mann zufolge zumindest die Wichtigkeit der

Angriffserkennung erfasst zu haben. „Das deckt sich auch mit meiner Erfahrung: Risiken sichtbar machen, Awareness und Sensibilität für – potenzielle – Gefahren schaffen: das ist von Unternehmen gefordert und dort werden sie auch aktiv.“

Reinke verweist auf Instanzen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), das etwa Betreiber kritischer Infrastrukturen in die Pflicht nimmt, Security-Events zügig zu erkennen und darauf zu reagieren, bevor es zu einem möglicherweise verhängnisvollen Angriff kommt. Das ist jedoch alles andere als trivial. „Die Risikoerkennung und -bewertung ist eine hohe Kunst, denn um die Möglichkeiten zur Angriffserkennung qualifiziert zu erfüllen, fehlt es oftmals an Know-how und Ressourcen“, konstatiert Reinke.

Fazit: Die Cybersicherheit braucht einen Kurswechsel

Die aktuelle Studie „Cybersecurity 2022“ von COMPUTERWOCHE, CIO und CSO zeigt eindrücklich, dass die Mehrzahl der Richtlinien und Sicherheitsmaßnahmen, die Unternehmen ergreifen, nach wie vor den alten Standards rund um Cybersicherheit entsprechen. So haben zum Beispiel 64 Prozent der Betriebe eine IT-Sicherheitsrichtlinie für den E-Mail-Verkehr. Doch trotz der inzwischen hohen Bedeutung von Hybrid Work haben nur 28 Prozent der Unternehmen eine angemessene IT-Sicherheitsrichtlinie für Videokonferenzen, 30 Prozent für Filesharing und 41 Prozent für Home-Offices.

So wichtig eine E-Mail-Richtlinie auch sein mag, warnen die Security-Experten, sie reicht in Zeiten des standortunabhängigen Arbeitens, bei dem zum Beispiel Videokonferenzen die Projektmeetings in physischer Form ergänzen oder sogar ersetzen sollen, keinesfalls mehr aus.

Viele Betriebe glauben auch immer noch, in Zeiten von Ransomware- und DDoS-Angriffen immer komplexere IT-Sicherheitsgeschäfte im Alleingang managen zu können. Nur 42 Prozent bekunden, dass „IT-Security zu umfangreich und komplex geworden ist, um sie ohne Hilfe von Partnern oder Dienstleistern umsetzen zu können“.

Wenn aber Cybersicherheit nur mit internen Ressourcen vorangebracht und auf Kurs gehalten werden soll, dann gilt es zumindest, die internen Spezialisten immer mit an den Tisch zu holen. Der erste Berater muss der CISO oder CSO sein, immerhin beschäftigt er oder sie sich mit nichts anderem. Besser noch ist es, den CISO nicht nur als Berater, sondern als Sicherheitsverantwortlichen einzusetzen und mit den nötigen Entscheidungskompetenzen auszustatten.

Werden diesbezüglich die Hausaufgaben gemacht, dürften schnell auch neuere Themen wie Zero Trust einen höheren Stellenwert erlangen. Hier geht es schließlich auch darum, den nicht zu unterschätzenden Risiken durch Innentäter zu begegnen: Über die Hälfte der Unternehmen hatte bereits Sicherheitsvorfälle durch ehemalige oder aktuelle Beschäftigte. Eine Antwort darauf ist Zero Trust, denn mit diesem Ansatz wird selbst den eigenen oder den ehemaligen Beschäftigten kein Anfangsvertrauen geschenkt. Es erfolgt immer eine Risikoprüfung.

Entgegen allen Statistiken sehen laut Studie nur 18 Prozent der befragten Betriebe interne Bedrohungen als größte Herausforderung für die Security, während 40 Prozent externe Angreifer viel mehr fürchten. Zu dem notwendigen Kurswechsel in der Cybersicherheit sollte also eine neue Sicht auf Risiken gehören, die von Innen genauso wie von außen auf das Unternehmen zukommen können. Für den neuen Kurs sollten die CISOs/CSOs auf der Kommandobrücke stehen, damit der Wechsel gelingt. Sie sollten mindestens als Navigatoren, besser noch als „Kapitäne“ das Kommando übernehmen.

(ba)