Lesezeit ca. 4 Min.

Weltweite IDG -Exklusivstudie: CEOs öffnen CISOs ihre Türen


Logo von Computerwoche
Computerwoche - epaper ⋅ Ausgabe 47/2021 vom 15.11.2021

Artikelbild für den Artikel "Weltweite IDG -Exklusivstudie: CEOs öffnen CISOs ihre Türen" aus der Ausgabe 47/2021 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

IDG Communications, Herausgeber von COMPUTERWOCHE, CIO und CSOonline, hat zum fünften Mal die exklusive „IDG Security Priorities Studie 2021“ herausgegeben. Immer mehr Unternehmen öffnen demnach ihre Führungsgremien für den Chief Information Security Officer (CISO) oder für andere Executives, die sich mit IT-Sicherheit beschäftigen. In der weltweiten Studie geben zudem 67 Prozent der insgesamt 772 befragten IT-Entscheider und Sicherheitsbeauftragten an, dass es in ihrem Unternehmen einen Chief Security Officer (CSO), einen CISO oder eine Top-Sicherheitsfachkraft gebe. Das entspricht einem Anstieg von 61 Prozent gegenüber 2020.

Auch die deutlich veränderten Berichtswege zeigen, dass IT-Sicherheitsexperten die Karriere leiter emporgeklettert sind. Immer mehr berichten an den CEO und den Vorstand. Derzeit geben 44 Prozent an, direkt dem Geschäftsführer unterstellt zu sein (2020: 34 Prozent). Weitere ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 47/2021 von Ein guter CISO zeichnet sich durch Resilienz aus. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Ein guter CISO zeichnet sich durch Resilienz aus
Titelbild der Ausgabe 47/2021 von IBM-Spinoff Kyndryl: Wir sind ein People Business. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
IBM-Spinoff Kyndryl: Wir sind ein People Business
Titelbild der Ausgabe 47/2021 von Satya Nadella eröffnet Ignite: Diese Trends sieht der Microsoft-Boss. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Satya Nadella eröffnet Ignite: Diese Trends sieht der Microsoft-Boss
Titelbild der Ausgabe 47/2021 von Schlechte User Experience wird für Unternehmen zu einem Kostenfaktor. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Schlechte User Experience wird für Unternehmen zu einem Kostenfaktor
Mehr Lesetipps
Blättern im Magazin
Schlechte User Experience wird für Unternehmen zu einem Kostenfaktor
Vorheriger Artikel
Schlechte User Experience wird für Unternehmen zu einem Kostenfaktor
Cyberresilienz: Security ist mehr als die Abwehr von Cyberkriminellen
Nächster Artikel
Cyberresilienz: Security ist mehr als die Abwehr von Cyberkriminellen
Mehr Lesetipps

... 21 Prozent berichten an ein Vorstandsmitglied (im Vorjahr waren es zwölf Prozent).

Physische und IT-Sicherheit in einer Hand

Viele Unternehmen bemühen sich derzeit darum, ihr Risikomanagement zu ordnen und zu konsolidieren. Dabei nehmen die Sicherheitschefs zu 57 Prozent nicht nur die IT, sondern auch die physische Sicherheit in die Hand (Vorjahr 52 Prozent). Dass die physische Absicherung des Unternehmens in den letzten drei Jahren zu ihren IT-Aufgaben hinzugekommen sei, bestätigen 22 Prozent der Befragten. Sogar 43 Prozent sagen, dass sie bereits mehr als drei Jahre in dieser übergeordneten Rolle sind. Weitere elf Prozent erwarten, die physische Unternehmenssicherheit binnen der nächsten zwölf Monate in ihren Zuständigkeitsbereich zu bekommen.

Auch die Sicherheit der für den Betrieb von Industrie- und Produktionsanlagen zuständigen Systeme (Operational Technology = OT) fällt häufiger in die Verantwortung der Security- Chefs. Zuletzt hatten einige Angriffe auf OT- Umgebungen für großes Aufsehen gesorgt, vor allem der Angriff auf den US-Pipeline-Betreiber Colonial Pipeline erzeugte Schlagzeilen.

Für die CISOs ist die OT-Herausforderung besonders groß: Sie stoßen oft auf erhebliche Schwachstellen und auf Umgebungen, die nur schwer abzuschirmen sind.

45 Prozent der Firmen mit OT-Umgebungen geben an, diese seien mit ihrer Corporate-IT verbunden und nicht etwa physisch und logisch via Air Gap davon getrennt. Mehr als ein Drittel (35 Prozent) der Sicherheitsverantwortlichen sehen die Risiken für ihre OT-Welt wachsen, und 38 Prozent fürchten, gegenwärtig einem hohen Risiko im Zusammenhang mit Schwachstellen ihrer OT-Umgebung ausgesetzt zu sein.

„Unternehmen binden ihre OT immer tiefer in ihre IT ein, um Effizienzvorteile zu gewinnen. Damit ist es wahrscheinlicher geworden, dass Angriffe auf die IT auch die OT-Umgebung tangieren – so, wie wir es auch bei Colonial Pipeline gesehen haben“, warnt Bob Bragdon, Worldwide Managing Director von CSOonline. com. „Damit dürfte der Trend anhalten, dass sich Sicherheitsverantwortliche auf den Aufbau von Resilienz konzentrieren, um der Vielfalt der Bedrohungen begegnen zu können.“

Einblicke in Sicherheitsvorfälle

Eine gute Nachricht ist, dass CISOs und andere Sicherheitsprofis die Ursachen von Vorfällen immer besser verstehen. So glauben 91 Prozent, den vollen Durchblick zu haben – im Vorjahr waren es mit 87 Prozent etwas weniger. Allerdings scheint das wachsende Selbstbewusstsein noch nicht dazu zu führen, dass die Risiken für Unternehmen abnehmen. So explodierte in diesem Jahr die Zahl der Ransomware-Angriffe, denen durch Social Engineering sowie oft auch unbeabsichtigte Verstöße gegen Sicherheitsrichtlinien Tür und Tor geöffnet wurde. Auch der Fokus vieler Unternehmen auf Schulungen und Awareness-Programme änderte daran nichts. Weitere Quellen für Sicherheitsvorfälle waren – wie so oft – ungepatchte Softwaresysteme, unternehmensfremde Personen und Firmen, die fahrlässig ins Netz gelassen wurden, und Fehlkonfigurationen von Diensten oder Systemen innerhalb und außerhalb des Unternehmens.

Obwohl die Betriebe immer besser in der Lage sind, die Ursachen für Sicherheitsvorfälle zu erkennen, glauben 90 Prozent der Befragten, dass bei ihnen die Cyberrisiken nicht mit der nötigen Konsequenz angegangen werden (Vorjahr: 87 Prozent). Dabei klagt ein Drittel darüber, mit Warnungen zur Schwere der Risiken nicht im Management und in den Fachabteilungen durchdringen zu können. 29 Prozent kritisieren, dass in ihren Organisationen zu wenig Mittel für die IT-Sicherheit bewilligt würden und 27 Prozent monieren, es fehle an proaktivem Vorgehen und einer guten Planung.

Mehr Geld für Security

Um ihre Sicherheitsvorfälle zu verringern, investieren die Betriebe allerdings durchaus kräftig in entsprechende Lösungen. Neun von zehn Befragten geben an, ihr Unternehmen habe in den letzten zwölf Monaten mindestens ein neues Sicherheitstool in Betrieb genommen. Nur zwei Prozent gehen davon aus, dass ihr Budget für Security-Produkte im nächsten Jahr sinken wird, während 44 Prozent eine Erhöhung erwarten und 53 Prozent von stagnierenden Ausgaben ausgehen.

Hier gibt es leichte Unterschiede zwischen den Regionen: Die Hälfte der Sicherheitsverantwortlichen im Großraum Europa, Naher Osten und Afrika (EMEA) will das Budget erhöhen, während in der Region Nordamerika mit 45 Prozent etwas weniger Firmen aufstocken wollen. In Fernost (Asien/Pazifik) gehen nur 38 Prozent davon aus, mehr Geld für die IT-Sicherheit zu bekommen. Nahezu alle anderen Befragten in den drei Regionen erwarten, dass ihr IT-Sicherheitsbudget unverändert bleiben wird.

Die Sicherheitstechnologien, die von den Verantwortlichen derzeit am meisten beachtet werden, sind:

Zero Trust – nach dem Sicherheitsprinzip „Vertraue niemandem, verifiziere jeden“ erfordert jeder einzelne Zugriff auf Unternehmensressourcen eine Authentifizierung. Bei diesem rein datenzentrierten Ansatz wird jeder Datenfluss auf Vertrauenswürdigkeit geprüft – im Gegensatz zum traditionellen Perimeterschutz, bei dem die Grenzen zum Firmennetz gesichert werden;

SOAR (Security Orchestration, Automation and Response) – automatisiertes Erkennen und Reagieren auf aktuelle Sicherheitsbedrohungen mithilfe einer ständig aktualisierten Sammlung von Informationen aus verschiedenen Quellen. Dazu werden Threat-Intelligence- und Incident-Response- Plattformen genutzt;

SASE (Security Access Service Edge) – von Gartner entwickeltes, noch nicht ganz ausgereiftes Modell für Netzwerksicherheit, das dazu dient, Benutzer und Geräte an beliebigen Standorten sicher mit Anwendungen und Diensten zu verbinden;

Deception-Technologie – Angreifer werden mit einem Köder getäuscht, um herauszufinden, wie sie sich verhalten, wonach sie suchen und welche Angriffsvektoren sie benutzen.

Um die Sicherheitsrisiken zu senken, wollen die Professionals zudem in Cloud-Datenschutz, Zugangskontrollen, cloudbasierte Cybersicherheitsdienste und Datenanalytik investieren.

Bragdon schließt aus der Umfrage, dass Unternehmen zwar viel Geld für Sicherheits-Tools ausgeben, aber oft nicht in der Lage sind, herauszufinden, ob diese Lösungen ihnen auch wirklich den erwarteten Schutz bieten. „Die Teams brauchen die Unterstützung von Sicherheitsanbietern und Beratern, um Produkte und Dienstleistungen optimal einsetzen und ihre Investitionen rationalisieren zu können“, sagt der Studienverantwortliche.