Cyberkriminelle entwickeln im Katz- und Maus-Spiel mit der IT-Sicherheit immer raffiniertere Angriffe, um sensible Informationen wie Kundendaten oder Entwicklungspläne abzugreifen. Auf der anderen Seite sind die IT-Systeme von Unternehmen heute sensibler oder verwundbarer, da mittlerweile nahezu alle Prozesse digitalisiert und viele Systeme über das Internet verbunden sind. Firmen müssen ihre Abwehrmaßnahmen fortlaufend aktualisieren, um ihre Daten zu schützen.
Informationssicherheit sollte daher zum strategischen Ziel und zur Management-Disziplin werden. Neben technischen Maßnahmen gehören dazu Policies, Prozesse, Sicherheitsstrategien und -architekturen sowie die Sensibilisierung der Mitarbeiter für die Sicherheitsrisiken (Security Awareness). Eine wichtige Rolle bei der Umsetzung dieser Strategie spielt der Chief Information Security Officer (CISO) als oberster Verantwortlicher für Informationssicherheit. Doch hat sich die Position des Chief Information Security Officers bei Unternehmen in Deutschland bereits durchgesetzt? Falls ja, wo ist der CISO organisatorisch im Unternehmen angesiedelt? Inwieweit wirkt er bei der Entwicklung einer Security-Strategie mit?
Die Antwort gibt eine aktuelle Security-Studie (CISO-Studie) der COMPUTERWOCHE in Kooperation mit Cisco und dem Security-Fachverband (ISC)² Chapter Germany. Dazu wurden fast 800 IT- und IT-Security-Entscheider in Deutschland befragt. Neben den strategischen Entscheidungs- und Berichtswegen im Bereich IT-Security standen auch Security-Herausforderungen, IT-Security-Budgets, sowie Auswahlkriterien für IT-Security-Dienstleister im Blickpunkt.
Cyberangriffe und nachlässige Mitarbeiter
Aktuell und künftig fürchten die deutschen Unternehmen vor allem externe Cyberangriffe wie Ransomware als größte Bedrohung für ihre Systeme. Überdurchschnittlich hoch ist hier der Wert bei kleinen Unternehmen mit rund 88 Prozent. Großes Kopfzerbrechen bereiten auch die Nachlässigkeit, fehlende Security-Awareness und mangelndes Training der eigenen Mitarbeiter. Insbesondere die befragten CISOs und IT-Sicherheitsverantwortlichen schätzen den menschlichen Faktor als höchstes Risiko ein. Wohlgemerkt geht es hier nicht um bösartigen Datendiebstahl oder Vorsatz der Mitarbeiter, sondern um Leichtsinn und Fahrlässigkeit.
Weitere wichtige Herausforderungen bilden die Priorisierung von IT-Security auf Vorstands- und Management-Ebene sowie fehlendes Budget für IT-Security. Datenschutz stellt erwartungsgemäß für alle Unternehmen die größte Compliance-Herausforderung dar. Mehr als die Hälfte der Unternehmen (55 Prozent) sind vom Thema Datenschutz sehr stark oder stark betroffen, insbesondere aber die Großunternehmen. Kleine Unternehmen stufen die Herausforderung durch das IT-Sicherheitsgesetz überdurchschnittlich hoch ein. Bereits ein Drittel der Unternehmen beschäftigt sich intensiv mit neuen Compliance-Fragen, die durch neue Technologien wie Internet of Things oder Industrie 4.0 entstehen.
CIO und IT-Chefs lenken Security-Strategie
Um diese Herausforderungen und Bedrohungen zu meisten, setzen mehr als 80 Prozent der befragten Unternehmen auf eine umfassende IT-Security-Strategie. Insbesondere Großunternehmen mit hohem IT-Etat gehen das Thema IT-Sicherheit strategisch an. Jeweils knapp ein Zehntel der Firmen plant den Aufbau strategischer Sicherheitskonzepte oder bleibt derzeit noch bei isolierten Einzelmaßnahmen stehen. Auch Sicherheitsrichtlinien/-policies (82 Prozent) und Konzepte für die Risikobewertung (62 Prozent) spielen in allen Unternehmen eine sehr wichtige Rolle.
Die Entwicklung der IT-Security-Strategie und die Umsetzung der Sicherheitsarchitektur sind überwiegend Aufgabe des CIOs oder des IT-Leiters. Insbesondere in den mittleren und großen Unternehmen sind der CIO / IT-Vorstand (31 Prozent) und der IT-Leiter (27 Prozent) federführend für die Entwicklung einer IT-Strategie verantwortlich. CIO und IT-Leiter sind hier auch maßgeblich für die Umsetzung der Sicherheitsarchitektur sowie die Auswahl der Security-Lösung und -Dienstleister zuständig. In kleinen Unternehmen hingegen übernimmt bei fast der Hälfte der Befragten die Geschäftsführung diese Aufgabe.
Die Entwicklung und Umsetzung der IT-Security-Strategie gehört eigentlich zu den ureigenen Aufgaben des Chief Information Security Officers (CISO). Doch nur 17 Prozent der Unternehmen schreiben diese Rolle dem CISO zu. Das liegt aber auch daran, dass die Position des CISO bei weitem nicht in allen Unternehmen etabliert ist. Hier besteht aber eine klare Korrelation zur Mitarbeiterzahl: Je größer das Unternehmen, desto häufiger existiert ein expliziter Verantwortlicher für Informationssicherheit oder CISO.
- Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen? - Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern? - Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln? - Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können? - Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit? - Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können? - Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann? - Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen? - Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird? - Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Mehr CISOs in Großunternehmen
Den Studienergebnissen zufolge haben nur 60 Prozent der Unternehmen dedizierte Personen oder Abteilungen, die ausschließlich und alleine für Informationssicherheit zuständig sind. Selbst in Großunternehmen sind es nur drei Viertel. Die Begriffe für diese Position sind in den Unternehmen noch nicht eindeutig festgelegt. Der Name Chief Information Security Managers (CISO) findet sich nur in 40 Prozent der Firmen. Andere Bezeichnungen sind IT-Sicherheitsbeauftragter und Datenschutzbeauftragter.
40 Prozent der Unternehmen haben keine entsprechende Funktion eingerichtet; hier ist überwiegend der CIO für Informationssicherheit zuständig. In 26 Prozent der Unternehmen übernimmt der Geschäftsführer diese Aufgabe; wenig überraschend ist dies mit 55 Prozent vor allem in kleinen Unternehmen der Fall. Auch (IT)-Security-Manager, Administratoren und in Großunternehmen der Technik-Vorstand übernehmen die Verantwortung für Informationssicherheit, sofern es keinen CISO gibt.
Dass die Position des CISO noch nicht flächendeckend in Unternehmen verankert ist, bestätigt eine weitere Zahl: Nur ein Viertel der Unternehmen sieht Governance von IT- und Informationssicherheit als Teil des Security-Managements und damit des CISOs. Das Gros der Firmen verortet das Management von IT-Sicherheit als technische Aufgabe in der IT-Abteilung oder als Frage des Risikomanagements bei der Geschäftsführung. Letzteres gilt vor allem für Kleinunternehmen.
Direkter Draht zum Geschäftsführer
Interessante Erkenntnisse ergibt die Studie bei der Frage der Berichtswege. Der Verantwortliche für Informationssicherheit oder CISO ist, sofern vorhanden, in nahezu jedem zweiten Unternehmen direkt dem Geschäftsführer oder CEO unterstellt. Nur in jedem dritten Unternehmen berichtet er direkt an den CIO oder den IT-Leiter. Überraschend hoch ist mit zehn Prozent der Anteil des Finanzvorstand oder CFO als direkter Vorgesetzter. In Großunternehmen berichten sogar 22 Prozent der Verantwortlichen für IT-Sicherheit an den CFO.
Aufgaben des CISOs
Den Schwerpunkt der Tätigkeit eines CISOs bilden strategische und organisatorische Aufgaben. In rund 70 Prozent der Unternehmen steht die Ausarbeitung und Anpassung von Sicherheitsrichtlinien ganz oben auf der Aufgabenliste des Verantwortlichen für Informationssicherheit. Weitere wichtige To Dos bilden die Definition der sicherheitsrelevanten Objekte, der Bedrohungen und Risiken und der daraus abgeleiteten Sicherheitsziele (64 Prozent) sowie der Aufbau und Betrieb einer Organisationseinheit zur Umsetzung der Sicherheitsziele (54 Prozent). Mehr als die Hälfte der Unternehmen erwartet, dass der CISO bei den Mitarbeitern durch Trainings und Kampagnen ein Sicherheitsbewusstsein schafft. Hier sieht sich jeder siebte CISO in der Pflicht.
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Daher investieren die CISOs ihr eigenes Budget überwiegend in Maßnahmen zur Weiterschulung und Zertifizierung von Mitarbeitern (71 Prozent) sowie in Security-Software /und Security-Appliances (70 Prozent). Zu letzteren gehören unter anderen IAM-Lösungen für verbesserte Zugangs- und Rechtekontrolle und Passwort-Management, Produkte für Endpoint-Kontrolle und verfeinerte Daten-Backup-Systeme.
IT-Security-Budgets steigen
Um die Sicherheit ihrer IT-Umgebung zu erhöhen, fordern vier von fünf Unternehmen zusätzliche Investitionen in IT-Security. Insbesondere CISOs und IT-Leiter wünschen sich mehr finanzielle Unterstützung. Tatsächlich wird fast jede dritte Firma in den nächsten zwölf Monaten das Security-Budget erhöhen. Knapp die Hälfte wird möglicherweise zusätzlich in IT-Security investieren. Nur rund drei Prozent der Unternehmen möchten auf weitere Investitionen verzichten, weil sie sich als "ausreichend geschützt" einschätzen.
Externe Dienstleister sind gefragt
Das Geld fließt vor allem in externe Dienstleister. Während 20 Prozent der Firmen ihre IT-Security selbst in die Hand nehmen, darunter vor allem Kleinunternehmen, vertrauen Großunternehmen verstärkt auf externe Hilfe. Rund 41 Prozent der Unternehmen holen beim Aufbau und Betrieb der Sicherheitsarchitektur Experten von außen an Bord. Weitere wichtige Arbeitsgebiete sind Penetrationstests, die Evaluierung einer Security-Lösung, die Abwehr von Angriffen & forensische Untersuchungen sowie Threat Intelligence mit Bedrohungsanalysen.
Bei der Wahl des externen IT-Security-Anbieters legen die Unternehmen großen Wert auf technisches Wissen und Prozess-Know-how sowie den Firmensitz und die Lokation des Rechenzentrums in Deutschland. Anbieter aus "IT-Schurkenstaaten" wie China und Russland kommen für zwei Drittel der Unternehmen nicht in Frage. Ein gutes Preis-Leistungs-Verhältnis steht vor Branchenkompetenz nur an vierter Stelle im Anforderungskatalog. Punkten können Partner zudem mit Produkt- und Personenzertifizierungen, Service Level Agreements und Kundenreferenzlisten.
Der vollständige Berichtsband der "CISO Security Studie" mit ausführlichen Ergebnissen, Key Findings und Kurzanalysen ist als COMPUTERWOCHE-Whitepaper erhältlich. (sh)