In 77 Prozent der Unternehmen hat die Zahl der Cybervorfälle in 2022 im Vergleich zum Vorjahr zugenommen, davon bei zehn Prozent sogar stark, wie die aktuelle Studie "Cybersecurity 2022" von CIO, CSO und COMPUTERWOCHE in Zusammenarbeit mit Arctic Wolf, AWS und Damovo ergeben hat. Gleichzeitig berichten 65 Prozent der Unternehmen, dass sie im Jahr 2022 ihr Budget für Security erhöht haben. Offensichtlich reicht es nicht, Security stärker in den IT-Budgets zu berücksichtigen.
Wie die Umfrage zeigt, ist ein zu niedriges Security-Budget auch nur für 29 Prozent der Unternehmen die größte Herausforderung in der Cybersicherheit. Der Schuh in der Security drückt an anderer Stelle.
Hohes Vertrauen, geringere Zufriedenheit
Wie die aktuelle Studie "Cybersecurity 2022" deutlich macht, führt ein niedriges Security-Budget auch nicht dazu, dass die Unternehmen in Deutschland weniger Vertrauen in die eigene Cybersicherheit hätten. Beträgt das IT-Security-Budget weniger als fünf Prozent von dem IT-Budget, halten sich 85 Prozent für fähig, Cybervorfälle selbst erkennen und abwenden zu können. Bei fünf bis zehn Prozent IT-Budget für Security sind es sogar 88 Prozent, bei mehr als zehn Prozent mit 83 Prozent nur etwas weniger.
Zur Studie 'Cybersecurity 2022' im Aboshop
Offensichtlich können weder die steigenden Zahlen an Cyberattacken, noch die Schwierigkeiten, genug Budget für die Security zu bekommen, das Vertrauen in die eigenen Security-Fähigkeiten erschüttern. Dabei sind die befragten Unternehmen nicht völlig zufrieden mit ihren vorhandenen Security-Lösungen. Nur 62 Prozent der Unternehmen äußern sich zufrieden oder sehr zufrieden über ihren Anti-Virus-Schutz, 65 Prozent entsprechend über ihre Firewall und 61 Prozent über ihre Verschlüsselung.
Bei neueren Themen wie Zero-Trust-Lösungen liegt die Zufriedenheit bei 42 Prozent, bei EDR / XDR (Endpoint Detection and Response, Extended Detection and Response) bei 41 Prozent.
Wenig Fokus auf Zero Trust
In Zeiten von Hybrid Work als Mischform aus klassischem Büro, Home-Office und mobilem Arbeiten sind Security-Modelle wie Zero Trust die richtige Antwort, da sind sich Security-Expertinnen und -Experten einig. In den Unternehmen aber ist Zero Trust noch nicht richtig angekommen. Der Aussage "Zero Trust ist das richtige Konzept, lässt sich aber nur schwierig umsetzen" stimmen nur 31 Prozent der befragten Unternehmen zu, 15 Prozent lehnen sie sogar explizit ab.
Das wirkt sich auch auf die Verteilung des Security-Budgets aus: So investieren die Unternehmen mit 43 Prozent besonders stark in die Angriffsabwehr, bei Angriffserkennung / Whitelisting wollen 37 Prozent Budget einsetzen, für den Datenschutz ebenfalls 37 Prozent. XDR (Extended Detection and Response) steht bei elf Prozent auf der Liste der Investitionen, SASE (Secure Access Service Edge) bei zehn Prozent.
Themen wie Zero-Trust-Konzepte liegen unter zehn Prozent, sie gehören also nicht zu den Top-Investitionsbereichen der Unternehmen, ganz im Gegenteil.
Die noch zu geringe Durchdringung von Zero Trust in den Unternehmen zeigt sich auch in den vorhandenen Konzepten und Richtlinien für Cybersecurity: Zero-Trust-Konzepte, die eng mit Hybrid Work verbunden sind, gibt es nicht einmal bei der Hälfte der Unternehmen (46 Prozent), als umfassend und detailliert bezeichnen sie sogar nur 14 Prozent.
Allerdings scheinen die Unternehmen auch den Bedarf für Zero Trust zu verkennen. Unter den größten Security-Herausforderungen, die die Studie ermittelt hat, tauchen neue Themen wie die Umsetzung von Zero Trust nur mit vier Prozent der Antworten auf.
Security-Entscheidungen brauchen mehr Expertise
Wie die Studie "Cybersecurity 2022" offenbart, sind 23 Prozent der CISOs / CSOs überhaupt nicht an Security-Entscheidungen beteiligt. Nur 32 Prozent der CISOs / CSOs sind federführend, 46 Prozent nur beratend eingebunden. Dagegen haben 43 Prozent der CIO / CDO / IT-Vorstände die Federführung bei Entscheidungen zur Security, weitere 43 Prozent sind beratend beteiligt.
Hier zeigen sich zwei grundsätzliche Herausforderungen für die Cybersicherheit. Zum einen wird sie häufig als Teil der IT verstanden, weshalb es auch die IT-Verantwortlichen sind, die die Security-Strategie bestimmen. Dabei hat Security eine Querschnittsfunktion und ist nicht nur in der IT anzusiedeln.
Zum anderen sind Security-Entscheidungen keine einfache Aufgabe, dafür sind viel Expertise und langjährige Erfahrung erforderlich. Wenn CSOs / CISOs nicht einmal beratend einbezogen werden, wie dies bei fast jedem Vierten der Fall ist, ist es kaum vorstellbar, dass die Entscheidungen die richtige Weitsicht haben, bei der Komplexität und Dynamik, die in der Cybersicherheit vorzufinden sind.
Neue Security-Ansätze wie Zero Trust haben es entsprechend schwer, ihr Potenzial zu entfalten. Das bleibt nicht ohne Folgen.
Hybrides Arbeiten ist weiterhin ein Unsicherheitsfaktor
Die Studie belegt einerseits, dass nur fünf Prozent der Unternehmen das geräte- und standortunabhängige Arbeiten verbieten. Gleichzeitig regeln aber nur 24 Prozent der Unternehmen Hybrid Work detailliert und umfassend. Zudem sehen nur 19 Prozent der Unternehmen das mobile Arbeiten als große Security-Herausforderung.
Dabei haben nur 26 Prozent rein positive Erfahrungen mit der Sicherheit bei der flexiblen Arbeit gemacht, dagegen hat die Mehrheit von 55 Prozent sowohl negative als auch positive Erfahrungen mit der Sicherheit gemacht, wenn mobil gearbeitet wird.
Ohne Konzepte wie Zero Trust aber wird die neue Art des Arbeitens zu einem wachsenden Unsicherheitsfaktor. Hier wäre zumindest die Beratung durch CISOs / CSOs wichtig, wenn über Security-Strategien und -Investitionen entschieden werden soll. Voraussetzung dafür ist aber selbstverständlich, dass entsprechende Funktionen überhaupt im Unternehmen vorhanden sind.
Fazit: Die Cybersicherheit braucht einen Kurswechsel
Die aktuelle Studie "Cybersecurity 2022" von Computerwoche, CIO und CSO zeigt eindrücklich, dass sich die Mehrzahl der Richtlinien und Sicherheitsmaßnahmen um Klassiker der Security dreht. So haben zum Beispiel 64 Prozent der Unternehmen eine IT-Sicherheitsrichtlinie für E-Mail. Trotz der hohen Bedeutung für Hybrid Work haben aber nur 28 Prozent eine IT-Sicherheitsrichtlinie für Videoconferencing, 30 Prozent für Filesharing und 41 Prozent für Homeoffices. So wichtig eine E-Mail-Richtlinie auch ist, sie reicht nicht in Zeiten des standortunabhängigen Arbeitens, bei dem zum Beispiel Videokonferenzen die Projektmeetings in physischer Form ergänzen oder sogar ersetzen sollen.
Es ist oftmals eine Fehleinschätzung, wenn nur 42 Prozent der Unternehmen zugeben, dass "IT-Security zu umfangreich und komplex geworden ist, um sie ohne Hilfe von Partnern oder Dienstleistern umsetzen zu können". Wenn Cybersicherheit allein mit internen Ressourcen vorangebracht und auf Kurs gehalten werden soll, dann gilt es aber, die verfügbaren, eigenen Security-Ressourcen wie die CISOs / CSOs zumindest in einer Beratungsfunktion zu nutzen. Besser noch ist es, sie auch tatsächlich als Security-Verantwortliche zu sehen und mit Entscheidungskompetenzen auszustatten.
Dann werden neue Themen wie Zero Trust einen höheren Stellenwert erlangen, auch um den nicht zu unterschätzenden Risiken durch Innentäter zu begegnen: Über die Hälfte der Unternehmen hatte bereits Sicherheitsvorfälle durch ehemalige oder aktuelle Beschäftigte. Die Antwort darauf ist Zero Trust, indem selbst eigenen oder ehemaligen Beschäftigten kein Anfangsvertrauen geschenkt wird, sondern immer eine Risikoprüfung erfolgt.
Bislang sehen nur 18 Prozent der befragten Unternehmen interne Bedrohungen als größte Herausforderung für die Security, während 40 Prozent externe Bedrohungen besonders fürchten.
Zu dem notwendigen Kurswechsel in der Cybersicherheit sollte eine neue Sicht auf Risiken gehören, die im Inneren wie von extern drohen. Für den neuen Kurs sollten die CISOs/CSOs auf der Kommandobrücke stehen, damit der Wechsel gelingt - mindestens als Navigator, besser noch als "Kapitänin" oder "Kapitän".
Zur Studie 'Cybersecurity 2022' im Aboshop
Studiensteckbrief
Herausgeber: CIO, CSO und COMPUTERWOCHE
Gold-Partner: Arctic Wolf Networks Germany GmbH
Partner: AWS Germany GmbH; Damovo Deutschland GmbH & Co. KG
Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Security-Spezialisten aus dem IT-Bereich
Teilnehmergenerierung: Persönliche E-Mail-Einladung über die Entscheiderdatenbank Entscheiderdatenbank von CIO, CSO und COMPUTERWOCHE sowie - zur Erfüllung von Quotenvorgaben - über externe Online-Access-Panels
Gesamtstichprobe: 323 abgeschlossene und qualifizierte Interviews
Untersuchungszeitraum: 30. August bis 6. September 2022
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung & Durchführung: Custom Research Team von CIO, CSO und COMPUTERWOCHE in Abstimmung mit den Studienpartnern