Es gilt nicht nur für die Cybersecurity: Wenn ein Unternehmen Budgets erhöht und sich der gewünschte Erfolg nicht einstellt, sollten die Investitionen, die Strategien oder die Ziele überdacht werden.
Die Ziele in der Cybersicherheit sind eindeutig: Die sich häufenden Cyberattacken müssen früher erkannt und besser abgewehrt werden. Die Folgeschäden müssen so weit wie möglich gemindert werden. Offensichtlich liegt es an den Strategien der Unternehmen, wenn die steigenden Investitionen nicht im notwendigen Umfang dazu beitragen, die Sicherheitsziele zu erreichen.
Zur Studie 'Cybersecurity 2022' im Aboshop
Scheinsicherheit als großes Risiko
Die aktuelle Studie "Cybersecurity 2022" von CIO, CSO und COMPUTERWOCHE in Zusammenarbeit mit Arctic Wolf, AWS und Damovo gibt deutliche Hinweise darauf, was bei den Security-Strategien noch nicht stimmt. Es beginnt bereits bei der Ist-Analyse, die die Unternehmen zu ihrer Cybersicherheit durchführen.
"Die Studie ergab, dass sich mehr als zwei Drittel der Unternehmen als gut oder sehr gut bei der Behandlung von Sicherheitsvorfällen einschätzen", berichtet Dr. Sebastian Schmerl, Director Security Services EMEA, Arctic Wolf Networks Germany GmbH.
Der Security-Experte warnt: "Das deckt sich leider nicht mit unserer Erfahrung und den realen Vorfällen, die wir im Wirtschaftsraum DACH sehen. Hier kann man von Selbstüberschätzung oder Fehleinschätzung sprechen, denn im akuten Sicherheitsvorfall sind die meisten Unternehmen schlecht vorbereitet, planlos und maßlos überlastet - kurzum im 'Headless Chicken-Mode'".
Gleichzeitig bedeutet eine solche Fehleinschätzung, dass diese Unternehmen den Bedarf nicht sehen, die Behandlung von Sicherheitsvorfällen zu verbessern. Budgets für den Bereich Incident Response nennen in der aktuellen Umfrage auch nur rund sieben Prozent der befragten Unternehmen.
Ohne Zweifel ist dies eine riskante Budgetentscheidung, denn bekanntlich kommt es bei jedem Unternehmen zu einem erfolgreichen Angriff - die Frage ist nur, wann er erfolgt.
Cybersecurity braucht Erfahrung
Solche strategischen Fehler bei den Security-Investitionen könnten Unternehmen vermeiden, wenn man mehr auf Erfahrung und Expertise in der Cybersicherheit setzt.
"Eine realistische Einschätzung der eigenen Incident-Response-Fähigkeiten hat man nur, wenn man mögliche Szenarien zuvor in Übungen durchgespielt oder bereits mehrere größere Sicherheitsvorfälle durchgemacht hat", erklärt Dr. Sebastian Schmerl von Arctic Wolf Networks Germany GmbH.
Die Wahrscheinlichkeit, dass Unternehmen regelmäßig IT-Notfallübungen machen, ist allerdings nicht hoch. In der aktuellen Studie zur Cybersecurity 2022 sagen nur rund 17 Prozent der Unternehmen, die zeitnahe Auswertung und Reaktion bei Sicherheitsvorfällen sei bei ihnen eine große Herausforderung.
Wird die tatsächlich bestehende Herausforderung aber nicht erkannt, spart man sich lieber die Zeit für die eigentlich zwingend erforderlichen Übungen.
"Leider können die meisten Unternehmen nicht einmal verstehen, wie Angreifer vorgehen, was dort technisch passiert und was typische Angriffsziele sind", kommentiert Dr. Sebastian Schmerl von Arctic Wolf. "Mit Blick auf die sich verschärfende Bedrohungslage und den immer ausgefeilteren Angriffstechniken wird es daher in den nächsten Jahren immer wichtiger, dass Unternehmen sich professionelle, externe Unterstützung holen, damit sie nicht zu Freiwild für kriminelle Hacker werden, die immer organisierter vorgehen."
Security-Expertise muss genutzt werden
Wenn es interne Expertise und Erfahrung im Bereich Cybersecurity im Unternehmen gibt, wie dies bei im Unternehmen vorhandenen CISOs und CSOs der Fall ist, könnte man erwarten, dass die Security-Investitionen zu den strategischen Zielen der Cybersicherheit passen. Doch auch hier trügt der Schein, wie die Studie zeigt.
"Überrascht hat mich tatsächlich, dass die Rolle des CSO/CISO bislang offensichtlich nicht in ausreichendem Maße Gehör findet", sagt Edgar Reinke, Strategic Technology Officer, Damovo Deutschland GmbH & Co. KG.
Laut der Studie sind 23 Prozent der CISOs / CSOs überhaupt nicht an Security-Entscheidungen beteiligt und nur 46 Prozent lediglich beratend eingebunden. Dagegen sind 43 Prozent der CIOs/CDO/IT-Vorstände federführend bei Entscheidungen zur Security, weitere 43 Prozent beratend beteiligt.
"Diese Ergebnisse zeigen mir, dass Cybersecurity in großen Teilen immer noch siloartig in der IT angesiedelt wird, anstelle es als systematische Aufgabe unternehmensweit zu verankern", so Edgar Reinke von Damovo weiter.
Security-Entscheidungen brauchen Weitsicht
Risikoorientierte, angemessene und weitsichtige Entscheidungen in der Security sind nicht einfach, daran besteht kein Zweifel. "Security ist weder alleinig ein technisches noch ein strategisches Thema", betont Edgar Reinke von Damovo. "Security-Entscheidungen zu fällen, erfordert Know-how, Kommunikationsstärke und Erfahrung. Denn die strategischen und operativen Aufgabenstellungen im Security-Bereich sind komplex."
Für die Umsetzung ganzheitlicher Security-Strategien wie beispielsweise Zero Trust brauche es Expertise in beide Richtungen, systematisch strategisch und technisch operativ. "Ein CISO bringt die Fähigkeit mit, die dynamische Entwicklung im Security-Umfeld zu verfolgen und zu bewerten. Ihn nicht in den Security-Entscheidungsprozess einzubinden, ist fatal", warnt Reinke.
Aber es gibt auch Bereiche, in denen bereits viele Unternehmen das richtige Gespür entwickelt haben. "Unternehmen scheinen die Wichtigkeit der Angriffserkennung erkannt zu haben. Bei den Investitionen in Cybersecurity 2022 liegt laut Studie die Angriffserkennung mit rund 37 Prozent der Nennungen auf Platz 2 hinter der Angriffsabwehr, die von 43 Prozent genannt wird", so Damovos Strategic Technology Officer.
"Das deckt sich auch mit meiner Erfahrung: Risiken sichtbar machen, Awareness und Sensibilität für - potenzielle - Gefahren schaffen: das ist von Unternehmen gefordert und dort werden sie auch aktiv. Instanzen wie das BSI - das Bundesamt für Sicherheit in der Informationstechnik - etwa nehmen Betreiber Kritischer Infrastrukturen in die Pflicht, Security-Events zu erkennen und darauf zu reagieren, bevor es zu einem Angriff kommt", so Reinke weiter. "Die Risikoerkennung und -bewertung ist allerdings eine hohe Kunst, denn um die Möglichkeiten zur Angriffserkennung qualifiziert zu erfüllen, fehlt es oftmals an Know-how und Ressourcen."
Das Ziel lautet ganzheitliche Cybersicherheit
Allein die höheren Investitionen in wichtige Security-Felder sichern aber nicht den Erfolg in der Cybersecurity: "Bei den Cybersecurity-Investitionen fällt auf, dass die Unternehmen zwar punktuelle Maßnahmen auf dem Schirm haben, die auch Bestandteil eines Konzepts wie beispielsweise Zero-Trust sind", berichtet Reinke. "Da es aber Einzelmaßnahmen sind, sind sie eben nicht in ein Gesamtkonzept wie Zero Trust eingebettet". Ein solcher Bottom-up-Ansatz führe zwar mit einer gewissen Geschwindigkeit zu einem pragmatischen Ergebnis, sei aber nicht weitreichend genug.
Die aktuelle Studie "Cybersecurity 2022" von Computerwoche, CIO und CSO macht damit sichtbar, wie wichtig eine ganzheitliche Sicht auf die Cybersicherheit ist. Silos in der Security darf es nicht geben, weder in den Security-Investitionen, noch in den Security-Strategien und ebenso nicht in der Zuordnung der Security-Verantwortung.
Investitionen, Strategien und Verantwortlichkeiten in der Security müssen übergreifend gedacht werden. Cyberangreifer suchen und finden Lücken in der Security, die nicht erst in den Lösungen stecken, sondern bereits in der Budgetplanung und in den Konzepten. Diese strategischen Lücken gilt es zu schließen, genau wie die Schwachstellen in den IT-Systemen.
Zur Studie 'Cybersecurity 2022' im Aboshop
Studiensteckbrief
Herausgeber: CIO, CSO und COMPUTERWOCHE
Gold-Partner: Arctic Wolf Networks Germany GmbH
Partner: AWS Germany GmbH; Damovo Deutschland GmbH & Co. KG
Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Security-Spezialisten aus dem IT-Bereich
Teilnehmergenerierung: Persönliche E-Mail-Einladung über die Entscheiderdatenbank Entscheiderdatenbank von CIO, CSO und COMPUTERWOCHE sowie - zur Erfüllung von Quotenvorgaben - über externe Online-Access-Panels
Gesamtstichprobe: 323 abgeschlossene und qualifizierte Interviews
Untersuchungszeitraum: 30. August bis 6. September 2022
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung & Durchführung: Custom Research Team von CIO, CSO und COMPUTERWOCHE in Abstimmung mit den Studienpartnern