Gartner Security Trends

Das müssen CISOs über Risikomanagement wissen

07.03.2019
Von 
Jens Dose ist Editor in Chief von CIO. Seine Kernthemen drehen sich rund um CIOs, ihre IT-Strategien und Digitalisierungsprojekte.
Das Analystenhaus Gartner sieht sieben Trends im Sicherheits-, Datenschutz- und Risikomanagement. Erfahren Sie, was CISOs und Security-Entscheider beachten sollten.

Sicherheits- und Risikomanagement steht weit oben auf den Agenden von CISOs und anderen IT-Verantwortlichen. Die zunehmende Digitalisierung und Vernetzung der Unternehmens-IT schafft immer neue Angriffsflächen, die es adäquat zu bewerten und abzusichern gilt.

Cloud, Fachkräftemagel und Governance gehören laut Gartner zu den Top-Trends im Risikomanagement.
Cloud, Fachkräftemagel und Governance gehören laut Gartner zu den Top-Trends im Risikomanagement.
Foto: Robert Kneschke - shutterstock.com

Je mehr Bedeutung die IT für das Business gewinnt, desto schwerer wiegen IT-Ausfälle als Risiko für kritische Betriebsunterbrechungen. So bewerteten beispielsweise Allianz-Kunden im Risk-Barometer des Versicherers Cyber-Zwischenfälle als Hauptursache für Störungen im Geschäftsablauf.

Auch die Analysten von Gartner haben das erkannt und eine Liste mit sieben aufkommenden Trends erstellt, die das Sicherheits- und Risikomanagement (SRM) in Unternehmen ihrer Meinung nach 2019 und darüber hinaus beschäftigen werden.

1. Risikobewertungen werden eng mit Unternehmensergebnissen verzahnt.

Da IT-Strategien und Geschäftsziele sich aneinander ausrichten, wird es für SRM-Verantwortliche immer wichtiger, andere Entscheider mit Sicherheitsthemen vertraut zu machen. Bewertungen zur Risikobereitschaft ("Risk Appetite Statements") gilt es, einfach, praxisbezogen und pragmatisch mit den Geschäftszielen und Vorstandsentscheidungen in Verbindung zu bringen. So vermeiden CISOs Entscheidungen, die nur auf IT fokussiert sind.

2. SOCs mit Fokus auf Threat Detection und Response werden Pflicht.

Security-Ausgaben verlagern sich weg von der Vermeidung und hin zur Erkennung von Bedrohungen. Dadurch wird es notwendig, in Security Operation Center (SOC) zu investieren, da die Sicherheitswarnungen häufiger und komplexer werden.

Die Analysten sagen voraus, dass bis 2022 die Hälfte der SOCs integrierte Fähigkeiten in den Bereichen Incident Response und Threat Intelligence besitzen werden. Gartner rät SRM-Entscheidern, ein SOC aufzubauen oder auszulagern, das diese Features bietet, Security-Alerts konsolidiert und automatisierte Gegenmaßnahmen einleitet.

3. Data Security Governance Frameworks bestimmen Investitionen.

Um Datensicherheit in immer komplexeren Umgebungen zu gewährleisten müssen Unternehmen die Daten selbst verstehen sowie den Kontext, in dem sie erstellt und genutzt werden. Auch die Regularien, denen sie unterliegen, spielen dabei eine wichtige Rolle.

Organisationen werden laut Gartner aufhören, Lösungen zum Schutz der Daten zu kaufen und sie an ihre Bedürfnisse anzupassen. Stattdessen setzten sie auf ein sogenanntes Data Security Governance Framework (DSGF). Dabei handelt es sich um eine Art datenzentrierte Blaupause, um Datenbestände zu identifizieren, zu klassifizieren und Richtlinien für deren Schutz zu definieren. Darauf aufbauend sollten IT-Verantwortliche Technologien auswählen, die das Risiko minimieren. Damit werde Datensicherheit vom Geschäftsrisiko bestimmt und nicht von der angeschafften Technologie.

4. Passwortlose Authentifizierung kommt im Markt an.

Passwortlose Authentifizierungsmethoden wie Fingerabdruck-Scanner in Smartphones werden laut Gartner starke Verbreitung im Markt erfahren. Sie werden bereits häufig in Unternehmens-Anwendungen eingesetzt, um es Hackern schwerer zu machen, über gezielt gestohlene Passwörter in Cloud-basierte Services einzudringen.

Passwortlose Methoden, die Geräte über Standortdaten, Verhaltensmuster oder biometrische Merkmale ihren Besitzern zuordnen, sollen sowohl mehr Sicherheit als auch Bedienkomfort mit sich bringen.

5. Hersteller werden zu Managed-Service- und Schulungsanbietern.

Trotz künstlicher Intelligenz und Automatisierung ist der Fachkräftemangel eines der größten Probleme im IT- und Security-Sektor. KI kann zwar helfen, die Flut an Standard-Security-Alerts abzufangen. Sensible oder komplexe Bedrohungen erfordern aber immer noch menschliche Mitarbeiter.

Daher bieten Hersteller zunehmend Lösungen an, die Produkte und Services vereinen, damit Unternehmen sie schneller einsetzen können. Die Dienstleistungen reichen dabei vom kompletten bis hin zu teilweisem Support. Letzteres hat das Ziel, das Skill-Level der Administratoren auszubauen und den alltäglichen Abreitsaufwand zu reduzieren.

6. Unternehmen investieren verstärkt in Cloud-Security.

Die Frage lautet mittlerweile nicht mehr ob, sondern wann und wie Unternehmen den Schritt in die Cloud wagen. Auf der einen Seite gilt sie als Enabler der Digitalisierung, auf der anderen bedeutet sie mehr Belastung für die Security-Teams. Fachwissen und Personal fehlen vielerorts, sodass zahlreiche Unternehmen nicht auf die Cloud vorbereitet sind.

Daher schätzen die Gartner-Experten, dass die meisten der Sicherheitsvorfälle in der Cloud bis 2023 von Anwendern verursacht werden. Zwar ist die Public Cloud eine sichere und praktikable Option für viele Betriebe. Die Verantwortung, das Sicherheitsniveau aufrechtzuerhalten, liegt aber bei den Betreibern und Nutzern zugleich. Unternehmen müssen daher in Security-Expertise und Governance-Tools investieren, um mit den rasanten Entwicklungen in der Cloud mithalten können.

7. Gartners CARTA-Strategie soll in traditionellen Security-Märkten mehr Anklang finden.

Wenig überraschend nehmen die Marktforscher auch eines ihrer eigenen Produkte in ihre Trendvorhersage mit auf. "Continuous Adaptive Risk and Trust Assessment" (CARTA) ist eine von Gartner entwickelte Security-Strategie, die es Unternehmen erlauben soll, sich dynamisch an wechselnde Sicherheitsanforderungen anzupassen.

Anstatt bestimmte Interaktionen strikt zu blockieren oder zuzulassen, müssten einige Transaktionen erlaubt werden, auch wenn deren Sicherheit nicht absolut gegeben ist. Eine Kernaussage der Strategie lautet, Risiken und Vertrauen kontinuierlich zu bewerten, auch wenn beispielsweise ein Anwender bereits Zugang erhalten hat.

E-Mail- und Netzwerk-Sicherheitskonzepte setzen laut Gartner diesen Ansatz bereits um, indem sie kontinuierlich nach Anomalien suchen, auch wenn Nutzer und Geräte bereits authentifiziert sind.