CISO Benchmark 2020

Die wichtigste Security KPI

15.04.2020
Von 


Marc Wilczek ist Autor zahlreicher Beiträge rund um die Themen digitale Transformation, Cloud Computing, Big Data und Security. Aktuell ist er Geschäftsführer beim IT-Sicherheitsanbieter Link11. Neben Managementstationen im Deutsche Telekom Konzern und bei CompuGroup Medical, leitete er zuvor unter anderem als Managing Director das Asiengeschäft beim IT-Sicherheitsexperten Sophos.
Laut einer aktuellen Cisco-Studie wirken sich Cyberangriffe 2020 vor allem auf das operative Geschäft und die Markenreputation aus. Außerdem gibt die Studie Aufschluss über die wichtigste Security KPI.
Cisco hat auch dieses Jahr Chief Information Security Officers zu ihren größten IT-Security-Herausforderungen befragt. Wir sagen Ihnen, was Sie zum CISO Benchmark 2020 wissen müssen.
Cisco hat auch dieses Jahr Chief Information Security Officers zu ihren größten IT-Security-Herausforderungen befragt. Wir sagen Ihnen, was Sie zum CISO Benchmark 2020 wissen müssen.
Foto: Olivier Le Moal - shutterstock.com

Zeit wird zunehmend zum kritischen Business-Faktor. Bedrohungen müssen deshalb schneller erkannt und abgewendet werden. Operativ besteht die Herausforderung darin, dass IT-Landschaften schlichtweg komplexer werden. Im Rahmen der digitalen Transformation gilt es, die IT stellenweise zu "öffnen" und dadurch die engere Zusammenarbeit mit Partnern, Lieferanten und Kunden sowie neue Geschäftsmodelle zu ermöglichen. Cloud-Anwendung, mobile Geräte, Sensorik oder Schnittstellen (APIs) sind Beispiele dafür.

In der sechsten Auflage des CISO-Benchmark 2020 befragte Netzwerkausrüster Cisco 2.800 Chief Information Security Officers (CISOs) und andere IT-Entscheidungsträger aus 13 Ländern nach Ihren aktuellen Herausforderungen und Lösungsansätzen.

CISO Benchmark 2020 - Risiko-Ranking

Laut dem Weltwirtschaftsforum in Davos werden Cyber-Angriffe als das zweitgrößte weltweite Risiko in den fortgeschrittenen Volkswirtschaften betrachtet. Platz eins nimmt eine weltweite Finanzkrise ein. Damit einhergehend geben 89 Prozent der Befragten der Cisco-Studie an, dass die Management-Ebene ihres Unternehmens Cyber-Sicherheit hoch priorisiert. Dennoch ist dieser Wert in den letzten vier Jahren der Studie um 7 Prozent leicht gesunken. Neun von zehn Befragten sind der Meinung, dass die Führungskräfte ihrer Organisation klare Metriken aufgestellt haben, um die Wirksamkeit ihres Sicherheitsprogramms zu bewerten. Klare Metriken sind wiederum unerlässlich, damit die Cyber-Resilienz auf operativer Ebene verbessert und wirksamer gemacht werden kann.

Der Prozentsatz der Organisationen, die im Kontext Cyber-Security Rollen und Verantwortlichkeiten innerhalb des Managements geklärt haben, liegt 2020 bei 89 Prozent der Befragten. 91 Prozent beziehen Cyber-Risiken in die allgemeine Risikobewertung mit ein. Das sind fünf Prozent weniger als im letzten Jahr. Klare Metriken, um die Wirksamkeit von Sicherheitsprogrammen zu bewerten, nutzen 90 Prozent der Befragten. Damit ist die Zahl leicht rückläufig und gegenüber dem Vorjahr um sechs Prozent gesunken.

Eine funktionierende Digitalwirtschaft ist mittlerweile ohne Nutzung der Cloud faktisch unmöglich. Im Jahr 2020 nutzen 83 Prozent der Unternehmen mehr als ein Fünftel ihrer IT-Infrastruktur in der Cloud, so der Bericht. Ressourcen außerhalb des Firmengeländes zu schützen und resilient machen, bleibt jedoch eine Herausforderung. So finden 41 Prozent der befragten Unternehmen, dass Rechenzentren sehr oder extrem schwer zu verteidigen sind. 39 Prozent haben Schwierigkeiten, ihre Anwendungen zu sichern.

Auch Private-Cloud-Infrastrukturen stellen für Unternehmen eine große Herausforderung in Sachen Sicherheit dar. Die Hälfte der Befragten empfindet sie als sehr oder extrem schwer zu verteidigen. Am problematischsten sei jedoch der Schutz der Daten in der Public Cloud. 52 Prozent bezeichnen dies als sehr schwierig. Was die Netzwerkinfrastruktur betrifft, sagen die 41 Prozent der Unternehmen, sie sei sehr schwierig zu verteidigen.

Die wichtigste Security KPI für CISOs

Die Cisco-Studie untersuchte verschiedene Auswirkungen von Sicherheitsverletzungen, einschließlich Ausfallzeiten, Daten und Finanzeinbußen. Beim Vergleich verschiedener Unternehmensgrößen waren die Ergebnisse in allen Bereichen ähnlich. Großunternehmen mit 10.000 oder mehr Mitarbeitern haben mit größerer Wahrscheinlichkeit geringere Ausfallzeiten (bis zu vier Stunden), da ihnen häufig mehr Ressourcen zur Verfügung stehen, um zu reagieren und das Problem zu lösen. Kleine bis mittelgroße Unternehmen dominierten das Mittelfeld hinsichtlich der Wiederherstellungszeit (bis 16 Stunden). Desaströse Ausfallzeiten von bis zu 48 Stunden waren bei Unternehmen aller Größenordnungen vergleichsweise niedrig.

Um Betriebsunterbrechungen und damit einhergehende Schäden zu minimieren, muss der Normalzustand nach einem Sicherheitsvorfall schnell wiederhergestellt werden. Daher lautet das Fazit der Studie, dass die Zeit bis zur Behebung (die sogenannte "Time-To-Mitigate" oder "Time-To-Remediate") die wichtigste Kennzahl ist, die an den Vorstand berichtet werden sollte.

Die Zahl der Unternehmen, die täglich mit maximal 5.000 Warnungen zu tun haben, ist seit 2017 von 50 Prozent auf 36 Prozent 2020 gesunken. Im gleichen Zeitraum ist die Anzahl von Unternehmen, die täglich mindestens 100.000 Warnmeldungen registrieren, um 50 Prozent gestiegen (2017: 11 Prozent; 2020: 17 Prozent).

Alldem mit personellem Aufwand nachkommen zu wollen, ist schwierig. Besorgniserregend ist, dass - vermutlich dem rasanten Mengenanstieg geschuldet - die Zahl der Warnmeldungen, denen aktiv nachgegangen wird, mit knapp 48 Prozent auf dem niedrigsten Stand seit über vier Jahren ist. Im Jahr 2017 lag die Zahl bei 56 Prozent, und seitdem ist sie jedes Jahr zurückgegangen.

Die zunehmenden Warnungen bringt Ermüdungserscheinungen mit sich, die zu Lasten der Sicherheit gehen. Die Menge der als legitim eingestuften Warnmeldungen ist mit 26 Prozent von Jahr zu Jahr konstant. Das deutet darauf hin, dass es sich bei vielen Meldungen um Fehlalarme ("False Positive") handelt. Dennoch dauert es im Ernstfall zu lange, bis reagiert wird. Von denjenigen, die sagen, dass sie an "Cyber-Trägheit" leiden und nicht alle Meldungen bearbeiten können, erhalten 93 Prozent täglich mehr als 5.000 Warnungen. Mehr als Dreiviertel (77 Prozent) der Befragten plant den stärkeren Einsatz von Automatisierung, um die Antwortzeiten bei Cyber-Bedrohungen zu beschleunigen.

IT-Sicherheit - Vorbereitung zahlt sich aus

Schwerwiegende Angriffe haben zugenommen. So wiederfuhr 19 Prozent der Unternehmen in diesem Jahr ein Vorfall, bei dem mehr als 100.000 Datensätze betroffen waren (2019: 15 Prozent). Die Studie identifiziert neuen kritische Unternehmensbereiche, auf die sich ein weitreichender Cyber-Angriff typischerweise auswirkt. Die am stärksten betroffenen Facetten waren der Geschäftsbetrieb und der Markenwert beziehungsweise die Reputation. Darauf folgen die Finanzen, das geistige Eigentum und zunehmende Kundenabwanderung.

Betrachtet man die vergangenen Jahre, so ist die Zahl der Befragten, deren Image durch Sicherheitsvorfälle beeinträchtigt wurde, innerhalb von drei Jahren von 26 Prozent auf 33 Prozent gestiegen. Um den Schaden zu begrenzen, ist es entscheidend, dass die Krisenkommunikation elementarer Bestandteil des Incident-Management-Prozesses ist.

Mit 61 Prozent der Befragten haben mehr Unternehmen einen Sicherheitsverstoß freiwillig offengelegt als in den letzten vier Jahren. Dies zeigt, dass die Betriebe insgesamt proaktiver geworden sind. Das ist vermutlich eine Folge strafferer Regulatorik (etwa DSGVO), aber hoffentlich auch durch soziales Bewusstsein angeregt und dem Wunsch, das Vertrauen der Kunden zu erhalten. (jd/fm)