Awareness und Risiken steigen

IT-Sicherheit auf der Vorstandsagenda

01.07.2019
Von 


Marc Wilczek ist Autor zahlreicher Beiträge rund um die Themen digitale Transformation, Cloud Computing, Big Data und Security. Aktuell ist er Geschäftsführer beim IT-Sicherheitsanbieter Link11. Neben Managementstationen im Deutsche Telekom Konzern und bei CompuGroup Medical, leitete er zuvor unter anderem als Managing Director das Asiengeschäft beim IT-Sicherheitsexperten Sophos.
Cyber-Bedrohungen zu erkennen und abzuwenden wird immer schwieriger. Ein Viertel der Unternehmen beklagt größere finanzielle Schäden.

2018 folgten in regelmäßigen Abständen großflächige Cyberangriffe und Datenpannen bei Airlines, Hotels, Banken oder Tech-Firmen. Kein Wirtschaftszweig war vor Schäden gefeit. Gleichwohl ist dies lediglich die Spitze des Eisbergs. Wie in der CSO State of Cybercrime Survey 2018 von IDG zusammengefasst, haben Unternehmen aller Art und Größe einen Ansturm von Cyberangriffen und Milliardenschäden verzeichnet.

Das immer engmaschigere Netz aus digitalen Komponenten im Business steigert das Cyber-Risko. Gleichzeitzig nimmt jedoch auch die Security-Awareness im Unternehmen zu.
Das immer engmaschigere Netz aus digitalen Komponenten im Business steigert das Cyber-Risko. Gleichzeitzig nimmt jedoch auch die Security-Awareness im Unternehmen zu.
Foto: Fure - shutterstock.com

Obwohl für IT-Sicherheit mehr Zeit und Ressourcen denn je aufgewendet werden, fällt es vielen Unternehmen schwer, die sich ständig verändernde Bedrohungslandschaft im Griff zu behalten. Rund ein Viertel (23 Prozent) der befragten Unternehmen vermeldet höhere finanzielle Verluste als im Vorjahr.

Bedrohungserkennung wird schwieriger und dauert länger

Insbesondere Großunternehmen, die neue Geschäftsmodelle im Internet der Dinge (IoT) realisieren, haben es plötzlich mit Hunderttausenden oder perspektivisch gar mit Millionen von Endpunkten zu tun. Durch zunehmende Vernetzung und Konnektivität zwischen Unternehmen, Kunden, Partnern und Lieferanten sollen Wertschöpfungsketten optimiert, Effizienzgewinne realisiert und möglichst datengestützt unmittelbar in Produktionsabläufe und Lieferketten einwirkt werden. All dies schafft häufig zusätzliche Angriffsfläche.

Aufgrund steigender Komplexität dauert es tendenziell länger, Angriffe zu erkennen. Während im Jahr 2016 noch durchschnittlich 80,6 Tage zwischen dem Eindringen und der Erkennung eines Cyber-Angriffs verstrichen, so dauerte es 2017 bereits 92,2 Tage. 2018 ist die Dauer auf durchschnittlich 108,5 Tage abermals angestiegen. Sogenannte Multi-Vektoren-Angriffe sind längst gängige Praxis. Dabei führen Cyberkriminelle in einer konzentrierten Aktion, an mehreren Fronten parallel, komplexe Attacken durch, um Schwachstellen auszunutzen.

Regulatorische Rahmenbedingungen nehmen zu

Im digitalen Zeitalter haben Cyberangriffe einen größeren Einfluss auf das operative Geschäft als je zuvor. Ob der Sicherheitsvorfall im großen Stil personenbezogene Daten exponiert oder ein DDoS-Angriff ein Unternehmen für Stunden oder Tage stilllegt, die Effekte schlagen mittlerweile empfindlich auf die Finanzkennzahlen durch, was die Regulierungsbehörden auf den Plan ruft. Geldbußen im Rahmen der DSGVO sind erst der Vorgeschmack. In den USA wurden seitens der dortigen Börsenaufsicht (SEC) bereits die Meldepflichten aufgrund von IT-Pannen gegenüber dem Kapitalmarkt verschärft. Auch hierzulande ist davon auszugehen, dass die Publizitätspflichten weiter gestrafft werden.

Laut der CSO-Studie hat sich die Zahl der Befragten, die nach einem Sicherheitsvorfall die Regulierungsbehörden, betroffene Unternehmen oder die Regierung benachrichtigen mussten, binnen eines Jahres fast verdreifacht. Waren dies im Jahr 2017 lediglich 31 Prozent, so kletterte die Zahl 2018 sprunghaft auf 84 Prozent.

Auf der Vorstandsagenda

Dem Bericht zufolge geben 58 Prozent der Unternehmen an, dass die Sicherheitschefs ihre Vorstände mindestens vierteljährlich über Cyberfragen informieren. Die Zahl der Unternehmen, die ihre Gremien nicht fortlaufend unterrichten, ist von 29 Prozent im Jahr 2017 auf 19 Prozent im Jahr 2018 gesunken.

Obwohl Fortschritte gemacht wurden, bleibt viel zu tun - insbesondere auf der Chefetage. So gaben die Studienteilnehmer an, dass von allen Gruppen, die die meisten Aus- und Weiterbildungen im Bereich Sicherheit benötigten, ausgerechnet die C-Suite von den meisten Befragten (55 Prozent) genannt wurde.

Auch in Sachen Basisarbeit besteht Verbesserungsbedarf. Die Umfrage ergab, dass sich zwei Drittel (66 Prozent) der Unternehmen zwar mehr Sorgen um Cyber-Angriffe machen als im Vorjahr, aber viele Unternehmen immer noch nicht über präventive oder postaktive Maßnahmen verfügen. Nur 65 Prozent von ihnen haben einen formalen Reaktionsplan für Sicherheitsvorfälle. Von den 35 Prozent an Unternehmen, die über einen solchen Plan verfügen, testen lediglich 44 Prozent diesen mindestens einmal jährlich. Eine Koordination der Aktivitäten im Ernstfall wird dadurch erheblich erschwert.

Corporate Goveranance auf den Prüfstand

Der Anteil der Sicherheitsfachkräfte, die an den CEO berichten, sank von 35 Prozent im Jahr 2017 auf 28 Prozent im vergangenen Jahr. Unterdessen stieg der Prozentsatz der CISOs, die an den CIO berichten, von 16 Prozent im Jahr 2017 auf 25 Prozent im Jahr 2018. Fraglich bleibt, ob dies eine nachhaltige und positive Entwicklung ist. Naturgemäß gibt es qua Amt und Geschäftsauftrag gelegentlich Interessenskonflikte zwischen den Parteien.

Oftmals, wenn ein Unternehmen eine neue App, Plattform oder einen neuen digitalen Dienst einführt, soll dies verständlicherweise so schnell wie möglich geschehen. Viel Zeit und Energie wurde in die Entwicklung gesteckt und der Wettbewerbsdruck ist hoch. Lässt man sich zu viel Zeit, nehmen einem neue Marktteilnehmer, wie etwa innovative Startups, Geschäft weg. Im Eifer des Gefechts gerät IT-Sicherheit dann ins Hintertreffen und wird als lästiges Übel angesehen, das den Prozess lediglich verzögert.

Um die Kräfte ausgewogener zu verteilen, kann das Kreditgeschäft der Banken als Analogie dienen. Marktseite und der Marktfolge arbeiten ausgleichend zusammen - letztendlich mit der Maßgabe Geschäft abzuschließen aber zeitgleich Risiken abzuwenden. In der IT-Welt könnte dies gelingen, in dem CISOs mit weiteren Kompetenzen ausgestattet werden, mehr Gehör finden und beispielsweise direkt an den CEO oder CFO berichten. Angesichts steigender Schäden und zunehmender Regulatorik ist ein "Weiter so" jedenfalls nicht die naheliegendste Devise. (jd)