Wer die Programme aktueller Security-Konferenzen oder die gegenwärtigen Schlagzeilen von Security-Publikationen liest, trifft unweigerlich auf die neue Cybersicherheitsrichtlinie der EU namens NIS2. Kein Wunder, denn die Umsetzung dieser EU-Richtlinie in nationales Recht muss im Oktober 2024 abgeschlossen sein. Man könnte deshalb vermuten, dass die Unternehmen in Deutschland das Jahr 2024 als "NIS2-Jahr" in den Köpfen haben. Doch weit gefehlt.
Die aktuelle Studie "IT-Security-Trends 2024" von CSO, CIO und Computerwoche in Zusammenarbeit mit Fortinet und SPIRIT/21 zeigt, dass 94 Prozent der befragten Unternehmen ihre Vorbereitungen auf NIS2 bereits abgeschlossen haben oder bis Ende des Jahres 2024 beendet haben wollen. Zwar stand die deutsche Umsetzung von NIS2 zum Zeitpunkt der Befragung noch aus und die Unternehmen kannten die genauen Anforderungen noch nicht. Dennoch lässt sich feststellen, dass NIS2 für die meisten Unternehmen nicht ganz oben auf der Security-Agenda des Jahres steht. Andernfalls wären die Unternehmen nicht so überzeugt von dem Stand ihrer Umsetzung.
Ransomware hat den Spitzenplatz verloren
Die Studie hat eine weitere Überraschung zu bieten, wenn es um die Top-Platzierungen unter den Trends 2024 geht. So investiert nur etwas mehr als jedes fünfte Unternehmen (22 Prozent der Befragten) in einen technischen Schutz gegen Ransomware.
Die Gefahr, Opfer einer finanziell getriebenen Cyberattacke wie beispielsweise Ransomware zu werden, schätzen nur 41 Prozent der Befragten für sich als groß ein. Opfer von Industriespionage zu werden, ist dagegen für 47 Prozent der Unternehmen eine große Gefahr.
Nach der Relevanz bestimmter IT-Security-Themen befragt, nennen die meisten der Unternehmen (86 Prozent) den Schutz vor KI-gesteuerten Angriffen als besonders bedeutend. Damit liegt dieses Thema vor der Ransomware-Resilienz, die von 82 Prozent der Befragten entsprechend genannt wurde.
Genauso häufig wie der Schutz vor Ransomware taucht ein weiteres KI-Thema in der Umfrage auf: So ist eine spezielle Security für KI-Systeme, um diese vor Angriffen und Missbrauch zu nutzen, für 82 Prozent der Befragten relevant.
KI dominiert die Bedenken und Wünsche
Für 15 Prozent der Unternehmen ist der Bedarf an speziellen Security-Maßnahmen zum Schutz von KI-Systemen "essentiell". 35 Prozent halten ihn für "sehr hoch", 26 Prozent für "hoch", 14 Prozent für immer noch "eher hoch". Insgesamt sind damit neun von zehn Befragten der Auffassung, dass dies ein relevantes Thema ist.
Wenn es um künstliche Intelligenz geht, sehen die Unternehmen in Deutschland also die Gefahr von KI-basierten Attacken - gleichzeitig aber ist ihnen bewusst, dass auch KI selbst Ziel von Angriffen sein kann und deshalb speziellen Schutz bedarf. Obwohl KI mehrfach in den Security-Überlegungen der Unternehmen in Deutschland zu finden ist, bedeutet das nicht, dass auch bereits die notwendigen und möglichen Maßnahmen für KI-Sicherheit und KI-Compliance ergriffen werden. Zwar sehen die meisten Unternehmen einen hohen Schutzbedarf für ihre KI-Systeme, doch erst 58 Prozent von ihnen haben bereits eine KI-Strategie, während 31 Prozent diese noch planen.
Ohne die richtige Strategie kann jedoch eine gezielte und fundierte Absicherung nicht gelingen. Wie die neue Studie aufzeigt, soll KI in der Cybersicherheit nicht nur unterstützen, sondern sie wird gleichzeitig selbst als schutzbedürftiger Bereich angesehen. Entsprechend sollten Unternehmen eine KI-Strategie nicht vernachlässigen und hier umgehend aktiv werden.
Potenziale für Security Automation bleiben ungenutzt
Neben der oft noch fehlenden KI-Strategie gibt es weitere Lücken in der Umsetzung des aus Sicht der Unternehmen dominierenden Themas künstliche Intelligenz in der Security: KI hat großes Potenzial zur Automatisierung vieler Security-Aufgaben, doch dies wird nicht richtig genutzt.
Nur knapp die Hälfte der befragten Unternehmen (51 Prozent) nutzt bereits die Möglichkeit, Security-Funktionen zu automatisieren, weitere 34 Prozent befinden sich dazu in der Planungsphase. Der Fokus der (geplanten) Automatisierung liegt auf der Angriffserkennung (62 Prozent). Es folgen die Angriffsmeldungen (59 Prozent) und die Angriffsabwehr (57 Prozent), in welcher die Unternehmen auch den größten Nutzen der Security-Automatisierung allgemein sehen.
Um administrative Aufgaben in der Security zu reduzieren, greift aber bislang nur jedes vierte Unternehmen zur Automatisierung (25 Prozent), den Bereich Security Awareness haben sogar nur 23 Prozent der Befragten automatisiert.
Mit Blick auf den Fachkräftemangel in der Security ist besonders bedenklich, dass nur 17 Prozent als den größten Nutzen der Security Automation die Entlastung der knappen personellen Security-Ressourcen sehen.
Offenbar schöpfen die befragten Unternehmen die Potenziale einer Automatisierung noch nicht aus, zumal Security Automation dann am meisten leisten kann, wenn möglichst viele Security-Funktionen eingebunden sind. Das ist aber bisher kaum der Fall - die Unternehmen beschränken sich auf Insellösungen.
Das gilt auch für die interne Security-Expertise
Aber nicht nur KI und Automatisierung könnten in der Security mehr zum Zuge kommen. Die Studie "IT-Security-Trends 2024" macht deutlich, dass die CISOs der Unternehmen in vielen Fällen immer noch nicht ihrer Expertise entsprechend eingesetzt werden.
So liegt die federführende Verantwortung für Security nur in elf Prozent der Unternehmen in den Händen der CISOs / CSOs und (IT-) Security-Vorstände. Selbst unter den Rollen, die im Unternehmen zumindest beratend bei Security-Entscheidungen einbezogen werden, liegen die CISOs nicht vorne. Vielmehr haben in 35 Prozent der Unternehmen die IT-Leitungsebenen eine Beraterrolle in der Security, die CISOs hingegen werden nur in 22 Prozent der Unternehmen beratend miteinbezogen.
Denkt man an den vorherrschenden Fachkräftemangel in der Cybersicherheit und die steigende Zahl an Cyberbedrohungen, sollten Unternehmen das Potenzial, das in den CISOs steckt, in Zukunft weitaus stärker nutzen.
Fazit: Der Blick auf Cyberrisiken muss schärfer werden
Es zeigt sich: Trotz der offenkundigen Gefahren durch Ransomware gerät der Schutz gegen die Online-Erpressungen bei den Investitionen langsam aus dem Fokus. Die NIS2-Umsetzung läuft aus Sicht der meisten Unternehmen nach Plan, obwohl die genauen Anforderungen in Deutschland zum Zeitpunkt der Umfrage noch nicht genau bekannt waren.
KI-basierte Cyberattacken werden schon heute in ihrer Bedeutung als hoch eingestuft, mit steigender Tendenz in den kommenden Jahren. Auch der Schutz der KI-Systeme vor Missbrauch und Manipulation ist den Unternehmen wichtig. Gleichzeitig haben viele der Befragten aber noch keine Strategie für KI.
Notwendig wäre es deshalb, die Cyberrisiken noch genauer zu identifizieren und zu bewerten, um dann umfassend technisch und organisatorisch Maßnahmen zur Risikominderung zu definieren und umzusetzen.
Noch sind aber viele Unternehmen von diesem Wunschzustand weit entfernt: Nur 52 Prozent der Unternehmen geben an, dass sich ihr Risikomanagement bereits dediziert mit den IT-Risiken und der IT-Sicherheit auseinandersetzt. 42 Prozent der Befragten planen ein solches Vorgehen erst für die Zukunft, sieben Prozent haben dies aber auch später nicht vor. Damit nicht genug, ist auch der IT-Bereich nicht immer involviert, wenn die IT-Risiken bewertet werden.
Im IT-Risikomanagement wird also ebenso auf vorhandene und notwendige Expertise verzichtet wie vielfach in der Cybersicherheit selbst, wo CISOs in den meisten Fällen weder verantwortlich noch beratend eingebunden sind.
Erst mit dieser Expertise aber wird es gelingen, die Security-Agenda wirklich risikoabhängig zu entwickeln und in die Praxis umzusetzen.
Studiensteckbrief
Herausgeber: CIO, CSO und COMPUTERWOCHE
Studienpartner: Fortinet, SPIRIT/21
Grundgesamtheiten: Oberste (IT-)Verantwortliche in Unternehmen der DACH-Region: Beteiligte an strategischen (IT-)Entscheidungsprozessen im C-Level-Bereich und in den Fachbereichen (LoBs); Entscheidungsbefugte sowie Experten und Expertinnen aus dem IT-Bereich
Teilnehmergenerierung: Persönliche E-Mail-Einladung über die exklusive Unternehmensdatenbank von CIO, CSO und COMPUTERWOCHE sowie - zur Erfüllung von Quotenvorgaben - über externe Online-Access-Panels
Gesamtstichprobe: 339 abgeschlossene und qualifizierte Interviews
Untersuchungszeitraum: 6. bis 13. Mai 2024
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung und Durchführung: Custom Research Team von CIO, CSO und COMPUTERWOCHE in Abstimmung mit den Studienpartnern