IDG-Exklusivstudie: CEOs öffnen CISOs die Türen

Foto: ESB Professional – shutterstock.com

IDG Communications, Herausgeber von COMPUTERWOCHE, CIO und CSOonline, hat zum fünften Mal die exklusive IDG Security Priorities Studie 2021 (Download) herausgegeben. Immer mehr Unternehmen öffnen demnach ihre Führungsgremien für den Chief Information Security Officer (CISO) oder für andere Executives, die sich mit IT-Sicherheit beschäftigen. In der weltweiten Studie geben zudem 67 Prozent der insgesamt 772 befragten IT-Entscheider und Sicherheitsbeauftragten an, dass es in ihrem Unternehmen einen Chief Security Officer (CSO), CISO oder eine Top-Sicherheitsfachkraft gebe. Das entspricht einem Anstieg von 61 Prozent gegenüber dem Vorjahr.

Auch die deutlich veränderten Berichtswege zeigen, dass IT-Sicherheitsexperten die Karriereleiter emporgeklettert sind. Immer mehr berichten direkt an den CEO und den Vorstand. Derzeit geben 44 Prozent an, direkt dem Geschäftsführer unterstellt zu sein (2020: 34 Prozent). Weitere 21 Prozent berichten an ein Vorstandsmitglied (im Vorjahr waren es zwölf Prozent).

Physische und IT-Sicherheit in einer Hand

Viele Unternehmen bemühen sich derzeit darum, ihr Risikomanagement zu ordnen und zu konsolidieren. Dabei nehmen die Sicherheitschefs zu 57 Prozent nicht nur die IT, sondern auch die physische Sicherheit in die Hand (Vorjahr 52 Prozent). Dass die physische Absicherung des Unternehmens in den letzten drei Jahren zu ihren IT-Aufgaben hinzugekommen sei, bestätigen 22 Prozent der Befragten. Sogar 43 Prozent sagen, dass sie bereits mehr als drei Jahren in dieser übergeordneten Rolle sind. Weitere elf Prozent erwarten, die physische Unternehmenssicherheit binnen der nächsten zwölf Monate in ihren Zuständigkeitsbereich zu bekommen.

Auch die Sicherheit der für den Betrieb von Industrie- und Produktionsanlagen zuständigen Systeme (Operational Technology = OT) fällt häufiger in die Verantwortung der Security-Chefs. Zuletzt hatten einige Angriffe auf OT-Umgebungen für großes Aufsehen gesorgt, vor allem der Angriff auf den US-Pipeline-Betreiber Colonial Pipeline erzeugte Schlagzeilen. Für die CISOs ist die OT-Herausforderung besonders groß: Sie stoßen oft auf erhebliche Schwachstellen und auf Umgebungen, die nur schwer abzuschirmen sind.

45 Prozent der Unternehmen mit OT-Umgebungen geben an, diese sei mit ihrer Corporate-IT verbunden und nicht etwa physisch und logisch via Air Gap davon getrennt. Mehr als ein Drittel (35 Prozent) der Sicherheitsverantwortlichen sehen die Risiken für ihre OT-Welt wachsen und 38 Prozent fürchten, gegenwärtig einem hohen Risiko im Zusammenhang mit Schwachstellen ihrer OT-Umgebung ausgesetzt zu sein.

“Unternehmen binden ihre OT immer tiefer in ihre IT ein, um Effizienzvorteile zu gewinnen. Damit ist es wahrscheinlicher geworden, dass Angriffe auf die IT auch die OT-Umgebung tangieren – so, wie wir es auch bei Colonial Pipeline gesehen haben”, warnt Bob Bragdon, Worldwide Managing Director von CSOonline.com. “Damit dürfte der Trend anhalten, dass sich Sicherheitsverantwortliche auf den Aufbau von Resilienz konzentrieren, um der Vielfalt der Bedrohungen begegnen zu können.”

Einblicke in Sicherheitsvorfälle

Eine gute Nachricht ist, dass CISOs und andere Sicherheitsprofis die Ursachen von Vorfällen immer besser verstehen. So glauben 91 Prozent, den vollen Durchblick zu haben – im Vorjahr waren es mit 87 Prozent etwa weniger. Allerdings scheint das wachsende Selbstbewusstsein noch nicht dazu zu führen, dass die Risiken für Unternehmen abnehmen. So explodierte in diesem Jahr die Zahl der Ransomware-Angriffe, denen durch Social Engineering sowie oft auch unbeabsichtigten Verstößen gegen Sicherheitsrichtlinien Tür und Tor geöffnet wurde. Auch der Fokus vieler Unternehmen auf Schulungen und Awareness-Programme änderte daran nichts. Weitere Quellen für Sicherheitsvorfälle waren – wie so oft – ungepatchte Softwaresysteme, unternehmensfremde Personen und Firmen, die fahrlässig ins Netz gelassen wurden, und Fehlkonfigurationen von Diensten oder Systemen innerhalb und außerhalb des Unternehmens.

Obwohl die Betriebe immer besser in der Lage sind, die Ursachen für Sicherheitsvorfälle zu erkennen, glauben 90 Prozent der Befragten, dass bei ihnen die Cyberrisiken nicht mit der nötigen Konsequenz angegangen werden (Vorjahr: 87 Prozent). Dabei klagt ein Drittel darüber, mit Warnungen zur Schwere der Risiken nicht im Management und in den Fachabteilungen durchdringen zu können. 29 Prozent kritisieren, dass in ihren Organisationen zu wenig Mittel für die IT-Sicherheit bewilligt würden und 27 Prozent monieren, es fehle an proaktivem Vorgehen und einer guten Planung.

Um ihre Sicherheitsvorfälle zu verringern, investieren die Betriebe allerdings durchaus kräftig in entsprechende Lösungen. Neun von zehn Befragten geben an, ihr Unternehmen habe in den letzten zwölf Monaten mindestens ein neues Sicherheitstool in Betrieb genommen. Nur zwei Prozent gehen davon aus, dass ihr Budget für Security-Produkte im nächsten Jahr sinken wird, während 44 Prozent eine Erhöhung erwarten und 53 Prozent von stagnierenden Ausgaben ausgehen.

Hier gibt es leichte Unterschiede zwischen den Regionen: Die Hälfte der Sicherheitsverantwortlichen im Großraum Europa, Naher Osten und Afrika (EMEA) will das Budget erhöhen, während in der Region Nordamerika mit 45 Prozent etwas weniger Firmen aufstocken wollen. In Fernost (Asien/Pazifik) gehen nur 38 Prozent davon aus, mehr Geld für die IT-Sicherheit zu bekommen. Nahezu alle anderen Befragten in den drei Regionen erwarten, dass ihr IT-Sicherheitsbudget unverändert bleiben wird.

Die Sicherheitstechnologien, die von den Verantwortlichen derzeit am meisten beachtet werden, sind:

• Zero Trust – nach dem Sicherheitsprinzip “Vertraue niemandem, verifiziere jeden” erfordert jeder einzelne Zugriff auf Unternehmensressourcen eine Authentifizierung. Bei diesem rein datenzentrierten Ansatz wird jeder Datenfluss auf Vertrauenswürdigkeit geprüft – im Gegensatz zum traditionellen Perimeterschutz, bei dem die Grenzen zum Firmennetz gesichert werden;

• SOAR (Security Orchestration, Automation and Response) – automatisiertes Erkennen und Reagieren auf aktuelle Sicherheitsbedrohungen mithilfe einer ständig aktualisierten Sammlung von Informationen aus verschiedenen Quellen. Dazu werden Threat-Intelligence- und Incident Response-Plattformen genutzt;

• SASE (security Access Service Edge) – von Gartner entwickeltes, noch nicht ganz ausgereiftes Modell für Netzwerksicherheit, das dazu dient, Benutzer und Geräte an beliebigen Standorten sicher mit Anwendungen und Diensten zu verbinden.

• Deception-Technologie – Angreifer werden mit einem Köder getäuscht, um herauszufinden, wie sie sich verhalten, wonach sie suchen und welche Angriffsvektoren sie benutzen.

Um die Sicherheitsrisken zu senken wollen die Professionals zudem in Cloud-Datenschutz, Zugangskontrollen, Cloud-basierte Cybersicherheitsdienste und Datenanalytik investieren.

Bragdon entnimmt der Umfrage, dass die Unternehmen zwar viel Geld für Sicherheits-Tools ausgeben, aber oft nicht in der Lage sind zu prüfen, ob diese Lösungen ihnen auch wirklich den erwarteten Schutz bieten. “Die Teams brauchen die Unterstützung von Sicherheitsanbietern und Beratern, um Produkte und Dienstleistungen optimal einsetzen und ihre Investitionen rationalisieren zu können”, sagt der Studienverantwortliche.