Rawpixel.com - stock.adobe.com
Security-Pläne und Herausforderungen aus CISO-Sicht
CISOs haben eine individuelle Einschätzung, was die größte Bedrohung für ihre IT darstellt, sehen die Lage aber entspannter als im Vorjahr. Wo liegen die Prioritäten der CISOs?
Jedes Jahr führt Proofpoint weltweit eine Umfrage unter Chief Information Security Officern (CISOs) durch, um zu verstehen, was diese über ihre Rolle im Unternehmen, über die an sie gestellten Erwartungen und aktuelle Cyberbedrohungen denken. Der diesjährige Report „Voice of the CISO“ fördert dabei zum Teil überraschende Ergebnisse zutage.
Im letzten Jahr zeigte der Report, dass viele CISOs über die Eskalation der Cyberbedrohungen besorgt waren und Probleme damit hatten, die damit verbundenen Risiken und die Bekämpfung der Angriffe zu priorisieren. CISOs fühlten sich überwältigt und im Belagerungszustand.
Weil die Bedrohungssituation sich im Verlauf des Jahres 2021 und zu Beginn des Jahres 2022 kaum entspannte und vielmehr eine rekordverdächtige Zunahme von Ransomware und Business E-Mail Compromise (BEC) zu verzeichnen war, hatte ich bei der diesjährigen Studie ein ähnliches Ergebnis erwartet. Doch die diesjährigen Ergebnisse zeichnen ein anderes Bild. Ich war überrascht, dass die CISO-Community die Lage im Jahr 2022 entspannter beurteilt. Das wirft die Frage auf, warum das so ist und was das für uns als CISOs konkret bedeutet.
Die gute Nachricht: CISOs haben Zuversicht
Sicherheitsteams hatten es in den letzten Jahren nicht leicht. Die durch COVID-19 ausgelösten Veränderungen waren nur das Sahnehäubchen auf einem Kuchen aus Bedrohung, Risiko und Gefahr. CISOs mussten bereits in der Vergangenheit mehr und mehr Verantwortungsbereiche übernehmen. Dazu zählten unter anderem operative Resilienz, Anwendungs- und Produktentwicklung, Business Continuity, Compliance, Datenschutz, Risikomanagement und zunehmend auch physische Sicherheit. Wir waren am Limit, weil die Attacken zunahmen und das Potenzial für millionenschwere Schäden durch Cyberkriminalität in die Höhe schnellte. Es war keine Aufgabe für schwache Nerven, und dann kam der Schlag ins Kontor namens COVID-19 mit dem Druck zur Kostensenkung, erzwungener geschäftlicher Flexibilität und New Work; alles am liebsten sofort.
Interessanterweise haben CISOs laut der im Februar 2022 durchgeführten Umfrage, nun aber das Gefühl, dass sie diese turbulente Zeit erfolgreich überstanden haben und das andere Ufer unversehrt erreicht haben. Die Zuversicht, die sie aus ihrem schieren Überleben in den letzten Jahren schöpfen, ist durchaus berechtigt. Es ist eine Bestätigung für ihre Wahl der Mittel, ihre Managementfähigkeiten und ihren strategischen Weitblick. CISOs registrierten weniger Angriffe als zu Beginn der Pandemie, und weniger als die Hälfte der CISOs fühlt sich durch schwere Sicherheitsverletzungen bedroht. Das ist ein deutlicher Rückgang verglichen mit dem Vorjahreswert von 64 Prozent.
Sogar das Stressniveau der CISOs ist gesunken: Nur 49 Prozent gaben an, dass ihre Rolle mit „übermäßigen Erwartungen“ verbunden ist, gegenüber 57 Prozent im Vorjahr. Dass die Hälfte von uns gestresst ist, ist immer noch keine großartige Situation, aber vielleicht sollten wir diesen positiven Trend bereits als Erfolg verbuchen.
Weniger gute Nachrichten
Einige Bedrohungs- und Schadensstatistiken hielten sich auf dem Niveau des Vorjahres. Der menschliche Faktor wird weiterhin als größtes Sicherheitsrisiko für Unternehmen wahrgenommen – eine Ansicht, die durch die Ergebnisse des Verizon DBIR (Data Breach Investigations Report 2022) und der Einschätzung des Weltwirtschaftsforums bestätigt wird. Aber nur 60 Prozent der Befragten waren der Meinung, dass ihre Mitarbeiter ausreichend geschult und sensibilisiert sind. Es besteht hier eine große Lücke, die es zu schließen gilt.
Auch die Beziehung zwischen CISOs und ihrem Vorstand lässt vielerorts zu wünschen übrig, besonders in Unternehmen mit mehr als 5000 Mitarbeitern. Anstelle von 71 Prozent im Vorjahr bewerten in diesem Jahr nur 51 Prozent der CISOs ihre Beziehung zum Vorstand positiv. 50 Prozent von ihnen haben immer noch das Gefühl, dass ihr Unternehmen sie nicht ausreichend unterstützt, um erfolgreich zu sein.
Warum die Gelassenheit?
Warum also beurteilen die meisten CISOs die Lage aktuell entspannter als noch vor einem Jahr? Es hat den Anschein, dass die harten Entscheidungen im Bereich der Cybersicherheit im vergangenen Jahr nicht immer mit den Empfehlungen oder der Risikobereitschaft der CISOs übereinstimmten. Wir alle kennen Geschichten, in denen Abkürzungen genommen und sicherheitsrelevante Probleme um der geschäftlichen Effizienz willen beiseitegeschoben wurden. Dies hat CISOs daran erinnert, dass der Vorstand nach einer Phase der Konzentration, Unterstützung und Ermächtigung ihres Teams auch andere Probleme zu bewältigen hat, und dass die Sicherheit nur einen kleinen Bereich seiner Verantwortung betrifft.
„Es besteht Einigkeit unter CISOs, dass die Mitarbeiter nach wie vor das größte Sicherheitsrisiko für Unternehmen bilden. Doch damit hört der Konsens auch schon auf.“
Andrew Rose, Proofpoint
Als gute Teamspieler haben die Sicherheitsverantwortlichen erfolgreich Risiken gemanagt und echte Vorteile auf einem Weg erreicht, den sie allein vielleicht nicht eingeschlagen hätten. Auch ohne entsprechende Anerkennung können sie zu Recht froh sein, dass ihre Taktik funktioniert hat.
Blick nach vorn
Es besteht Einigkeit unter CISOs, dass die Mitarbeiter nach wie vor das größte Sicherheitsrisiko für Unternehmen bilden. Doch damit hört der Konsens auch schon auf. So besteht keinerlei Einigkeit unter ihnen, worin die größte externe Bedrohung für die Cybersicherheit ihres Unternehmens besteht. Die Studie attestiert im globalen Vergleich nur 4 Prozent Unterschied zwischen der Bedrohung, die CISOs das meiste Kopfzerbrechen bereitet, und der Bedrohung, die bei ihnen die geringste Besorgnis auslöst.
Laut der Studie sind dies die wichtigsten strategischen Prioritäten der CISOs:
- Informationsschutz verbessern (39 Prozent)
- Bewusstseins für Erfordernisse der Cybersicherheit stärken (38 Prozent)
- Sicherheitslösungen und -kontrollen konsolidieren und auslagern (36 Prozent)
Während die ersten beiden Prioritäten Dauergäste des Reports sind, verdankt der letzte Punkt seine prominente Position mit Sicherheit den Ereignissen seit 2020. Weil Mitarbeiter überall arbeiten, die Cloud zunehmend als Ergänzung der IT-Ausstattung am Arbeitsplatz genutzt wird, und einige als kurzfristig geplante taktische Maßnahmen sich zu Dauerlösungen entwickeln, werden IT-Konfigurationen immer komplexer. Eine Auslagerung erscheint daher als logischer Schritt.
Insgesamt scheinen CISOs das Jahr 2022 als „Ruhe nach dem Sturm“ zu empfinden. Wir müssen uns jedoch darüber im Klaren sein, dass der Sturm nie wirklich nachgelassen hat – wir haben uns nur daran gewöhnt. Ganz so wie der Frosch, der ruhig in einem Topf Wasser sitzen bliebt, das langsam den Siedepunkt erreicht. Zunehmende geopolitische Spannungen und vermehrte gezielte Cyberattacken auf Mitarbeiter bilden mit den bekannten Lücken in deren Sensibilisierung und den Sicherheitssystemen eine Mischung, die das Wasser jederzeit wieder zum Kochen bringen kann.
Über den Autor:
Andrew Rose ist Resident CISO EMEA bei Proofpoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.