Gorodenkoff - stock.adobe.com
Komplexität gehört zu den größten Security-Herausforderungen
Viele Firmen sind besorgt, ob der Risikolage in ihrem Geschäftsfeld und passen die Security-Maßnahmen an. Der Fachkräftemangel bremst die Bewältigung vieler Herausforderungen.
Unternehmen in Deutschland sehen sich hinsichtlich der Bedrohungslage großen Herausforderungen gegenüber. So ist mehr als die Hälfte von ihnen besorgt im Hinblick auf die aktuelle Risikolage in ihrem Bereich. Über 40 Prozent der Betriebe haben in den letzten 12 Monaten eine Zunahme der Cyberangriffe verzeichnet und für die Zukunft erwarten 51 Prozent einen weiteren Anstieg. Dies sind unter anderem Ergebnisse der IDC-Studie „Cybersecurity in Deutschland 2022“. Hierfür wurden im September 2022 branchenübergreifend 206 Security-Verantwortliche aus Unternehmen mit mehr als 100 Mitarbeitern befragt.
Um der sich verändernden Lage gerecht zu werden, auch aufgrund der geopolitischen Folgen des Ukraine-Krieges, planen 47 Prozent der befragten Unternehmen ihre Cyberbereitschaft und -verteidigung anzupassen. Die Umsetzung entsprechender Maßnahmen ist für die Organisationen allerdings mit einer Reihe von Herausforderungen verbunden.
Komplexität der Security und Fachkräftemangel bremst Unternehmen
Als häufigste Herausforderung in Sachen Security nennen die Unternehmen die Komplexität derselben. Diese würde für gut jedes vierte Unternehmen ein Problem darstellen. Und es sieht nicht wirklich so aus, als sei da Besserung in Sicht. So geben zwei Drittel der Befragten an, dass ihre Security-Landschaften in den letzten 12 Monaten komplexer geworden seien. Und 71 Prozent der Unternehmen gehen davon aus, dass diese Komplexität in den nächsten 12 Monaten weiter zunehmen werde. Auf Rang 2 der größten Herausforderungen nennen die Befragten den Datenschutz. Und 19 Prozent der Unternehmen beklagen den Fachkräftemangel als Hemmnis in Sachen IT-Sicherheit. Im Vorjahr habe dieser Wert noch bei 15 Prozent gelegen. Und 60 Prozent der Unternehmen stimmen zu, bereits einen akuten Mangel an Fachpersonal zu haben, oder diesen für 2023 zu erwarten. Technologien zur Automatisierung sowie eine Auslagerung von Security-Bereichen sind da mögliche Maßnahmen, um die Problematik zu dämpfen. Zudem eine zunehmende Komplexität entsprechende Fachkräfte erfordert, die am Markt nicht verfügbar sind.
Um die eigene Security-Komplexität zu reduzieren und das IT-Team zu entlasten, betreiben bereits rund 80 Prozent der Unternehmen mindestens die Hälfte ihrer Security-Infrastrukturen in externen Umgebungen. Etwas mehr als die Hälfte betrachtet die externen Security-Infrastrukturen als sicherer als die in der eigenen On-Premises-Umgebung. Dennoch ergibt sich hier ein ambivalentes Meinungsbild hinsichtlich externer und interner Security.
Geht es um einen ganzheitlichen Ansatz, nennen 14 Prozent der Befragten unklare Prozesse beim Disaster Recovery oder im Fall einer Cyberattacke als große Herausforderung. In der Tat scheinen sich Unternehmen häufig mehr mit der Prävention zu beschäftigen als mit den Maßnahmen, was im Falle eines Falles, der unweigerlich eintreffen wird, zu tun ist. Oftmals herrsche bei Unternehmen nach einem Angriff erstmal Überforderung und es gelte auch Grundlegendes zu klären, wie etwa die Kommunikation, berichtet bei der Vorstellung der Studie Sonja Hummel, Data Center Solutions Principal bei Dell Technologies. So müssten auch schon mal private E-Mail-Adressen und Telefonnummern gesucht und gefunden werden, weil kein Prozess für die Notfallkommunikation hinterlegt worden sei.
Geht es um die Sicherheit, so herrscht in Fachkreisen eigentlich Einigkeit, dass sich mit einem Zero-Trust-Ansatz viel erreichen und verbessern lässt. Im Alltag ist die Einführung entsprechender Modelle offenbar eher schwierig. So geben 52 Prozent der Befragten an, dass bei der Umsetzung von Zero Trust der unüberwindbare Widerstand der Geschäftsführung gegenüber Veränderungen eine der größten Herausforderungen sei. Das ist keine wirkliche gute Nachricht, da sich mit Hilfe von Zero Trust die Widerstandfähigkeit deutlich verbessern lässt. Oder wie es Frank Schwaak, Field CTO EMEA bei Rubrik, bei der Vorstellung der Studie formulierte: „Eigentlich ist Zero Trust nur gesunder Menschenverstand, mit ein bisschen Disziplin dahinter.“
Offenbar ist beim Thema Security auch organisatorisch noch Nachholbedarf vorhanden. So geben 55 Prozent der Befragten an, dass die Dringlichkeit für Security-Maßnahmen meist nur in den Security-Abteilungen und nicht im Vorstand empfunden werde. Zudem hätten zwar 75 Prozent der Unternehmen eine Sicherheitsstrategie, aber bei weniger als der Hälfte würde sie auch einheitlich in der gesamten Organisation umgesetzt.
Cloud-Sicherheit hat für viele Unternehmen Priorität
Betrachtet man die strategischen Sicherheitsthemen der befragten Unternehmen für die Jahre 2022 und 2023, dann führt Cloud-Sicherheit die Liste mit 34 Prozent an. „Die zunehmende Cloud-Nutzung für immer mehr kritische Prozesse und die dadurch steigende Abhängigkeit bei gleichzeitig steigender Bedrohungslage macht umfangreiche Maßnahmen zu ihrer Absicherung auch absolut notwendig“, so Marco Becker, Consulting Manager bei IDC und Studienleiter.
Auf Rang 2 landet mit 22 Prozent das Thema Endpunktsicherheit, dazu gehören die neueren Ausprägungsformen EDR (Endpoint Detection and Response) sowie XDR (Extended Detection and Response). Sichere Backups und die Wiederherstellung nach einem Sicherheitsvorfall landen mit 19 Prozent der Nennungen auf Rang 3.
Betrachtet man die eingangs genannten besonderen Herausforderungen Komplexität und Fachkräftemangel, dann ist es ein wenig verwunderlich, dass Security-Automation und Orchestrierung mit nur neun Prozent der Nennungen etwas abgeschlagen auf der Prioritätenliste steht. Könnten derlei Konzepte und Lösungen doch genau diesen Herausforderungen entgegenwirken.
Digitale Souveränität gewinnt an Bedeutung
Nicht zuletzt die geopolitischen Entwicklungen dürften neben anderen Faktoren dafür verantwortlich sein, dass die digitale Souveränität für vier von fünf Unternehmen an Bedeutung gewonnen hat. Das Umsetzen der digitalen Souveränität ist für Unternehmen mit Herausforderungen verbunden. Dazu würde insbesondere der Schutz und die Sichtbarkeit von Daten in Public-Cloud-Umgebungen gemäß gesetzlicher Vorgaben zählen. Apropos Gesetze und Regularien, auch diese seien zweifelsohne ein Treiber für Security-Maßnahmen, so Frank Sauber, Head of Sales & Business Enablement bei secunet.
Security-Budgets steigen
Trotz der mannigfaltigen Krisen würden bei vielen Unternehmen die Budgets für die IT-Sicherheit steigen, wenngleich nicht bei allen. So geben etwa 17 Prozent der Befragten an, dass im nächsten Jahr mehr als 10 Prozent als zuvor für On-Premises-Security-Lösungen ausgeben werden. Betrachtet man das Problemfeld Security-Personal sprechen 40 Prozent davon, mehr als im Vorjahr dafür einzuplanen. Aber 19 Prozent geben auch eine Budgetverringerung in diesem Bereich an.
Betrachtet man die Security-Investitionen nach Lösungen, dann konzentrieren sich die Unternehmen auf Standards. So nennen die Unternehmen hier Cloud Access Security, IAM, Netzwerk- und Perimeter-Sicherheit, Datensicherheit und sicheren Fernzugriff.