Yury Zap - Fotolia
IT-Prioritäten 2023: Das planen Security-Teams
Die Bedeutung der IT-Sicherheit für den Geschäftsbetrieb eines Unternehmens ist essenziell. Dem entsprechen IT-Teams und haben im Jahr 2023 in Sachen Security besonders viel vor.
Im Jahr entsteht deutschen Unternehmen durch Datendiebstahl, Spionage und Sabotage ein Schaden von 203 Milliarden Euro, wie der Branchenverband Bitkom berichtet. Sicherheitsvorfälle, wie ein erfolgreicher Ransomware-Angriff, können für Unternehmen auch schnell existenzbedrohend werden. Grund genug, also in die IT-Sicherheit und Widerstandsfähigkeit, auch als Cyberresilienz bezeichnet, zu investieren. Zudem sich die Bedrohungslage durch die geopolitische Situation weiter verschärft hat.
Jedes Jahr führt TechTarget eine Umfrage unter IT-Verantwortlichen zu Ihren Budgets und Plänen für die nächsten 12 Monate durch. An der Umfrage für 2023 haben weltweit über 1700 IT-Profis teilgenommen. In der EMEA-Region nahmen 392 IT-Verantwortliche an der Online-Umfrage teil, 60 davon aus der DACH-Region (Deutschland, Österreich, Schweiz). Wie die Pläne und die Prioritäten der IT-Entscheider für das Jahr 2023 im Allgemeinen aussehen, können Sie hier nachlesen.
Die gute Nachricht vorweg: Das Thema IT-Sicherheit steht bei Unternehmen an höchster Stelle auf der Agenda. Wir haben die Security-Themen im Detail nachfolgend zusammengefasst. Dabei kommen alle Facetten des weit gefächerten Themas Security zum Tragen. Das reicht von der Sensibilisierung der Anwender, über Risikobewertung bis zu vielen Aspekten der identitätsbasierten Sicherheit.
Cloud-Sicherheit und sichere Identitäten
Geht es um das Thema Anwendungen und Cloud steht das Thema E-Mail-Sicherheit bei Unternehmen ganz oben auf der Agenda. Dafür gibt es viele gute Gründe, schließlich haben auch viel spektakuläre Sicherheitsvorfälle mit einer einfachen E-Mail-Nachricht begonnen. Wenn in den Medien häufig von einem „Hackerangriff“ die Rede ist, heißt dies ja meist nicht, dass sich ein Krimineller im Kapuzenpulli durch Sicherheitssysteme gehackt hat, sondern, dass eine präparierte E-Mail ihr Ziel erreicht hat. Abseits von Ransomware-Angriffen per E-Mail, geht es oft darum Benutzerdaten per Phishing zu erbeuten. Mit diesen Anmeldedaten können die Angreifer dann weitere Aktionen vorbereiten.
Kein Wunder also, dass eine Vielzahl von Unternehmen auch in dem Bereich des Identitätsmanagement und der Sicherung von Identitäten Investitionen planen. Oftmals genügen Benutzername und Passwort immer noch, um Zugang zu Diensten zu erlangen. Das ist alles andere als zeitgemäß, Multifaktor-Authentifizierung ist daher für viele IT-Teams eines der wichtigsten Vorhaben in diesem Segment. Und auch das Umdenken in Richtung identitätsbasierter Sicherheit mit einer Umsetzung von Zero Trust hat für viele Unternehmen eine hohe Priorität. (siehe auch Kostenloses E-Handbook: Zero Trust richtig umsetzen). Mit dieser Entwicklung zollt man auch dem Umstand Tribut, dass sich die Arbeitsweisen nachhaltig verändert haben. Da Mitarbeiter in zunehmendem Maße und weit höherer Anzahl als in der Vergangenheit von verschiedensten Orten aus agieren, führt kein Weg an einer Sicherheit mit Ausrichtung auf die Identität statt perimeterbasierter Konzepte vorbei.
Gegenüber dem Jahr 2022 verzeichnet das noch junge Thema CSPM (Cloud Security Posture Management) eine höhere Priorität, womit Unternehmen die Absicherung von Cloud-Umgebungen leichter gelingen soll. Das Thema Schwachstellenmanagement inklusive Penetrationstest bekommt von Organisationen im Jahr 2023 eine ganz besonders ohne Aufmerksamkeit.
Investitionen in Menschen
Der Faktor Mensch ist in der IT-Sicherheit abseits aller technischen Lösungen von entscheidender Bedeutung. So sind gut geschulte und aufmerksame Anwender eine wichtige Säule in der Gesamtsicherheit von Unternehmen. Das sehen die Teilnehmer der Befragung entsprechend und so haben Schulungen zum Sicherheitsbewusstsein (Security Awareness Training) eine sehr hohe Priorität. Die Rolle jedes einzelnen Mitarbeiters ist wichtig (siehe auch Kostenloser E-Guide: Eine menschliche Firewall bilden).
Für die Weiterbildung des Security-Teams haben die Befragten ebenfalls mehr Budget als zuvor vorgesehen. Schließlich verändern sich nicht nur die Herausforderungen durch neue Bedrohungen stetig, sondern auch die technischen Lösungen zur Absicherung sowie die eigenen IT-Umgebungen.
Apropos Security-Teams, Unternehmen planen zusätzliche Mitarbeiter in dem Bereich Sicherheit. Da der hiesige Arbeitsmarkt jedoch auch bei vorhandenen Budgets seine Grenzen hat, Stichwort Fachkräftemangel, kommt hier ein weiterer Aspekt zu tragen. Das Auslagern von Funktionen an Dienstleister, sprich das Buchen von Diensten als Managed Services. Hierauf legen die befragten Unternehmen eine hohe Priorität. Oftmals lassen sich hierdurch auch Lücken schließen, die sich auch am besten Willen nicht mit der internen Belegschaft bewältigen lassen.
Mit dem Faktor Mensch ist auch die Etablierung eine ausgeprägten Sicherheitskultur verbunden, wo vielerorts noch Nachholbedarf besteht. Dazu gehört unter anderem auch eine Risikobewertung, denen die Unternehmen die höchste Priorität einräumen. Ebenso sehen die Unternehmen die Notwendigkeit der Geschäftsführung die Bedeutung der IT-Sicherheit für den Geschäftsbetrieb einer Organisation besser zu vermitteln.
In der Umfrage wurde auch berücksichtigt, wie sich die IT-Entscheider dem Aspekt der Prozesse im Kontext der Security widmen wollen. Tatsächlich herrscht hier offensichtlich großer Handlungsbedarf. Oberste Priorität erhält da bei den Befragten, das Thema Transparenz. Dies umfasst das klassische Monitoring, wie auch das etwas jüngere Thema Observability (siehe auch Security Observability: Sicherheit in komplexen Umgebungen). Security-Probleme bleiben oftmals unentdeckt, weil Unternehmen nicht wirklich sehen, was in ihren Umgebungen passiert. Auf Rang 2 der Prioritäten in Sachen Abläufen und Prozessen landet im weiteren Sinne das Thema Vorfallreaktion (Incident Response), beziehungsweise die Fähigkeit die Systeme wieder ordnungsgemäß in Betrieb nehmen zu können. Und hier liegt hierzulande einiges im Argen: Nach Angaben des Bitkom verfügt in Deutschland nur rund jedes zweite Unternehmen über einen Notfallplan für Cyberattacken. Da ist es nicht verwunderlich, dass Firmen nach einem Sicherheitsvorfall oftmals wirtschaftlich erheblich ins Trudeln geraten. Zu den Top-3-Prioräten in diesem Bereich gehört auch eine nähere Betrachtung der Risiken, denen man durch Dritte unterliegt, dazu gehört unter anderem der Aspekt der Lieferketten. Hier haben in der jüngeren Vergangenheit Vorfälle gezeigt, dass dem Thema offenbar nur begrenzt Aufmerksamkeit geschenkt wurde.
Betrachtet man alle geplanten Aktivitäten von Security-Teams, dann bleibt der Eindruck, dass sich die Entwicklung hin zu einer ganzheitlichen Betrachtung von Sicherheit und Resilienz verstärkt hat.