Es steht außer Frage, dass 2020 ein herausfordendes Jahr war - für Unternehmen wie auch für Privatpersonen. Die Pandemie stellte eine enorme Belastung für die Weltwirtschaft dar, was Cyberkriminelle zu ihren Zwecken nutzten und zu vermehrten Angriffen führte. Der 2021 Voice of CISO Report von Proofpoint befragt 1.400 CISOs (Chief Information Security Officer) aus aller Welt zu ihren Erkenntnissen des letzten Jahres. Wir haben Ihnen ihre Erfahrungen der letzten 12 Monate sowie eine Erwartungshaltung für die nächsten zwei Jahre zusammengefasst:
1. Eine dynamische, bedrohliche Umgebung steht bevor
Organisationen und Unternehmen auf der ganzen Welt fühlen sich angesichts der Ereignisse in 2020 verwundbar. Fast zwei Drittel (64%) der befragen CISOs denken, dass sie innerhalb der nächsten 12 Monate Opfer eines wesentlichen Cyberangriffs werden könnten. Jeder Fünfte empfindet dieses Risiko sogar als sehr hoch. Der Prozentsatz der deutschen CISOs, die eine Cyberattacke für wahrscheinlich halten, liegt mit 79% sogar noch über dem globalen Durchschnitt - Platz 2 nach Großbritannien. Erschreckend hoch ist auch die Zahl der CISOs die glauben, dass ihre Organisation NICHT auf einen Angriff vorbereitet wäre. Der globale Durchschnitt liegt bei 66% und in Deutschland bei alarmierenden 79%.
Die Diskrepanz zwischen dem wahrgenommenen Risikoniveau und der Vorbereitung darauf ist die dringlichste Sorge, die die Cybersicherheitsteams umtreibt. Im Mittelpunkt des Problems steht die Schwierigkeit, herauszufinden, welche der vielen gängigen Bedrohungen am wahrscheinlichsten zuerst zuschlagen wird:
Quelle: Proofpoint: 2021 Voice of the CISO Report (2020)
2. Technische vs menschliche Verwundbarkeit
Trotz der Umstände die 2020 mit sich brachte sind die meisten CISOs der Meinung, dass ihre Mitarbeiter die Rolle verstehen, die sie beim Schutz ihres Unternehmens vor Cyberbedrohungen inne haben. Jedoch vertreten die CISOs ebenso die Meinung, dass menschliche Fehler in ihrer Organisation die größte Cyber Schwachstelle darstellen. CISO Seth Edgar von der Michigan State University: “Früher konzentrierten sich die Angreifer auf die Ausnutzung der Infrastruktur. Jetzt haben sie es auf Menschen abgesehen. Unser Schwerpunkt hat sich auf den Schutz von Menschen verlagert, was die veränderten Grenzen der Sicherheit verdeutlicht. Diese Grenze ist sehr persönlich geworden, und zwar sehr schnell.”
Mehr als 90% der erfolgreichen Cyberangriffe erfordern ein gewisses Maß an menschlicher Interaktion. Das Risiko das von Nutzern ausgeht wird von CISOs jedoch signifikant unterschätzt. Die Sicherheitsbedenken beruhen aber nicht nur auf dem menschlichen Element. Viele CISOs aus aller Welt melden auch hinsichtlich der technischen Schutzmaßnahmen Bedenken. Weniger als zwei Drittel sind zuversichtlich, dass ihre Organisation in der Lage ist, einen Cyberangriff oder eine Datenverletzung zu erkennen. Viele fühlen sich daher unvorbereitet und schlecht gerüstet für die moderne Bedrohungslandschaft.
Ein Hauptgrund für dieses mangelnde Vertrauen scheint der Flickenteppich zu sein, der in den letzten Jahren in Sachen Cybersicherheit entstanden ist. Die überstürzte und ohne angemessene Schulung sowie technische Schutzmaßnahmen erfolgte Bereitstellung von Home Office Angeboten mit Beginn der Coronakrise, trug maßgeblich dazu bei.
3. Langfristiges Arbeiten im Hybridsystem: ein seismischer Wandel für die Cybersicherheit
Da immer mehr Unternehmen erkannt haben, welche Vorteile das Home Office in Bezug auf Kosteneinsparungen und Flexibilität bietet, werden viele nun versuchen, diesen Ansatz mit hybriden Arbeitsmodellen zu übernehmen.
Dies stellt den CISO vor die Herausforderung, den Vorstand davon zu überzeugen, dass der "gut genug"-Ansatz der letzten 12 Monate auf Dauer nicht funktionieren wird. Fast zwei von drei CISOs stimmen zu, dass remotes Arbeiten ihre Organisation anfälliger für Cyberangriffe macht. 69% der CISOs von Unternehmen mit mehr als 5.000 Mitarbeitern gaben an, dass ihre Belegschaft seit der Einführung des Home Office stärker ins Visier genommen wurde. Zu den am stärksten betroffenen Branchen gehören IT, Technologie und Telekommunikation (69 %).
Als Reaktion auf die Beständigkeit der neuen Arbeitsumgebung haben 57% der Unternehmen die zu Beginn der Pandemie eingeführten Sicherheitsrichtlinien verstärkt. Da es jedoch unwahrscheinlich scheint, dass der Geschäftsbetrieb jemals wieder zur "Normalität" zurückkehren wird, ist eine weitere Verstärkung zwingend erforderlich. Die deutschen CISOs sind mit den Auswirkungen ihrer aktualisierten Sicherheitsrichtlinien am zufriedensten: 72% sind der Meinung, dass sie ihren Support von Arbeit aus dem Home Office im Jahr 2021 verstärkt haben. Dicht gefolgt von CISOs aus den Vereinigten Arabischen Emiraten (69 %) und Spanien (66 %).
4. Ein positiver Ausblick auf 2022/2023
Trotz des Eingeständnisses, dass es im letzten Jahr schwierig war, die Cyber-Sicherheit zu gewährleisten, sind die meisten CISOs optimistisch was ihre Aussichten für die kommenden Jahre angeht. Zwei von drei (65%) CISOs weltweit glauben, dass sie bis 2022/23 besser in der Lage sein werden, Cyberangriffen standzuhalten und sich von ihnen zu erholen. Deutsche CISOs stimmen dieser Aussage zu 76% zu. Fast zwei Drittel der CISOs beabsichtigen, die wichtigsten Sicherheitskontrollen zu verbessern (35%), das remote Arbeiten zu unterstützen (33%), die Sicherheitsautomatisierung zu verbessern (32%) und das Sicherheitsbewusstsein zu erhöhen (32%). Für CISOs in Deutschland steht Effizienz an erster Stelle. Ihre oberste Priorität ist die Sicherheitsautomatisierung (39%), gefolgt von der Konsolidierung und Vereinfachung von Sicherheitslösungen und -kontrollen.
Quelle: Proofpoint: 2021 Voice of the CISO Report (2020)
Die positiven Aussichten für die unmittelbare Zukunft scheinen gerechtfertigt zu sein. Sowohl strengere Vorschriften, eine höhere Sensibilisierung der Nutzer als auch verstärkte technische Kontrollen erhöhen die organisatorische Sicherheit. Zwingend notwendig ist jedoch die Anpassung von Unternehmen an das “new normal”. Organisationen, die nicht mit der Zeit gehen, erwartet eine düstere Prognose: 2020 hat Cyberkriminalität neuen Aufschwung verliehen. Zwei Drittel (63%) der CISOs glauben, dass Cyberkriminalität in den nächsten zwei Jahren noch profitabler sein wird, und dass diejenigen, die ihr zum Opfer fallen, noch größere Konsequenzen erleiden könnten.
5. Zufriedenheit, Herausforderungen und Erwartungen der CISOs
Die Erwartungen an CISOs steigen aufgrund der Auswirkungen der Cybersicherheit im Jahr 2020 unermesslich und werden von der Mehrheit (57%) als überzogen und unverhältnismäßig empfunden. CISO Paige H. Adams von Zurich Insurance sagt: “Die Summe der Prioritäten wächst und wächst. Aber wenn alles eine Priorität ist, ist nichts eine Priorität. Es ist wichtig, sich auf die Prioritäten zu konzentrieren, die den größten Nutzen für Ihr Unternehmen bringen und mit der allgemeinen Geschäftsstrategie abgestimmt sind.“
Zu der anspruchsvollen und oft ungedankten Arbeitsbelastung der CISOs kommt zudem ein Mangel an Unterstützung durch den Vorstand hinzu. Weniger als zwei Drittel der befragten CISO sehen sich in Belangen der Cybersicherheit auf Augenhöhe mit ihren Vorgesetzten. Trotz der hohen Arbeitsbelastung und Diskrepanzen mit der Führungsebene tragen mehrere Punkte zu einer hohen Jobzufriedenheit bei: die Sinnhaftigkeit darin, der Gesellschaft zu helfen (44%), die Verantwortung für die Bereitstellung von technischen, personellen und verfahrenstechnischen Maßnahmen (44%), die technische Neugierde (38%), der Reiz, an vorderster Front zu “kämpfen” (38%) und die finanzielle Belohnung (35%).
https://www.proofpoint.com/de/resources/white-papers/voice-of-the-ciso-report
Proofpoint: 2021 Voice of the CISO Report (2020)