CISO-Studie der COMPUTERWOCHE

CISOs noch nicht in deutschen Unternehmen etabliert

Jürgen Mauerer betreibt als freier Journalist ein Redaktionsbüro in München.
Angesichts zunehmender Hacker-Attacken haben mittlerweile vier von fünf Unternehmen eine ganzheitliche IT-Security-Strategie realisiert. Auch die Budgets für IT-Sicherheit steigen künftig erheblich. Allerdings setzen nur 60 Prozent der deutschen Firmen einen dedizierten Chief Security Information Officer (CISO) ein.

Cyberkriminelle entwickeln im Katz- und Maus-Spiel mit der IT-Sicherheit immer raffiniertere Angriffe, um sensible Informationen wie Kundendaten oder Entwicklungspläne abzugreifen. Auf der anderen Seite sind die IT-Systeme von Unternehmen heute sensibler oder verwundbarer, da mittlerweile nahezu alle Prozesse digitalisiert und viele Systeme über das Internet verbunden sind. Firmen müssen ihre Abwehrmaßnahmen fortlaufend aktualisieren, um ihre Daten zu schützen.

Informationssicherheit sollte daher zum strategischen Ziel und zur Management-Disziplin werden. Neben technischen Maßnahmen gehören dazu Policies, Prozesse, Sicherheitsstrategien und -architekturen sowie die Sensibilisierung der Mitarbeiter für die Sicherheitsrisiken (Security Awareness). Eine wichtige Rolle bei der Umsetzung dieser Strategie spielt der Chief Information Security Officer (CISO) als oberster Verantwortlicher für Informationssicherheit. Doch hat sich die Position des Chief Information Security Officers bei Unternehmen in Deutschland bereits durchgesetzt? Falls ja, wo ist der CISO organisatorisch im Unternehmen angesiedelt? Inwieweit wirkt er bei der Entwicklung einer Security-Strategie mit?

Der oberste "Gesetzeshüter" in Sachen IT-Security im Unternehmen, der CISO, gibt den Weg vor - oder doch nicht?
Der oberste "Gesetzeshüter" in Sachen IT-Security im Unternehmen, der CISO, gibt den Weg vor - oder doch nicht?
Foto: Denis Simonov - www.shutterstock.coim

Die Antwort gibt eine aktuelle Security-Studie (CISO-Studie) der COMPUTERWOCHE in Kooperation mit Cisco und dem Security-Fachverband (ISC)² Chapter Germany. Dazu wurden fast 800 IT- und IT-Security-Entscheider in Deutschland befragt. Neben den strategischen Entscheidungs- und Berichtswegen im Bereich IT-Security standen auch Security-Herausforderungen, IT-Security-Budgets, sowie Auswahlkriterien für IT-Security-Dienstleister im Blickpunkt.

Cyberangriffe und nachlässige Mitarbeiter

Aktuell und künftig fürchten die deutschen Unternehmen vor allem externe Cyberangriffe wie Ransomware als größte Bedrohung für ihre Systeme. Überdurchschnittlich hoch ist hier der Wert bei kleinen Unternehmen mit rund 88 Prozent. Großes Kopfzerbrechen bereiten auch die Nachlässigkeit, fehlende Security-Awareness und mangelndes Training der eigenen Mitarbeiter. Insbesondere die befragten CISOs und IT-Sicherheitsverantwortlichen schätzen den menschlichen Faktor als höchstes Risiko ein. Wohlgemerkt geht es hier nicht um bösartigen Datendiebstahl oder Vorsatz der Mitarbeiter, sondern um Leichtsinn und Fahrlässigkeit.

Weitere wichtige Herausforderungen bilden die Priorisierung von IT-Security auf Vorstands- und Management-Ebene sowie fehlendes Budget für IT-Security. Datenschutz stellt erwartungsgemäß für alle Unternehmen die größte Compliance-Herausforderung dar. Mehr als die Hälfte der Unternehmen (55 Prozent) sind vom Thema Datenschutz sehr stark oder stark betroffen, insbesondere aber die Großunternehmen. Kleine Unternehmen stufen die Herausforderung durch das IT-Sicherheitsgesetz überdurchschnittlich hoch ein. Bereits ein Drittel der Unternehmen beschäftigt sich intensiv mit neuen Compliance-Fragen, die durch neue Technologien wie Internet of Things oder Industrie 4.0 entstehen.

CIO und IT-Chefs lenken Security-Strategie

Um diese Herausforderungen und Bedrohungen zu meisten, setzen mehr als 80 Prozent der befragten Unternehmen auf eine umfassende IT-Security-Strategie. Insbesondere Großunternehmen mit hohem IT-Etat gehen das Thema IT-Sicherheit strategisch an. Jeweils knapp ein Zehntel der Firmen plant den Aufbau strategischer Sicherheitskonzepte oder bleibt derzeit noch bei isolierten Einzelmaßnahmen stehen. Auch Sicherheitsrichtlinien/-policies (82 Prozent) und Konzepte für die Risikobewertung (62 Prozent) spielen in allen Unternehmen eine sehr wichtige Rolle.

Der größte Teil der von uns befragten Unternehmen verfügt über eine dezidierte IT-Security-Strategie samt festgelegten Policies.
Der größte Teil der von uns befragten Unternehmen verfügt über eine dezidierte IT-Security-Strategie samt festgelegten Policies.
Foto: IDG Business Research Services / Daniela Petrini

Die Entwicklung der IT-Security-Strategie und die Umsetzung der Sicherheitsarchitektur sind überwiegend Aufgabe des CIOs oder des IT-Leiters. Insbesondere in den mittleren und großen Unternehmen sind der CIO / IT-Vorstand (31 Prozent) und der IT-Leiter (27 Prozent) federführend für die Entwicklung einer IT-Strategie verantwortlich. CIO und IT-Leiter sind hier auch maßgeblich für die Umsetzung der Sicherheitsarchitektur sowie die Auswahl der Security-Lösung und -Dienstleister zuständig. In kleinen Unternehmen hingegen übernimmt bei fast der Hälfte der Befragten die Geschäftsführung diese Aufgabe.

Die Entwicklung und Umsetzung der IT-Security-Strategie gehört eigentlich zu den ureigenen Aufgaben des Chief Information Security Officers (CISO). Doch nur 17 Prozent der Unternehmen schreiben diese Rolle dem CISO zu. Das liegt aber auch daran, dass die Position des CISO bei weitem nicht in allen Unternehmen etabliert ist. Hier besteht aber eine klare Korrelation zur Mitarbeiterzahl: Je größer das Unternehmen, desto häufiger existiert ein expliziter Verantwortlicher für Informationssicherheit oder CISO.

Mehr CISOs in Großunternehmen

Den Studienergebnissen zufolge haben nur 60 Prozent der Unternehmen dedizierte Personen oder Abteilungen, die ausschließlich und alleine für Informationssicherheit zuständig sind. Selbst in Großunternehmen sind es nur drei Viertel. Die Begriffe für diese Position sind in den Unternehmen noch nicht eindeutig festgelegt. Der Name Chief Information Security Managers (CISO) findet sich nur in 40 Prozent der Firmen. Andere Bezeichnungen sind IT-Sicherheitsbeauftragter und Datenschutzbeauftragter.

40 Prozent der Unternehmen haben keine entsprechende Funktion eingerichtet; hier ist überwiegend der CIO für Informationssicherheit zuständig. In 26 Prozent der Unternehmen übernimmt der Geschäftsführer diese Aufgabe; wenig überraschend ist dies mit 55 Prozent vor allem in kleinen Unternehmen der Fall. Auch (IT)-Security-Manager, Administratoren und in Großunternehmen der Technik-Vorstand übernehmen die Verantwortung für Informationssicherheit, sofern es keinen CISO gibt.

Dass die Position des CISO noch nicht flächendeckend in Unternehmen verankert ist, bestätigt eine weitere Zahl: Nur ein Viertel der Unternehmen sieht Governance von IT- und Informationssicherheit als Teil des Security-Managements und damit des CISOs. Das Gros der Firmen verortet das Management von IT-Sicherheit als technische Aufgabe in der IT-Abteilung oder als Frage des Risikomanagements bei der Geschäftsführung. Letzteres gilt vor allem für Kleinunternehmen.

Direkter Draht zum Geschäftsführer

Interessante Erkenntnisse ergibt die Studie bei der Frage der Berichtswege. Der Verantwortliche für Informationssicherheit oder CISO ist, sofern vorhanden, in nahezu jedem zweiten Unternehmen direkt dem Geschäftsführer oder CEO unterstellt. Nur in jedem dritten Unternehmen berichtet er direkt an den CIO oder den IT-Leiter. Überraschend hoch ist mit zehn Prozent der Anteil des Finanzvorstand oder CFO als direkter Vorgesetzter. In Großunternehmen berichten sogar 22 Prozent der Verantwortlichen für IT-Sicherheit an den CFO.

Aufgaben des CISOs

Den Schwerpunkt der Tätigkeit eines CISOs bilden strategische und organisatorische Aufgaben. In rund 70 Prozent der Unternehmen steht die Ausarbeitung und Anpassung von Sicherheitsrichtlinien ganz oben auf der Aufgabenliste des Verantwortlichen für Informationssicherheit. Weitere wichtige To Dos bilden die Definition der sicherheitsrelevanten Objekte, der Bedrohungen und Risiken und der daraus abgeleiteten Sicherheitsziele (64 Prozent) sowie der Aufbau und Betrieb einer Organisationseinheit zur Umsetzung der Sicherheitsziele (54 Prozent). Mehr als die Hälfte der Unternehmen erwartet, dass der CISO bei den Mitarbeitern durch Trainings und Kampagnen ein Sicherheitsbewusstsein schafft. Hier sieht sich jeder siebte CISO in der Pflicht.

Daher investieren die CISOs ihr eigenes Budget überwiegend in Maßnahmen zur Weiterschulung und Zertifizierung von Mitarbeitern (71 Prozent) sowie in Security-Software /und Security-Appliances (70 Prozent). Zu letzteren gehören unter anderen IAM-Lösungen für verbesserte Zugangs- und Rechtekontrolle und Passwort-Management, Produkte für Endpoint-Kontrolle und verfeinerte Daten-Backup-Systeme.

IT-Security-Budgets steigen

Um die Sicherheit ihrer IT-Umgebung zu erhöhen, fordern vier von fünf Unternehmen zusätzliche Investitionen in IT-Security. Insbesondere CISOs und IT-Leiter wünschen sich mehr finanzielle Unterstützung. Tatsächlich wird fast jede dritte Firma in den nächsten zwölf Monaten das Security-Budget erhöhen. Knapp die Hälfte wird möglicherweise zusätzlich in IT-Security investieren. Nur rund drei Prozent der Unternehmen möchten auf weitere Investitionen verzichten, weil sie sich als "ausreichend geschützt" einschätzen.

Nahezu 80 Prozent der befragten Unternehmen erachten zusätzliche Investionen in IT-Sicherheit für notwendig (Grafik links), immerhin drei Viertel werden deshalb in nächster Zeit im Bereich Security investieren (Grafik rechts).
Nahezu 80 Prozent der befragten Unternehmen erachten zusätzliche Investionen in IT-Sicherheit für notwendig (Grafik links), immerhin drei Viertel werden deshalb in nächster Zeit im Bereich Security investieren (Grafik rechts).
Foto: IDG Business Research Services / Daniela Petrini

Externe Dienstleister sind gefragt

Das Geld fließt vor allem in externe Dienstleister. Während 20 Prozent der Firmen ihre IT-Security selbst in die Hand nehmen, darunter vor allem Kleinunternehmen, vertrauen Großunternehmen verstärkt auf externe Hilfe. Rund 41 Prozent der Unternehmen holen beim Aufbau und Betrieb der Sicherheitsarchitektur Experten von außen an Bord. Weitere wichtige Arbeitsgebiete sind Penetrationstests, die Evaluierung einer Security-Lösung, die Abwehr von Angriffen & forensische Untersuchungen sowie Threat Intelligence mit Bedrohungsanalysen.

Bei der Wahl des externen IT-Security-Anbieters legen die Unternehmen großen Wert auf technisches Wissen und Prozess-Know-how sowie den Firmensitz und die Lokation des Rechenzentrums in Deutschland. Anbieter aus "IT-Schurkenstaaten" wie China und Russland kommen für zwei Drittel der Unternehmen nicht in Frage. Ein gutes Preis-Leistungs-Verhältnis steht vor Branchenkompetenz nur an vierter Stelle im Anforderungskatalog. Punkten können Partner zudem mit Produkt- und Personenzertifizierungen, Service Level Agreements und Kundenreferenzlisten.

Themen wie der persönliche Kontakt oder die Innovationskraft sind bei der Auswahl eines Security-Dienstleisters für deutsche Anwender nicht die übergeordnete Rolle - wichtiger sind beispielsweise ein Rechenzentrum in Deutschland und starkes Prozesswissen.
Themen wie der persönliche Kontakt oder die Innovationskraft sind bei der Auswahl eines Security-Dienstleisters für deutsche Anwender nicht die übergeordnete Rolle - wichtiger sind beispielsweise ein Rechenzentrum in Deutschland und starkes Prozesswissen.
Foto: IDG Business Research Services / Daniela Petrini

Der vollständige Berichtsband der "CISO Security Studie" mit ausführlichen Ergebnissen, Key Findings und Kurzanalysen ist als COMPUTERWOCHE-Whitepaper erhältlich. (sh)