Cyberkriminelle entwickeln im Katz- und Maus-Spiel mit der IT-Sicherheit immer raffiniertere Angriffe, um sensible Informationen wie Kundendaten oder Entwicklungspläne abzugreifen. Auf der anderen Seite sind die IT-Systeme von Unternehmen heute sensibler oder verwundbarer, da mittlerweile nahezu alle Prozesse digitalisiert und viele Systeme über das Internet verbunden sind. Firmen müssen ihre Abwehrmaßnahmen fortlaufend aktualisieren, um ihre Daten zu schützen.
Informationssicherheit sollte daher zum strategischen Ziel und zur Management-Disziplin werden. Neben technischen Maßnahmen gehören dazu Policies, Prozesse, Sicherheitsstrategien und -architekturen sowie die Sensibilisierung der Mitarbeiter für die Sicherheitsrisiken (Security Awareness). Eine wichtige Rolle bei der Umsetzung dieser Strategie spielt der Chief Information Security Officer (CISO) als oberster Verantwortlicher für Informationssicherheit. Doch hat sich die Position des Chief Information Security Officers bei Unternehmen in Deutschland bereits durchgesetzt? Falls ja, wo ist der CISO organisatorisch im Unternehmen angesiedelt? Inwieweit wirkt er bei der Entwicklung einer Security-Strategie mit?
Die Antwort gibt eine aktuelle Security-Studie (CISO-Studie) der COMPUTERWOCHE in Kooperation mit Cisco und dem Security-Fachverband (ISC)² Chapter Germany. Dazu wurden fast 800 IT- und IT-Security-Entscheider in Deutschland befragt. Neben den strategischen Entscheidungs- und Berichtswegen im Bereich IT-Security standen auch Security-Herausforderungen, IT-Security-Budgets, sowie Auswahlkriterien für IT-Security-Dienstleister im Blickpunkt.
Cyberangriffe und nachlässige Mitarbeiter
Aktuell und künftig fürchten die deutschen Unternehmen vor allem externe Cyberangriffe wie Ransomware als größte Bedrohung für ihre Systeme. Überdurchschnittlich hoch ist hier der Wert bei kleinen Unternehmen mit rund 88 Prozent. Großes Kopfzerbrechen bereiten auch die Nachlässigkeit, fehlende Security-Awareness und mangelndes Training der eigenen Mitarbeiter. Insbesondere die befragten CISOs und IT-Sicherheitsverantwortlichen schätzen den menschlichen Faktor als höchstes Risiko ein. Wohlgemerkt geht es hier nicht um bösartigen Datendiebstahl oder Vorsatz der Mitarbeiter, sondern um Leichtsinn und Fahrlässigkeit.
Weitere wichtige Herausforderungen bilden die Priorisierung von IT-Security auf Vorstands- und Management-Ebene sowie fehlendes Budget für IT-Security. Datenschutz stellt erwartungsgemäß für alle Unternehmen die größte Compliance-Herausforderung dar. Mehr als die Hälfte der Unternehmen (55 Prozent) sind vom Thema Datenschutz sehr stark oder stark betroffen, insbesondere aber die Großunternehmen. Kleine Unternehmen stufen die Herausforderung durch das IT-Sicherheitsgesetz überdurchschnittlich hoch ein. Bereits ein Drittel der Unternehmen beschäftigt sich intensiv mit neuen Compliance-Fragen, die durch neue Technologien wie Internet of Things oder Industrie 4.0 entstehen.
CIO und IT-Chefs lenken Security-Strategie
Um diese Herausforderungen und Bedrohungen zu meisten, setzen mehr als 80 Prozent der befragten Unternehmen auf eine umfassende IT-Security-Strategie. Insbesondere Großunternehmen mit hohem IT-Etat gehen das Thema IT-Sicherheit strategisch an. Jeweils knapp ein Zehntel der Firmen plant den Aufbau strategischer Sicherheitskonzepte oder bleibt derzeit noch bei isolierten Einzelmaßnahmen stehen. Auch Sicherheitsrichtlinien/-policies (82 Prozent) und Konzepte für die Risikobewertung (62 Prozent) spielen in allen Unternehmen eine sehr wichtige Rolle.
Die Entwicklung der IT-Security-Strategie und die Umsetzung der Sicherheitsarchitektur sind überwiegend Aufgabe des CIOs oder des IT-Leiters. Insbesondere in den mittleren und großen Unternehmen sind der CIO / IT-Vorstand (31 Prozent) und der IT-Leiter (27 Prozent) federführend für die Entwicklung einer IT-Strategie verantwortlich. CIO und IT-Leiter sind hier auch maßgeblich für die Umsetzung der Sicherheitsarchitektur sowie die Auswahl der Security-Lösung und -Dienstleister zuständig. In kleinen Unternehmen hingegen übernimmt bei fast der Hälfte der Befragten die Geschäftsführung diese Aufgabe.
Die Entwicklung und Umsetzung der IT-Security-Strategie gehört eigentlich zu den ureigenen Aufgaben des Chief Information Security Officers (CISO). Doch nur 17 Prozent der Unternehmen schreiben diese Rolle dem CISO zu. Das liegt aber auch daran, dass die Position des CISO bei weitem nicht in allen Unternehmen etabliert ist. Hier besteht aber eine klare Korrelation zur Mitarbeiterzahl: Je größer das Unternehmen, desto häufiger existiert ein expliziter Verantwortlicher für Informationssicherheit oder CISO.
Mehr CISOs in Großunternehmen
Den Studienergebnissen zufolge haben nur 60 Prozent der Unternehmen dedizierte Personen oder Abteilungen, die ausschließlich und alleine für Informationssicherheit zuständig sind. Selbst in Großunternehmen sind es nur drei Viertel. Die Begriffe für diese Position sind in den Unternehmen noch nicht eindeutig festgelegt. Der Name Chief Information Security Managers (CISO) findet sich nur in 40 Prozent der Firmen. Andere Bezeichnungen sind IT-Sicherheitsbeauftragter und Datenschutzbeauftragter.
40 Prozent der Unternehmen haben keine entsprechende Funktion eingerichtet; hier ist überwiegend der CIO für Informationssicherheit zuständig. In 26 Prozent der Unternehmen übernimmt der Geschäftsführer diese Aufgabe; wenig überraschend ist dies mit 55 Prozent vor allem in kleinen Unternehmen der Fall. Auch (IT)-Security-Manager, Administratoren und in Großunternehmen der Technik-Vorstand übernehmen die Verantwortung für Informationssicherheit, sofern es keinen CISO gibt.
Dass die Position des CISO noch nicht flächendeckend in Unternehmen verankert ist, bestätigt eine weitere Zahl: Nur ein Viertel der Unternehmen sieht Governance von IT- und Informationssicherheit als Teil des Security-Managements und damit des CISOs. Das Gros der Firmen verortet das Management von IT-Sicherheit als technische Aufgabe in der IT-Abteilung oder als Frage des Risikomanagements bei der Geschäftsführung. Letzteres gilt vor allem für Kleinunternehmen.
Direkter Draht zum Geschäftsführer
Interessante Erkenntnisse ergibt die Studie bei der Frage der Berichtswege. Der Verantwortliche für Informationssicherheit oder CISO ist, sofern vorhanden, in nahezu jedem zweiten Unternehmen direkt dem Geschäftsführer oder CEO unterstellt. Nur in jedem dritten Unternehmen berichtet er direkt an den CIO oder den IT-Leiter. Überraschend hoch ist mit zehn Prozent der Anteil des Finanzvorstand oder CFO als direkter Vorgesetzter. In Großunternehmen berichten sogar 22 Prozent der Verantwortlichen für IT-Sicherheit an den CFO.
Aufgaben des CISOs
Den Schwerpunkt der Tätigkeit eines CISOs bilden strategische und organisatorische Aufgaben. In rund 70 Prozent der Unternehmen steht die Ausarbeitung und Anpassung von Sicherheitsrichtlinien ganz oben auf der Aufgabenliste des Verantwortlichen für Informationssicherheit. Weitere wichtige To Dos bilden die Definition der sicherheitsrelevanten Objekte, der Bedrohungen und Risiken und der daraus abgeleiteten Sicherheitsziele (64 Prozent) sowie der Aufbau und Betrieb einer Organisationseinheit zur Umsetzung der Sicherheitsziele (54 Prozent). Mehr als die Hälfte der Unternehmen erwartet, dass der CISO bei den Mitarbeitern durch Trainings und Kampagnen ein Sicherheitsbewusstsein schafft. Hier sieht sich jeder siebte CISO in der Pflicht.
Daher investieren die CISOs ihr eigenes Budget überwiegend in Maßnahmen zur Weiterschulung und Zertifizierung von Mitarbeitern (71 Prozent) sowie in Security-Software /und Security-Appliances (70 Prozent). Zu letzteren gehören unter anderen IAM-Lösungen für verbesserte Zugangs- und Rechtekontrolle und Passwort-Management, Produkte für Endpoint-Kontrolle und verfeinerte Daten-Backup-Systeme.
IT-Security-Budgets steigen
Um die Sicherheit ihrer IT-Umgebung zu erhöhen, fordern vier von fünf Unternehmen zusätzliche Investitionen in IT-Security. Insbesondere CISOs und IT-Leiter wünschen sich mehr finanzielle Unterstützung. Tatsächlich wird fast jede dritte Firma in den nächsten zwölf Monaten das Security-Budget erhöhen. Knapp die Hälfte wird möglicherweise zusätzlich in IT-Security investieren. Nur rund drei Prozent der Unternehmen möchten auf weitere Investitionen verzichten, weil sie sich als "ausreichend geschützt" einschätzen.
Externe Dienstleister sind gefragt
Das Geld fließt vor allem in externe Dienstleister. Während 20 Prozent der Firmen ihre IT-Security selbst in die Hand nehmen, darunter vor allem Kleinunternehmen, vertrauen Großunternehmen verstärkt auf externe Hilfe. Rund 41 Prozent der Unternehmen holen beim Aufbau und Betrieb der Sicherheitsarchitektur Experten von außen an Bord. Weitere wichtige Arbeitsgebiete sind Penetrationstests, die Evaluierung einer Security-Lösung, die Abwehr von Angriffen & forensische Untersuchungen sowie Threat Intelligence mit Bedrohungsanalysen.
Bei der Wahl des externen IT-Security-Anbieters legen die Unternehmen großen Wert auf technisches Wissen und Prozess-Know-how sowie den Firmensitz und die Lokation des Rechenzentrums in Deutschland. Anbieter aus "IT-Schurkenstaaten" wie China und Russland kommen für zwei Drittel der Unternehmen nicht in Frage. Ein gutes Preis-Leistungs-Verhältnis steht vor Branchenkompetenz nur an vierter Stelle im Anforderungskatalog. Punkten können Partner zudem mit Produkt- und Personenzertifizierungen, Service Level Agreements und Kundenreferenzlisten.
Der vollständige Berichtsband der "CISO Security Studie" mit ausführlichen Ergebnissen, Key Findings und Kurzanalysen ist als COMPUTERWOCHE-Whitepaper erhältlich. (sh)