Voice of the CISO 2021

E-Mail und Cloud als Einfallstore

15.06.2021
Von 


Marc Wilczek ist Autor zahlreicher Beiträge rund um die Themen digitale Transformation, Cloud Computing, Big Data und Security. Aktuell ist er Geschäftsführer beim IT-Sicherheitsanbieter Link11. Neben Managementstationen im Deutsche Telekom Konzern und bei CompuGroup Medical, leitete er zuvor unter anderem als Managing Director das Asiengeschäft beim IT-Sicherheitsexperten Sophos.
Eine globale Studie unter 1.400 CISOs zeigt, wie diese mit COVID-19 umgegangen sind und welche Pläne sie für 2022 und 2023 haben.
Es reicht, wenn eine von hunderten von Türen nicht sicher verschlossen ist. Cyberkriminelle finden das kleinste Schlupfloch.
Es reicht, wenn eine von hunderten von Türen nicht sicher verschlossen ist. Cyberkriminelle finden das kleinste Schlupfloch.
Foto: Sinuswelle - shutterstock.com

Die Auswirkungen der Pandemie haben die Menschheit und die Weltwirtschaft auf eine große Belastungsprobe gestellt. Zeitgleich floriert das Geschäft in der Schattenwelt: Cyberkriminalität ist auf dem Vormarsch. Viele Unternehmen weltweit sind besorgt, trotz der bisher getroffenen Maßnahmen, weiterhin für Cyberangriffe verwundbar zu sein. Das sind die Ergebnisse einer weltweiten Umfrage von Proofpoint unter rund 1.400 CISOs, welche im "Voice of the CISO 2021 Report" veröffentlicht wurden. Darin wird auch beschrieben, wie die Sicherheitsverantwortlichen während der Pandemie reagiert haben und wie ihre Pläne für die nächsten zwei Jahre aussehen.

Rund zwei Drittel (64 Prozent) der CISOs vermuten, dass ihr Unternehmen innerhalb der nächsten zwölf Monate von einem größeren Cyberangriff betroffen sein wird. Davon hält jeder Fünfte dieses Risiko für hoch. Allerdings gibt es große regionale Unterschiede:

  • CISOs in Großbritannien (81 Prozent) und Deutschland (79 Prozent) sind am meisten besorgt, einen Angriff zu erleben.

  • CISOs in Singapur (44 Prozent), Kanada und Spanien (jeweils 50 Prozent) sind am wenigsten besorgt.

Die CISOs des Einzelhandels sehen sich besonders exponiert: Acht von zehn (83 Prozent) stufen das Risiko eines Cyberangriffs auf ihr Unternehmen als wahrscheinlich ein - der höchste Wert unter allen befragten Branchen.

Schlecht gerüstet

Bemerkenswerterweise gehen 66 Prozent der CISOs davon aus, dass ihre Organisation nicht auf die Abwehr eines Cyberangriffs vorbereitet ist. Die Niederländer (81 Prozent) fühlen sich am wenigsten vorbereitet, gefolgt von Deutschland und Schweden (79 Prozent). Schnell ausgerollte Remote-Umgebungen, exzessive Heimarbeit, die Auswirkungen der globalen Pandemie und das Aufstreben der Cyberkriminalität, sind die wesentlichen Gründe für diese Sorge.

Dieser Gedanke lässt sich am besten in der Überzeugung der Mehrheit der CISOs wiedergeben, dass sie zwar ihr Bestes getan haben, um die Cyberresilienz ihrer Organisationen zu stärken, ihr Vertrauen in diese Maßnahmen und ihr allgemeiner Seelenfrieden gegenüber dem Jahr 2020 aber zurückgegangen ist. Mehr als die Hälfte der CISOs macht sich heute mehr Sorgen über die Folgen eines Cyberangriffs als im letzten Jahr. Ein Viertel von ihnen (25 Prozent) stimmt dieser Aussage stark zu. Die größten Cyber-Bedrohungen sehen CISOs in kompromittierten Business E-Mails (34 Prozent) und kompromittierten Cloud Accounts (33 Prozent), gefolgt von Insider-Bedrohungen (31 Prozent) und Distributed Denial of Service (DDoS)-Attacken (30 Prozent).

Der Faktor Mensch

Eine Mehrheit der CISOs (58 Prozent) gibt an, dass menschliches Versagen die größte Schwachstelle ihres Unternehmens ist. Infolgedessen bekommen Automatisierung und maschinelles Lernen in der Sicherheitsarchitektur mehr Gewicht.

Doch menschliches Versagen ist nicht die einzige Quelle für Sicherheitsprobleme. Knapp zwei Drittel der CISOs haben weniger Zutrauen in die eigenen Fähigkeit in ihrer Organisation, einen Cyberangriff oder eine Datenverletzung zu erkennen. Daher fühlen sich sie sowohl unvorbereitet als auch schlecht ausgerüstet, um mit der modernen Bedrohungslandschaft umzugehen.

Lesetipp: Cyber-Panik-Attacken vermeiden - IT-Security reicht nicht

CISOs und der Vorstand

Viele CISOs haben das Gefühl, dass ihnen die Unterstützung des Vorstands fehlt. Weniger als zwei Drittel der weltweit befragten CISOs gaben an, dass sie mit dem Ansatz ihres Vorstands in Sachen Cybersicherheit einverstanden sind. 57 Prozent von ihnen gaben an, dass die Erwartungen, die an ihre Rolle gestellt werden, überzogen sind.

59 Prozent der globalen CISOs geben an, dass ihre Berichtslinie die Effektivität ihrer Arbeit behindert. Diese Ansicht ist im Technologiesektor am weitesten verbreitet, wo drei Viertel der CISOs diese Meinung vertraten. Im öffentlichen Sektor ist das Problem weniger drängend; hier empfinden nur 38 Prozent das Berichtswesen als Belastung.

Die offensichtliche Distanz zwischen ihnen und der Chefetage führt dazu, dass viele CISOs das Gefühl haben, ihre Arbeit nicht bestmöglich erledigen zu können. Fast die Hälfte glaubt nicht, dass ihr Unternehmen sie in die Lage versetzt, erfolgreich zu sein. Was noch erstaunlicher ist: 24 Prozent der CISOs stimmen dieser Aussage voll und ganz zu.

Cyberkriminalität auf dem Vormarsch

Die Fähigkeit des CISOs, die richtige Balance zwischen Agilität und Sicherheit zu finden, wird in Zukunft noch wichtiger sein. Jetzt, da mehr Unternehmen wissen, was Remote-Arbeit in Bezug auf Kosteneinsparungen und Flexibilität mit sich bringt, ist es wahrscheinlich, dass mehr Unternehmen hybride Arbeitsmodelle einsetzen werden. Aber CISOs werden ihre Vorstände davon überzeugen müssen, dass der Pragmatismus aus dem letzten Jahr, auf lange Sicht nicht ausreicht bzw. Risiken mit sich bringt. Die Gründe liegen auf der Hand: Ganze 69 Prozent der CISOs aus großen Unternehmen (5.000+ Mitarbeiter) gaben an, dass ihr Arbeitsplatz nach der Einführung der Remote-Arbeit häufiger ins Visier genommen wurde. Zu den am stärksten betroffenen Branchen gehören IT, Technologie und Telekommunikation (69 Prozent). Der Grund dafür ist offensichtlich. Mehr Abhängigkeit von Netzwerken und der Verfügbarkeit und Integrität der IT bedeutet eine größere Anfälligkeit für Cyberattacken.

Dies erklärt, warum 63 Prozent der CISOs glauben, dass Cyberkriminalität in den nächsten zwei Jahren noch lukrativer sein wird und dass diejenigen, die zu Opfern werden, noch größere Konsequenzen tragen könnten. Ungefähr der gleiche Prozentsatz der CISOs vermutet, dass die Bußgelder für Sicherheitsverletzungen in den Jahren 2022 und 2023 steigen werden.

Lesetipp: Bußgeldkatalog - Die teuersten Datenschutz-Fails

Zuversicht für 2022/2023

Obwohl viele CISOs sagen, dass sie im vergangenen Jahr mit der Aufrechterhaltung der organisatorischen Sicherheit zu kämpfen hatten, sind die meisten CISOs hoffnungsfroh, dass sich die Dinge in den kommenden Jahren verbessern werden. Dennoch spüren sie weiterhin den Druck durch unrealistische Erwartungen. Mehr Unterstützung aus der Chefetage und eine Aufsicht über die Cybersicherheit auf Vorstandsebene würden helfen, diesen Druck zu verringern.

Zwei von drei (65 Prozent) CISOs weltweit glauben, dass sie bis 2022/2023 besser in der Lage sein werden, Cyberangriffe zu bekämpfen und sich von ihnen zu erholen, wenn sie mit den entsprechenden Ressourcen und Strategien ausgestattet sind. Dieser Optimismus ist in einigen Branchen stärker ausgeprägt als in anderen:

  • Etwa drei Viertel (74 Prozent) der CISOs im Einzelhandel sind zuversichtlich, dass sie bis 2023 in einer besseren Sicherheitsposition sein werden.

  • CISOs in den Bereichen Transport und Medien (56 Prozent) sind weniger zuversichtlich.

  • CISOs in Frankreich sind am pessimistischsten; nur 25 Prozent von ihnen sind optimistisch, was die mittelfristigen Sicherheitslage ihrer Organisation angeht.

  • CISOs in den Vereinigten Arabischen Emiraten (77 Prozent), Deutschland (76 Prozent) und den USA (73 Prozent) stimmen entweder stark oder einigermaßen zu, dass Unternehmen innerhalb von zwei Jahren besser in der Lage sein werden, sich zu wehren und zu erholen.

Vierundsechzig Prozent der befragten CISOs sagen voraus, dass das öffentliche Bewusstsein für Cybersicherheitsrisiken zunehmen wird. (bw)