6. August 2024

C-Level mit Wissenslücken trifft auf CISOs mit Tunnelblick

C-Level-Entscheider außerhalb der IT haben teils deutliche Wissenslücken und ein mangelndes Bewusstsein, wenn es um Cyberrisiken geht. Aber auch CISOs neigen dazu, diese Risiken erstaunlich einseitig zu betrachten. Das zeigt eine aktuelle Studie des Technologieunternehmens Ivanti zum Cyber-Risikomanagement in Unternehmen. [...]

Cybersicherheit muss auf Vorstandsebene diskutiert und verstanden werden. Als strategischer Berater der Führungsspitze für eine Vielzahl von Themen, von der Einführung von KI bis zum Management von Risiken in der Lieferkette, müssen CISOs beginnen, ähnlich zu denken wie ihre CEOs und Vorstände – indem sie technisches Knowhow in geschäftliche Prioritäten übersetzen. (c) stock.adobe.com/Gohgah

Technologische Entwicklungen, die zunehmende Raffinesse von Cyberkriminellen und die Zunahme der Angriffsflächen durch miteinander verbundene Systeme verstärken die Bedrohungslage von Unternehmen. Eine Entwicklung, die sich im firmenweiten Risikomanagement widerspiegeln sollte. Allerdings scheinen Führungskräfte außerhalb der IT in kritischen Bereichen auffallend zuversichtlich zu sein – deutlich stärker als ihre IT- bzw. Sicherheitsexperten es sind. 60 Prozent der im Rahmen einer Untersuchung von Ivanti zum Thema Cyber-Risikomanagement in Unternehmen befragten Führungskräfte außerhalb des IT-Bereichs geben an, dass sie „sehr” oder „äußerst zuversichtlich“ sind, dass ihr Unternehmen einen zerstörerischen Sicherheitsvorfall in den nächsten 12 Monaten verhindern oder stoppen kann. Nur 46 Prozent der IT-Fachleute teilen dieses Vertrauen. Diese Diskrepanz deutet darauf hin, dass sich Führungskräfte außerhalb der IT-Abteilung der finanziellen und betrieblichen Risiken, die von den Sicherheitsbedrohungen ausgehen, nur unzureichend bewusst sind.


Blickwinkel Schwachstellenmanagement

Diese Unterschiede lassen sich auch beim Thema Schwachstellenmanagement beobachten: Die Mehrheit (55 Prozent) der Sicherheitsexperten gibt an, dass ihre Führungskräfte außerhalb der IT dieses Thema nicht vollständig überblicken. Diese Einschätzung teilt auch die Leitungsebene: 47 Prozent der Führungskräfte ohne IT-Verantwortung sagen selbst, dass sie mit dem Konzept nicht besonders vertraut sind. Schwachstellenmanagement ist allerdings eine unerlässliche Voraussetzung moderner Cybersicherheitsstrategien. Sicherheitsteams müssen ihre Maßnahmen und Ressourcen klar priorisieren und dabei die Bereiche absichern, die den größten Business-Impact haben.

Ohne ein klares Verständnis des Begriffs auf Führungsebene kann es zu einer falschen Einschätzung der Effektivität des CISO und seines Sicherheitsteams kommen. Führungskräfte außerhalb der IT neigen beispielsweise dazu, einen erfolgreichen Cyberangriff als Versagen seitens der IT zu betrachten, selbst wenn diese Bedrohung schnell eingedämmt und neutralisiert wird. Ein Zeichen dieses mangelnden Verständnisses: Jeder vierte IT-Experte gibt an, dass das Patch-Management durch wechselnde Prioritäten seines C-Levels untergraben wird.


Blickwinkel Bedrohungserkennung

Die Studie von Ivanti bestätigt, dass die Budgets für Cybersicherheit grundsätzlich steigen werden (71 Prozent Zustimmung). Allerdings halten die Sicherheitsstrategien und Investitionen häufig nicht mit der zunehmenden Verbreitung und Schwere von Bedrohungen Schritt: 95 Prozent der IT- und Sicherheitsexperten wissen, dass Angriffe durch KI gefährlicher werden. Trotz dieses erhöhten Risikos besitzt fast jeder dritte Sicherheits- und IT-Experte keine dokumentierte Strategie, um Gefahren durch generative KI zu begegnen.

Investitionsimpulse fehlen auch für moderne Tools zur Bedrohungserkennung und -abwehr: Fast zwei von drei befragten Unternehmen investieren noch nicht in relevante Bereiche wie externes Surface Attack Management, digitale Forensik oder Incident Response (DFIR). Der aktuelle Ivanti-Report betont, wie entscheidend es ist, dass CISOs die Notwendigkeit solcher Cybersecurity-Maßnahmen gerade auf Führungsebene verdeutlichen.


Blickwinkel Risikoeinschätzung

Cyberbedrohungen sind längst nicht mehr nur ein reines Sicherheitsproblem. Die Anzahl an Insolvenzen nach großen Angriffen zeigt, dass sie sich schnell zu Unternehmenskrisen entwickeln können. Krisen, die sich auf alle unternehmensrelevanten Bereiche auswirken, vom Aktienkurs bis hin zur regulatorischen Stellung.

Sicherheitsteams und Führungskräfte außerhalb der IT haben unterschiedliche Ansichten über die potenziellen Auswirkungen von Cyberrisiken – einschließlich der möglichen Schäden und der Unternehmensbereiche, die am ehesten von den Folgen betroffen sind. Führungskräfte außerhalb der IT konzentrieren sich dabei stark auf finanzielle und rechtliche Auswirkungen eines Angriffs. CISOs wiederum nehmen diese Risiken deutlich geringer wahr und blicken auf Attaken tendenziell einseitig aus dem operativen Blickwinkel. Sie übersehen dabei gegebenenfalls das große Ganze. Während beispielsweise Reputationsschäden für 24 Prozent der Führungsebene außerhalb der IT für die Quantifizierung des Cyberrisikos herangezogen werden, ist Reputation für gerade einmal 15 Prozent der CISOs ein relevanter Faktor in der Gleichung. Gleiches gilt auch für die Bereiche „Rechtliche Auswirkungen“ (Führungsebene: 24 Prozent, CISOS: 13 Prozent) und „Finanzielle Auswirkungen“ (Führungsebene: 26 Prozent, CISOS: 17 Prozent).


„Die Rolle des CISOs besteht darin, das tatsächliche Risiko, dem das Unternehmen ausgesetzt ist, deutlich zu kommunizieren. Es geht für Unternehmen darum, zu wissen, wie sich verschiedene Arten von Sicherheitsvorfällen auswirken“, sagt Mike Riemer, Field CISO bei Ivanti. „Cybersicherheit muss auf Vorstandsebene diskutiert und verstanden werden. Als strategischer Berater der Führungsspitze für eine Vielzahl von Themen, von der Einführung von KI bis zum Management von Risiken in der Lieferkette, müssen CISOs beginnen, ähnlich zu denken wie ihre CEOs und Vorstände – indem sie technisches Knowhow in geschäftliche Prioritäten übersetzen.“


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

21. November 2024 Andrea Wörrlein *

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

21. November 2024

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

21. November 2024 Wolfgang Franz

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

20. November 2024

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*