Eine immer größere Abhängigkeit von Cloud-Technologien, eine massenhaft mobil arbeitende Belegschaft und große Mengen von Cyber-Angreifern mit KI-Technologien haben im abgelaufenen Jahr einen wahrhaften Sturm aufziehen lassen, dem sich CISOS ausgesetzt sehen. [...]
Die Lage spitzte sich derart zu, dass mehr als zwei Drittel (70 %) der Sicherheitsverantwortlichen weltweit befürchten, in den nächsten 12 Monaten Opfer eines größeren Cyberangriffs zu werden – hierzulande zeigten sich sogar 80 Prozent der Befragten darüber besorgt. Die ist eines der Ergebnisse des „Voice of the CISO“-Reports 2024 von Proofpoint, einer weltweiten Umfrage unter 1.600 CISOs. Wenngleich die CISOs in höchster Alarmbereitschaft sind, wächst ihr Vertrauen in ihre Mitarbeiter und ihre Sicherheitsmaßnahmen. Nur 43 Prozent der weltweit Befragten sehen sich nicht auf einen Cyberangriff vorbereitet, sollte dieser stattfinden. Für Deutschland zeichnet die Studie ein dramatischeres Bild: Hierzulande glauben 55 Prozent, dass ihr Unternehmen nicht auf einen gezielten Cyberangriff vorbereitet ist.
CISOs vertrauen ihren Mitarbeitern – aber diese sind ein Problem
Auf die Frage nach der größten Schwachstelle im Bereich der Cybersicherheit gab es einen klaren Konsens über die Hauptursache: die Menschen.
Menschliches Fehlverhalten steht erneut an erster Stelle der wahrgenommenen Cyber-Schwachstellen: In Deutschland betrachten 72 Prozent der Befragten menschliches Fehlverhalten als größte Cyber-Schwachstelle, gegenüber 45 Prozent im Vorjahr. Angesichts der Tatsache, dass Arbeitnehmerinnen und Arbeitnehmer nach wie vor häufig außerhalb geschützter IT-Büroumgebungen und auf verschiedenen Cloud-Plattformen arbeiten, ist diese Sorge durchaus berechtigt. Cyberkriminelle haben nun eine viel größere Angriffsfläche – und alles, was sie brauchen, um erfolgreich zu sein, ist ein unbedachter Klick oder ein versehentlicher Download.
Auch die Mitarbeiterfluktuation ist ein großes Problem. Obwohl 81 Prozent der CISOs weltweit glauben, dass sie über angemessene Kontrollen zum Schutz ihrer Daten verfügen, geben 46 Prozent zu, dass sie in den letzten 12 Monaten sensible Daten verloren haben. Fast drei Viertel (73 %) geben an, dass Mitarbeiter, die ihr Unternehmen verlassen, zu diesem Verlust beigetragen haben – für Deutschland machten sogar 77 Prozent der CISOs scheidenden Mitarbeiter als Ursache für Datenverluste verantwortlich.
Im Gegensatz zu dieser offensichtlichen Besorgnis über das Mitarbeiterrisiko sind die meisten CISOs der Meinung, dass die Angestellten ihre Rolle beim Schutz des Unternehmens vor Cyberangriffen verstehen. 82 Prozent der deutschen CISOs stimmten dieser Aussage zu, verglichen mit 52 Prozent im Jahr 2023. Offensichtlich vertrauen viele von ihnen ihren Awareness-Programmen und -Schulungen, auch wenn sie den Menschen als größte Schwachstelle ausmachen.
KI gehört zum Alltag – allerdings ist sie nicht immer hilfreich
Bei der Frage nach den größten Cyberbedrohungen im Jahr 2024 ist die Liste der Antworten geprägt von den üblichen Verdächtigen: Mehr als ein Drittel der weltweit befragten CISOs nannten Ransomware (41 Prozent), Malware (38 Prozent) und E-Mail-Betrug (36 Prozent) als ihre größten Sorgen. Eine andere, neuere Entwicklung steht ebenfalls ganz oben auf der Liste.
Mehr als die Hälfte (61 %) der deutschen CISOs glauben, dass generative KI das größte Sicherheitsrisiko für ihre Organisation darstellt. Generative KI-Tools werden von den deutschen CISOs am ehesten (54 %) als Risiko für ihr Unternehmen angesehen. Viele klassische Programme wie Slack, Teams, Zoom (53 %) und Microsoft 365 (52 %) liegen allerdings nicht weit dahinter.
Es gibt nicht nur schlechte Nachrichten über KI und Cyberbedrohungen. Während CISOs KI zu Recht als Gefahr in den Händen von Cyberkriminellen sehen, nutzen andere sie, um Menschen und Daten besser zu schützen. Rund 87 Prozent wollen KI-gestützte Funktionen zum Schutz vor menschlichen Fehlern und fortgeschrittenen, personenbezogenen Cyberbedrohungen einsetzen.
CISOs – stärker beachtet, verstärkt unter Druck
Die Beziehung zwischen CISOs und ihrer jeweiligen Vorstandsetage ist seit 2020 in den Mittelpunkt des Interesses gerückt. Da die Unternehmen zu Beginn der Pandemie vor der Aufgabe standen, den Geschäftsbetrieb aufrechtzuerhalten und gleichzeitig mobiles Arbeiten im großen Stil einzuführen, hatte die Perspektive des CISO mehr Gewicht als je zuvor.
Auch nach Abklingen der Pandemie sind CISOs in Vorstandsetagen auf der ganzen Welt vertreten und unterhalten dort zusehends bessere Beziehungen. 84 Prozent der CISOs glauben, dass ihre Vorstandsmitglieder in Fragen der Cybersicherheit auf Augenhöhe mit ihnen sprechen – ein deutlicher Sprung von 62 Prozent im Jahr 2023 und 51 Prozent im Jahr 2022. Dies deutet darauf hin, dass die kontinuierliche Präsenz der CISOs sowohl die Geschäftsstrategie als auch das Sicherheitsbewusstsein beeinflusst.
Leider sind die CISOs in anderen Bereichen nicht so positiv gestimmt. Im vergangenen Jahr gaben 53 Prozent der CISOs zu, dass sie sich ausgebrannt fühlen – hierzulande sogar 60 Prozent –, während sich 66 Prozent mit überzogenen Erwartungen konfrontiert sehen. Der wirtschaftliche Abschwung und Budgetkürzungen sind ebenfalls ein wichtiges Thema. Fast die Hälfte (48 %) wurde aufgefordert, Personal abzubauen oder die Wiederbesetzung von Stellen zu verzögern, während 59 Prozent sich in ihrer Fähigkeit eingeschränkt sahen, geschäftskritische Investitionen zu tätigen.
Mitarbeiter und Unternehmen schützen
Obwohl CISOs zweifellos den Druck spüren, den ihre nunmehr aufgewertete Position im Vorstand mit sich bringt, haben viele nach einem weiteren schwierigen Jahr Grund zum Optimismus. Die meisten berichten von engeren Beziehungen zum Vorstand, größerem Vertrauen in ihre Fähigkeit, Cyber-Angriffe abzuwehren, und Erfolgen bei Programmen zur Sensibilisierung der Nutzer und zur Verhinderung von Datenverlusten.
Was ihnen die größten Kopfschmerzen bereitet, sind nach wie vor die Menschen und ihr Verhalten. CISOs werden auch im kommenden Jahr viele Prioritäten haben und neben alten Widersachern wie Ransomware und BEC auch KI-gestützte Angriffe bekämpfen müssen. Die Bewältigung des menschlichen Risikos muss allerdings höchste Priorität genießen, um sicherzustellen, dass Organisationen jetzt und in Zukunft geschützt sind.
*Der Autor Miro Mitrovic, Area Vice President DACH bei Proofpoint.
Be the first to comment