Laut dem „Voice of the CISO“-Report von Proofpoint gaben 66 Prozent der befragten CISOs an, dass ihre Organisation nicht auf einen Cyberangriff vorbereitet ist. Ferner halten 58 Prozent der Befragten menschliches Versagen für die größte Gefahr in puncto Cybersecurity. [...]
Im Rahmen des diesjährigen „Voice of the CISO“-Reports werden die Antworten von mehr als 1.400 CISOs mittlerer bis großer Unternehmen verschiedener Branchen in 14 Ländern weltweit analysiert. Die Umfrage unterstreicht dass die im Zuge der Pandemie stark zugenommene Arbeit aus dem Homeoffice CISOs vor bislang ungekannte Probleme stellt.
Der Report konzentriert sich auf drei wesentliche Aspekte: erstens die Cyberrisiken für das Unternehmen sowie die Formen von Cyberangriffen, mit denen CISOs tagtäglich konfrontiert sind; zweitens wie gut Mitarbeiter und Unternehmen auf diese Bedrohungen vorbereitet sind und drittens die Folgen für die Cybersicherheit, die sich aus dem Homeoffice-Boom des vergangenen Jahres ergeben. Ferner werden die Herausforderungen näher beleuchtet, denen sich CISOs aufgrund ihrer Rolle, ihrer Position in der Unternehmensführung und der Erwartungen des Unternehmens an ihre Teams stellen müssen.
Hybride Arbeitsmodelle als Herausforderung
„Im vergangenen Jahr waren Cybersecurity-Teams auf der ganzen Welt gefordert, die Sicherheitslage ihres Unternehmens aufgrund einer komplett neuen und sich rasch verändernden Situation zu verbessern – und das buchstäblich über Nacht. Dies war ein Balanceakt. Man musste die Arbeit im Homeoffice ermöglichen, Geschäftsunterbrechungen vermeiden und gleichzeitig die neuen Umgebungen möglichst umfassend absichern“, sagt Lucia Milica, Global Resident CISO bei Proofpoint. „Es ist zu erwarten, dass dieser Trend weiter fortbesteht und es künftig mehr hybride Modelle des Arbeitens geben wird. So werden diese Herausforderung CISOs bis ins nächste Jahr und weit darüber hinaus beschäftigen. Neben dem Schutz von weitaus mehr Angriffspunkten und der Schulung und Sensibilisierung von Anwendern in Bezug auf Cybergefahren, die die Arbeit im Homeoffice bzw. in hybrider Form mit sich bringt, müssen CISOs das Vertrauen schaffen, dass ein solcher Ansatz langfristig funktioniert.“
Der „Voice of the CISO 2021“-Report von Proofpoint offenbart sowohl allgemeine Trends als auch regionale Unterschiede in der globalen CISO-Community. Die wichtigsten Studienergebnisse sind:
- CISOs sind angesichts einer ganzen Reihe von Bedrohungen in höchster Alarmbereitschaft: 79 Prozent der befragten deutschen CISOs sehen sich der Gefahr ausgesetzt, dass ihr Unternehmen in den nächsten 12 Monaten einen schweren Cyberangriff erleiden könnte – der zweithöchste Wert im internationalen Vergleich. Bei der Frage nach den Angriffsformen, die sie dabei erwarten, stehen Insider-Bedrohungen (36 Prozent), Ransomware (35 Prozent) und Business Email Compromise (BEC, 33 Prozent) ganz oben auf der Liste. Obwohl sie in letzter Zeit die Schlagzeilen dominierten, wurden Angriffe auf die Lieferkette mit 32 Prozent erst an vierter Stelle genannt. Cloud Account Compromise (also kompromittierte Microsoft-365- oder G-Suite-Konten) folgte mit 29 Prozent an fünfter Stelle.
- Die Vorsorge von Unternehmen in puncto Cybersicherheit ist nach wie vor ein großes Problem: Mehr als ein Jahr nach dem Beginn einer Pandemie, die die Bedrohungssituation nachhaltig verändert hat, sind 79 Prozent der deutschen CISOs der Meinung, dass ihre Organisation nicht auf einen gezielten Cyberangriff vorbereitet ist. Im weltweiten Durchschnitt waren nur 66 Prozent der CISOs ähnlich besorgt. Auch das Bedrohungspotenzial steigt: 65 Prozent der deutschen CISOs sorgen sich 2021 stärker um die Auswirkungen eines Cyberangriffs als es noch im vergangenen Jahr der Fall war.
- Ein gestärktes Bewusstsein der Anwender führt nicht immer zu einer Verhaltensänderung: Während 70 Prozent der Umfrageteilnehmer glauben, dass ihre Mitarbeiter ihre Rolle beim Schutz des Unternehmens vor Cyberbedrohungen verstehen, halten 59 Prozent der deutschen CISOs menschliches Versagen noch immer für die größte Schwachstelle ihrer Organisation. Deutsche CISOs nannten das absichtliche Ausspähen von Daten (kriminelle Insider-Attacken) und den falschen Umgang mit sensiblen Informationen als die wahrscheinlichsten Arten, wie Mitarbeiter ihr Unternehmen gefährden.
- Hybride Arbeitsumgebungen stellen langfristig eine neue Herausforderung für CISOs dar: 67 Prozent der deutschen CISOs stimmen der Aussage zu, dass die Arbeit im Homeoffice ihre Organisation anfälliger für gezielte Cyberangriffe gemacht hat, wobei 64 Prozent angaben, dass sie in den letzten 12 Monaten eine Zunahme gezielter Angriffe beobachten konnten.
- Hohes Risiko und hohe Profite werden in den nächsten zwei Jahren voraussichtlich die Diskussion um Cybersecurity prägen: 66 Prozent der deutschen CISOs glauben, dass Cyberkriminalität für Angreifer noch profitabler werden wird, während 70 Prozent davon ausgehen, dass es für Cyberkriminelle riskanter werden wird.
- CISOs werden ihre Cybersecurity-Strategie anpassen: Insgesamt erwartet die Mehrheit der weltweit befragten CISOs, dass ihr Cybersecurity-Budget in den nächsten zwei Jahren um 11 Prozent oder mehr steigen wird. 76 Prozent der deutschen CISOs glauben zudem, dass sie bis 2023 in der Lage sein werden, sich besser gegen Cyberangriffe zu schützen bzw. sich besser von ihnen erholen zu können. Die drei wichtigsten Prioritäten für deutsche CISOs in den nächsten zwei Jahren sind: die Implementierung von Sicherheitsautomatisierung (39 Prozent), die Konsolidierung von Sicherheitslösungen und -kontrollen (36 Prozent) sowie die Unterstützung des Arbeitens außerhalb des Büros (34 Prozent).
- Das Jahr 2020 hat die Rolle des CISOs gestärkt sowie die Erwartungen des Unternehmens gesteigert: 73 Prozent der deutschen CISOs stimmen der Aussage zu, dass die Erwartungen an ihre Funktion überzogen sind – der höchste Wert aller befragten Länder. Der wahrgenommene Mangel an Unterstützung durch die Chefetage bleibt bestehen: Nur 34 Prozent der deutschen CISOs teilen die Ansicht, dass ihr Vorstand in Fragen der Cybersicherheit mit ihnen auf Augenhöhe ist.
„Der ‚gut genug‘-Ansatz, der in den letzten 12 Monaten oftmals praktiziert wurde, wird auf lange Sicht einfach nicht ausreichen. Denn es ist unwahrscheinlich, dass Unternehmen jemals wieder zu den vor der Pandemie gängigen Arbeitsweisen zurückkehren werden. Daher ist es nun wichtiger als jemals zuvor, die Cyberabwehr zu stärken“, erläutert Ryan Kalember, Executive Vice President of Cybersecurity Strategy bei Proofpoint. „CISOs haben eine geschäftskritische Funktion – heute mehr denn je. Die Ergebnisse unseres Berichts unterstreichen, dass CISOs entsprechende Werkzeuge benötigen, um Risiken zu minimieren und eine Strategie zu entwickeln, die einen personenorientierten Ansatz im Bereich Cybersecurity verfolgt. Dieser Ansatz muss auf kontinuierlichen Schulungen fußen, um den sich ständig ändernden Bedingungen Rechnung zu tragen, wie Unternehmen sie beispielsweise im Zuge der Pandemie erlebt haben.“
Be the first to comment