Ivanti hat weltweit mehr als 3.000 IT- und Sicherheitsexperten sowie Unternehmensleiter befragt, um herauszufinden, wie sich Unternehmen auf die steigenden Cybersicherheitsbedrohungen einstellen. In diesem Report untersuchen wir, wie CISOs Risiken intern kommunizieren, einschließlich:
Weitere Informationen zu unserer Studie und Methodik finden Sie im letzten Abschnitt.
Ivanti hat über 3.000 IT- und Sicherheitsexperten
zum Umgang der Führungskräfte mit den zunehmenden Cybersicherheitsbedrohungen befragt.
01
Cyberrisiken werden immer komplexer und bedrohlicher, da sich die Technologie rasant weiterentwickelt, Cyberangreifer immer raffinierter werden und sich die Angriffsflächen durch miteinander vernetzte Systeme und Geräte vergrößern.
Allerdings scheinen Führungskräfte außerhalb der IT in kritischen Bereichen auffallend zuversichtlich zu sein – deutlich stärker als IT-/Sicherheitsexperten es sind. Die Situation stellt sich wie folgt dar:
Diese Diskrepanz deutet darauf hin, dass sich Führungskräfte außerhalb der IT-Abteilung der finanziellen, betrieblichen und reputationssschädigenden Risiken, die von den zunehmenden Sicherheitsbedrohungen ausgehen, möglicherweise nicht wirklich bewusst sind.
Cybersicherheitsvorfälle nehmen deutlich zu. Der International Monetary Fund (IMF) April 2024 Global Financial Stability Report erläutert, dass „extreme Datenverlusten“ zunehmen und sich der Umfang dieser sogenannten extremen Datenverluste zwischen 2017 und 2021 auf 2,5 Milliarden Dollar mehr als vervierfacht hat.
Durch die Übergabe von Routinearbeiten an Maschinen können sich Menschen auf erfüllendere Teile ihrer Arbeit konzentrieren. Technologie scheint auch die Kompetenzen innerhalb der Belegschaft anzugleichen: Frühe Studien ... deuten darauf hin, dass weniger erfahrene Mitarbeiter durch den Einsatz von KI einen größeren Antrieb erhalten.
— IMF Global Financial Stability Report
Die Studie von Ivanti zeigt, dass die Budgets für Cybersicherheit zwar steigen (71 % geben an, dass dies 2024 der Fall ist), die Sicherheitsstrategie und die Investitionen jedoch möglicherweise nicht mit der zunehmenden Schwere und Verbreitung der Bedrohungen Schritt halten.
Ganze 95 % der IT- und Sicherheitsexperten denken, dass Sicherheitsbedrohungen durch KI gefährlicher werden – doch trotz dieses erhöhten Risikos hat fast jeder dritte Sicherheits- und IT-Experte keine dokumentierte Strategie für den Umgang mit den Risiken der generativen KI.
Fast zwei von drei befragten Unternehmen investieren noch nicht in kritische Bereiche wie externes Surface Attack Management, digitale Forensik oder Incident Response (DFIR).
02
Die Mehrheit (55 %) der IT-/Sicherheitsexperten gibt an, dass ihre Führungskräfte außerhalb der IT das Schwachstellenmanagement nicht vollständig überblicken. Und die Verantwortlichen in den Unternehmen stimmen dieser Einschätzung weitgehend zu. Ganze 47 % der Führungskräfte außerhalb der IT geben zu, dass sie mit dem Konzept nicht besonders vertraut sind.
Da die Zahl der bekannten Schwachstellen und Anfälligkeiten (Common Vulnerabilities and Exposures, CVEs) stark ansteigt, wird Priorisierung ein immer wichtigeres Thema.
Schwachstellenmanagement ist eine unerlässliche Voraussetzung moderner Cybersicherheitsstrategien. Die Betonung liegt hier auf dem Wort „Management“. Man kann von keinem Sicherheitsteam erwarten, dass es eine nicht zu durchdringende Sicherheitsbarriere schafft. Stattdessen müssen die Sicherheitsteams ihre Maßnahmen und Ressourcen klar priorisieren und dabei die Bereiche absichern, die den größten Business-Impact haben.
Wenn Unternehmensleiter dies missverstehen, kann es zu einer falschen Einschätzung der Effektivität des CISO sowie des wahrgenommenen Wertes des Sicherheitsteams führen. So kann es passieren, dass Führungskräfte außerhalb der IT jeden erfolgreichen Cyberangriff unter Umständen als Versagen seitens der IT betrachten, selbst wenn diese Bedrohung schnell eingedämmt und neutralisiert wird.
Ebenso könnten Führungskräfte außerhalb der IT, die das Konzept des Schwachstellenmanagements nicht vollständig überblicken, annehmen, dass das finale Ziel der Sicherheit die 100-prozentige Patch-Compliance ist, anstatt einer effektiven Patch-Priorisierung. Mehr als 1 von 4 IT-Fachleuten gibt an, dass das Patch-Management durch veränderte Prioritäten der Unternehmensführung an Beachtung verliert.
Mehr als 1 von 4 IT-Fachleuten gibt an, dass das Patch-Management
durch veränderte Prioritäten der Unternehmensführung an Beachtung verliert.
03
Sicherheitsteams und Führungskräfte außerhalb der IT haben unterschiedliche Ansichten über die potenziellen Auswirkungen von Cyberrisiken – einschließlich des Ausmaßes der Schäden, die sie verursachen können, und der Bereiche des Unternehmens, die am ehesten von den Folgen betroffen sind. Führungskräfte außerhalb der IT konzentrieren sich deutlich häufiger auf finanzielle, rechtliche und reputationsschädigende Auswirkungen als ihre Kollegen aus den Bereichen IT und Sicherheit. CISOs scheinen die Risiken tendenziell einseitig zu betrachten – und übersehen dabei möglicherweise das große Ganze.
Nach dem jüngsten Cost of a Data Breach Reportvon IBM betrugen die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2023 4,45 Millionen US-Dollar – ein Anstieg von 15 % innerhalb von drei Jahren. Und Forschungen von Chainalysis zeigen, dass Ransomware-Zahlungen im Jahr 2023 einen historischen Höchststand erreichten und sich weltweit auf 1,1 Milliarden Dollar beliefen.
Cyberbedrohungen nehmen so schnell an Umfang und Raffinesse zu, dass es sich nicht mehr nur um Sicherheitsprobleme handelt. .Sie können sich schnell zu Unternehmenskrisen entwickeln, die sich auf alle Bereiche auswirken, vom Aktienkurs bis hin zur regulatorischen Stellung.
Gleichzeitig wenden sich Unternehmen zunehmend an ihre CISOs, um strategische geschäftliche Beratung für eine Vielzahl von Themen zu erhalten, von der Einführung von KI bis zum Management von Risiken in der Lieferkette. Ebenso werden die Vorstände zunehmend einbezogen.
Und dennoch konzentrieren sich viele CISOs in erster Linie auf Ausfallrisiken, anstatt das große Ganze zu sehen.
Um sich zu strategischen Akteuren zu entwickeln, müssen Sicherheitsverantwortliche lernen, ähnlich zu denken wie ihre CEOs und Vorstände – indem sie technisches Know-how in geschäftliche Prioritäten übersetzen, wie z. B. die finanziellen und reputationsschädigenden Auswirkungen von Angriffen sowie die rechtlichen und regulatorischen Folgen von Datenschutzverletzungen.
04
Robert Grazioli
Chief Information Officer, Ivanti
Bei so vielen gravierenden Sicherheitsvorfällen, die regelmäßig in den Nachrichten auftauchen, müssen CISOs sich nicht allzu sehr dafür einsetzen, die Führungsetage von den ernsten Risiken für Unternehmensreputation zu überzeugen, die mit Cyberangriffen einhergehen. Die Änderung dieses Bewusstseins hin zu einem strategischen, langfristigen Engagement für die Vision des CISO (und ein entsprechendes Budget) ist eine der wichtigsten Aufgaben des modernen CISO. Mit dieser Unterstützung können CISOs wirksame Systeme aufbauen, die eine hohe Sicherheit gewährleisten. Dazu gehört, Datensilos aufzubrechen, Prozesse aufeinander abzustimmen, stabile Kommunikationslinien sicherzustellen und sich einen vollständigen Überblick über die aktuelle Lage zu verschaffen, um Schwachstellen aufzudecken und sie zu beheben.
Dr. Srinivas Mukkamala
Chief Product Officer, Ivanti
Die Rolle des CISO hat sich von einem taktischen Sicherheitsverantwortlichen zu einem strategischen Geschäftspartner gewandelt. In der heutigen Geschäftswelt stehen diese Sicherheitsverantwortlichen vor der Herausforderung, die Ziele des Risikomanagements und der Compliance-Richtlinien mit den Mitarbeitererfahrungen und den Geschäftszielen in Einklang zu bringen – und das kann immer dann schwierig sein, wenn sich diese Prioritäten widersprechen. Wirklich gute CISOs berücksichtigen, wie sich ihre Entscheidungen auf das gesamte Unternehmen auswirken und handeln entsprechend.
Realistisch betrachtet hat bislang nicht jedes Unternehmen diesen Reifegrad in Sachen Cybersicherheit erreicht oder hat Zugang zu solch fähigen Managern. Das liegt daran, dass wir aktuell nicht über genügend qualifizierte, gut ausgebildete und ideenreiche CISO-Kandidaten verfügen. Um diese Art von Führungskräften im Sicherheitsbereich zu entwickeln, müssen wir mehr Möglichkeiten für vielversprechende Cybersicherheits- und IT-Fachleute schaffen, damit sie ihre technischen Fähigkeiten, Führungsqualitäten und zugleich auch ihr unternehmerisches Denken entwickeln können.
Sterling Parker
Senior Vice President of Global Technical Support, Ivanti
Das Schwachstellenmanagement ist eine unerlässliche Voraussetzung der modernen Cybersicherheitsstrategie und ein hervorragendes Instrument, um Cybersicherheit auf breiter Basis verständlich zu erklären. CISOs stehen heute jedoch vor der Herausforderung, den Dialog über Bedrohungen und Schwachstellen qualitativ höher anzusiedeln, um ein vielfältiges C-Suite-Team zu erreichen. Sie müssen in der Lage sein, die Auswirkungen aktueller oder potenzieller Bedrohungen auf Unternehmen und Kunden präzise darzustellen. Außerdem müssen sie die Anforderungen an die Cybersicherheit mit den Bedürfnissen des CIO (d. h. der Verfügbarkeit von Lösungen) in Einklang bringen. Beim Schwachstellenmanagement geht es um Kompromisse. Die Vorstellung des Konzeptes vor den Führungskräften ist eine hervorragende Gelegenheit, das Gespräch über die Möglichkeiten und Grenzen der Cybersicherheit und die daraus resultierenden strategischen Entscheidungen zu initiieren.
Ein weiterer nützlicher Rahmen, um das Verständnis des Sicherheitsmodells für Führungskräfte außerhalb der IT zu verbessern, ist das Prinzip CIA, das für Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availablity) steht.
Für CISOs, die die grundlegenden Möglichkeiten und Bedrohungen der Cybersicherheit kommunizieren müssen, bietet die Begriffstriade CIA einen harmonischen und ganzheitlichen Ansatz für die Sicherheit. Sie hilft CISOs, das nötige Verständnis und die Unterstützung für ihre Sicherheitsvision, die Incident-Response und die Ausführungsstrategie zu erhalten.
Sterling Parker
Senior-Vizepräsident für globalen technischen Support, Ivanti
Letztlich ist es die Aufgabe des CISOs, den reibungslosen Betrieb des Unternehmens zu ermöglichen. In diesem Sinne sollten CISOs mit anderen Abteilungen und Stakeholdern zusammenarbeiten, um zu verstehen, wie sich Sicherheitsereignisse auf andere Bereiche des Unternehmens auswirken können.
In Zusammenarbeit mit den wichtigsten Stakeholdern innerhalb des Unternehmens können CISOs Kennzahlen und Tools definieren und tracken, die die geschäftlichen Auswirkungen von Sicherheitsvorfällen messen – einschließlich Unternehmensreputation, Kundenzufriedenheit, Mitarbeiterengagement und Produktivität. Manchmal sind die Auswirkungen erst zeitverzögert sichtbar. Kennzahlen wie die Anzahl der formellen Beschwerden, Klagen, Medienberichte und Kundenabwanderung sollten ebenfalls gemessen und verwaltet werden.
Ziel ist es, Schwachpunkte zu beseitigen und eine fundierte Entscheidungsfindung zu ermöglichen – sowohl für das Sicherheitsteam als auch für das gesamte Führungsteam.
Dieser Report basiert auf zwei Umfragen, die Ivanti Ende 2023 und Anfang 2024 durchgeführt hat: „Everywhere Work Report 2024: Flexible Arbeit stärken” und „Report zum Stand der Cybersicherheit 2024: Wendepunkt.“ Insgesamt wurden im Rahmen dieser beiden Studien 15.000 Führungskräfte, IT-Fachleute und Büroangestellte befragt. Der Report befasst sich speziell mit den 3.059 Führungskräften, IT-Fachleuten und Sicherheitsexperten, die im Rahmen der beiden Studien befragt wurden.
Erhalten Sie wichtige Erkenntnisse und Umfrageergebnisse, einschließlich Diagrammen und Grafiken, in einem präsentationsbereiten Format
