Das Exposure Management setzt eine umfassende, sehr kontextbezogene Sicht auf das Cybersicherheitsrisiko voraus. Die neueste Studie von Ivanti dokumentiert die Neuausrichtung.
Die Angriffsfläche eines Unternehmens ändert sich ständig. Die herkömmlichen Parameter, die einst die Angriffsfläche definierten – hauptsächlich Software und Hardware – erfassen nicht mehr die gesamte Komplexität und die Anforderungen einer modernen Sicherheitsstrategie. So müssen heute Faktoren wie die Cloud, Drittanbieter, IoT, soziale Netzwerke und sogar durch menschliches Verhalten erzeugte Schwachstellen einbezogen werden.
Die Messung, Überwachung und Absicherung der Angriffsfläche eines Unternehmens erfordern einen völlig neuen Ansatz, um der wachsenden Komplexität und Raffinesse moderner Bedrohungen gerecht zu werden.
Einführung in das Exposure Management
Exposure Management ist ein umfassender, kontextbasierter Ansatz zur Bewertung von Cyberrisiken. Dabei geht es nicht darum, jedes einzelne Risiko um jeden Preis zu eliminieren, sondern bewusste Entscheidungen in Bezug auf Bedrohungen und entsprechende Gegenmaßnahmen zu treffen. Anstatt Sicherheit als isoliertes Ziel zu betrachten, setzen Unternehmen auf eine gezielte Abwägung und Gewichtung von Risiken und Chancen im Einklang mit ihren strategischen und geschäftlichen Zielen.
Führungskräfte aus dem Bereich Cybersicherheit und Wirtschaft sehen im Exposure Management einen innovativen Ansatz für das Management von Cybersicherheitsrisiken. Angesichts des breiten Spektrums von Bedrohungen, mit denen Unternehmen konfrontiert sind, und einer enormen und komplexen IT-Umgebung, ist eine permanente Abwehr aller Bedrohungen weder realistisch noch nachhaltig.
Die Studie von Ivanti zeigt, dass sich Sicherheitsexperten mit einer Vielzahl von Bedrohungen und Angriffsvektoren auseinandersetzen – von Ransomware und Phishing über Software-Schwachstellen bis hin zu Risiken in der Lieferkette.
Die Ergebnisse machen deutlich, dass viele Unternehmen in diesem Bereich Defizite aufweisen und nicht ausreichend vorbereitet sind. (Als Defizite gelten Bereiche, in denen die Bedrohungslage die bestehenden Sicherheitsmaßnahmen überfordert). Insbesondere die Abwehrbereitschaft gegenüber Ransomware-Angriffen und API-bezogenen Schwachstellen erweisen sich im Verhältnis zur tatsächlichen Bedrohungslage als besonders unzureichend.
Diese Mängel sind besonders besorgniserregend, da diese Bedrohungen durch generative KI sicherlich noch verstärkt werden. So sind beispielsweise mehr als ein Drittel (38 %) der Meinung, dass Ransomware durch den Einsatz von KI noch gefährlicher wird.
Die gute Nachricht: Die Betrachtung der Cybersicherheit als geschäftliche Priorität – ein zentrales Prinzip des Exposure Managements – wird sowohl von Sicherheitsexperten als auch von Unternehmensleitern weitgehend nachvollzogen und in der Theorie akzeptiert, auch wenn sie in der Praxis noch nicht durchgängig umgesetzt wird.
Zudem wird die Cybersicherheit auf C-Level-Ebene stark unterstützt und auch auf Vorstandsebene umfassend wahrgenommen.
Die weniger gute Nachricht: Obwohl Führungskräfte angeben, dass sie das Konzept des Exposure Managements verstehen und befürworten, setzen sie es häufig nur punktuell um – durch den Einsatz einzelner, isolierter Lösungen anstelle einer integrierten Strategie, die eine ganzheitliche Sicht auf die gesamte Risikolage des Unternehmens ermöglicht. Die Umfrage zeigt, dass dieser uneinheitliche Ansatz weitverbreitet ist.
Das Exposure Management rangiert an letzter Stelle der Investitionsprioritäten, obwohl einzelne Komponenten des Exposure Managements, wie Cyber Asset Attack Surface Management (CAASM) und External Attack Surface Management (EASM) von vielen als essenziell angesehen werden. Unternehmen mit hohem Reifegrad – also jene, die sich selbst als besonders erfahren und versiert in der Abwehr von Bedrohungen einschätzen – investieren deutlich öfter in Exposure Management (1,6-mal häufiger als weniger fortgeschrittene Unternehmen).
Die Studie von Ivanti zeigt, dass Unternehmen mit einem höheren Reifegrad im Bereich Cybersicherheit (d. h. einer selbst eingeschätzten und nachgewiesenen Fähigkeit, komplexe Bedrohungen abzuwehren) deutlich häufiger angeben, ihre Investitionen in Exposure Management zu erhöhen.
26 % der fortschrittlichen Unternehmen der Stufe 4 erhöhen ihre Investitionen, während dies bei den am wenigsten reifen Unternehmen der Stufe 1 nur 16 % tun. (Das Cybersecurity Maturity Model von Ivanti wird in Abschnitt 4 „Technische Schulden angehen“ ausführlicher beschrieben.)
Insgesamt unterstützt die Branche die Prinzipien des Exposure Managements – auch wenn viele Unternehmen noch keine konkreten Schritte zur tatsächlichen Einführung und Umsetzung unternommen haben.
Unternehmen sollten ihre Herangehensweise an die Cybersicherheit neu ausrichten, indem sie nicht nur die Notwendigkeit von Exposure Management anerkennen, sondern es auch gezielt und wirkungsvoll in ihre Sicherheitsstrategie integrieren. Eine konsequente Implementierung ermöglicht es, verlässliche Daten zur Risikobewertung und Priorisierung zu nutzen – sodass sich das Sicherheitsteam gezielt auf Bedrohungen mit dem größten Gefahrenpotenzial konzentrieren kann. Exposure Management schafft eine Verbindung zwischen Cybersecurity Operations und den übergeordneten Geschäftszielen und stellt sicher, dass Cybersicherheit nicht nur als technische Funktion betrachtet wird, sondern aktiv zur Erreichung strategischer Unternehmensziele beiträgt.
Mike Riemer
Senior Vice President, Network Security Group (NSG) and Field CISO, Ivanti
Exposure Management steht für eine Neuausrichtung in der Branche.
Es braucht eine umfassende, integrierte Betrachtung von Cybersicherheitsrisiken – einschließlich der zahlreichen Einflussfaktoren, die über IT und Cybersicherheit hinausgehen. Gleichzeitig verlangt es eine stark vernetzte, kontextbezogene Sicht auf die Sicherheitslage eines Unternehmens sowie die Abwägung von Chancen und Risiken.
Die Einführung des Exposure Managements bedeutet, neue Ansätze zur Messung, Steuerung und Kommunikation von Risiken zu erlernen und umzusetzen. Zudem wird es Sicherheitsverantwortliche dazu veranlassen, bestehende Teams, Prozesse und Lösungen grundlegend zu überdenken – auf eine Weise, die sowohl zukunftsweisend als auch hochwirksam ist.
Datensilos schwächen die Cybersicherheitsstrategie eines Unternehmens erheblich. Unternehmen haben dies inzwischen erkannt, doch es bleibt noch viel zu tun.
Datensilos schränken die Sicht auf Bedrohungen ein, verlangsamen die Reaktion auf Sicherheitsvorfälle und führen zu uneinheitlichen Sicherheitsrichtlinien und -maßnahmen im gesamten Unternehmen. Trotz jährlicher Fortschritte berichten weiterhin 55 % der Unternehmen von isolierten Sicherheits- und IT-Daten – und den damit verbundenen enormen Herausforderungen.
Die Studie hebt zudem die negativen Auswirkungen von Datensilos hervor: 62 % sagen, dass Silos die Reaktionszeiten bei Sicherheitsvorfällen verlangsamen. 53 % geben an, dass Silos die Sicherheitslage ihres Unternehmens schwächen.
Sicherheitsverantwortliche berichten außerdem über zahlreiche Bereiche, in denen Daten und Erkenntnisse fehlen oder unzureichend sind, darunter: Erkennung von Schatten-IT (45 %), zuverlässige Identifikation spezifischer Schwachstellen auf Basis bestehender Daten (41 %), Überprüfung der Patch-Compliance und Einhaltung von Patch-SLAs (37 %). All dies führt zu kritischen Blindspots in der Sicherheit, die sich auf das Verständnis der unternehmenseigenen Angriffsfläche, die Identifizierung von Schwachstellen und die Einhaltung regulatorischer Vorgaben auswirken.
62 %sagen, dass Silos die Reaktionszeiten bei Sicherheitsvorfällen verlangsamen. |
53 %geben an, dass Silos die Sicherheitslage ihres Unternehmens schwächen. |
Das Problem der Datensilos tritt besonders in der Zusammenarbeit zwischen IT und Sicherheit zutage. 44 % der Befragten geben an, dass sie Schwierigkeiten beim Management von Sicherheitsrisiken haben, da die Abstimmung zwischen beiden Bereichen herausfordernd ist. Zudem berichten 40 %, dass IT- und Sicherheitsteams unterschiedliche Tools nutzen, was die Problematik weiter verschärft.
Auch die Einstellung und Schulung der IT-Teams bereitet Sicherheitsverantwortlichen Kopfzerbrechen: 46 % der Sicherheitsexperten sagen, dass IT-Teams Cybersicherheitsprobleme nicht mit der nötigen Dringlichkeit behandeln. Zudem geben 40 % an, dass IT-Teams die Risikotoleranz ihres Unternehmens nicht richtig einschätzen.
Diese Probleme zu lösen, wird nicht einfach.
Führungskräfte und Sicherheitsexperten schätzen, dass es im Durchschnitt sechs Jahre dauern würde, die bestehenden Silos in ihren Unternehmen aufzubrechen.
Silos sind das größte Hindernis für ein effektives Exposure Management – und das betrifft weit mehr als nur Datensilos. Auch Unternehmenssilos erschweren eine ganzheitliche Sicherheitsstrategie. Sie entstehen durch isolierte Strukturen innerhalb des Unternehmens, sei es durch eine Trennung zwischen IT und Sicherheit oder durch andere Barrieren, die Abteilungen und Teams voneinander abgrenzen. Und diese können genauso schädlich sein. Zum Beispiel:
Führungssilos:
Widersprüchliche Ansätze in Management und Betrieb führen zu fehlender Fokussierung und einer ineffizienten Nutzung von Ressourcen. Für IT und Sicherheit stellen sie erhebliche Hürden dar und verlangsamen die Fähigkeit beider Teams, ihre Ziele effektiv zu erreichen. Zudem belasten sie das Budget, da Überschneidungen in den Aufgabenbereichen, redundante Technologieinvestitionen und ein ineffizienter Einsatz von Fachkräften unnötige Kosten verursachen.
Silos in Geschäftsprozessen & und Workflows:
IT und Cybersicherheit arbeiten und handeln oft unabhängig voneinander, was zu konkurrierenden Prioritäten, geringerer Produktivität und sinkender Mitarbeiterzufriedenheit führen kann.
Technologiesilos:
Technologieentscheidungen werden in Unternehmen oft auf Abteilungsebene oder situativ getroffen, um einzelne Probleme zu lösen. Dies hat massive Auswirkungen auf die Zusammenarbeit zwischen IT und Sicherheit: eingeschränkte Transparenz, geringere Effizienz und höhere technische Schulden (Tech Debts).
Letztlich muss Sicherheit ein Motor für den Geschäftserfolg sein – das ist die Grundlage einer erfolgreichen Exposure Management-Strategie. Abgesehen von den klassischen Aufgaben – wie die Minimierung von Ausfallzeiten und die Stärkung der Resilienz des Unternehmens gegenüber Bedrohungen – müssen Sicherheitsteams auch für unternehmensweite strategische Prioritäten Verantwortung übernehmen, darunter:
Um Silos zwischen Sicherheitsteams und anderen Abteilungen aufzubrechen, muss jedes Team dazu beitragen, Risiken in seinem Bereich zu identifizieren und zu managen sowie Wissen zu teilen, um die Transparenz zu erhöhen. Oft existiert eine Barriere zwischen dem CISO und dem CIO: Während sich der CIO primär auf die Geschäftsproduktivität konzentriert, liegt der Fokus des CISO auf der Sicherheit – ein Spannungsfeld, das zu Konflikten führen kann. Eine einheitliche Sicht auf Sicherheitsrisiken ist erforderlich, um Silos abzubauen und ein umfassendes Bild von Assets, Risiken und Maßnahmen zur Risikominimierung zu erhalten. Das Exposure Management bietet eine größere Chance, diese Prozesse mit der Geschäftsstrategie in Einklang zu bringen, indem es die Transparenz erhöht.
Karl Triebes
Chief Product Officer, Ivanti
Sicherheitsverantwortliche sind optimistisch, was ihre Fähigkeit zur Messung der Bedrohungslage betrifft – doch sie setzen Frameworks uneinheitlich und oft ineffektiv ein.
Das Exposure Management beruht auf einem hochentwickelten Ansatz zur Risikobewertung, der unter anderem Folgendes umfasst:
Die Studie von Ivanti zeigt, dass Sicherheitsexperten großes Vertrauen in ihre Fähigkeit haben, die Bedrohungslage zu bewerten. Die Ergebnisse deuten jedoch darauf hin, dass diese positive Selbsteinschätzung nicht immer gerechtfertigt ist. 80 % stufen sich selbst als „gut “oder „ausgezeichnet“ in ihrer Fähigkeit ein, die eigene Bedrohungslage realistisch einzuschätzen.
Die tatsächliche Definition und Quantifizierung von geschäftlichen Risiken bleibt eine Herausforderung. Zwar geben 83 % an, über ein dokumentiertes Framework zur Bestimmung der Risikotoleranz zu verfügen, doch über die Hälfte (51 %) dieser Unternehmen räumt ein, dass dieses Framework nicht konsequent eingehalten wird – was in etwa so wirkungslos ist, als gäbe es gar kein Framework.
Wenn Unternehmen ihr Risikotoleranz-Framework nicht konsequent einhalten, können die Folgen gravierend sein – von finanziellen Verlusten und Reputationsschäden bis hin zu regulatorischen Strafen.
Die Untersuchungen von Ivanti zeigen, dass sowohl Führungskräfte als auch Sicherheitsexperten Schwierigkeiten haben, die Bedrohungslage zu messen und klar zu kommunizieren. Zu den genannten Herausforderungen zählen:
Probleme mit der Messbarkeit: Unternehmen haben Schwierigkeiten, Risiken klar und objektiv zu quantifizieren.
51 %geben Fachkräftemangel als ein Hindernis für die Bewertung der Bedrohungslage an. |
49 %nennen den mangelnden Zugang zu relevanten Daten als eine Hürde bei der Bewertung der Bedrohungslage. |
Kommunikative Herausforderungen: Unternehmen stehen zudem vor der Herausforderung, der unternehmensweiten Führungsebene ein klares Verständnis der Bedrohungslage zu vermitteln.
Während 48 % der Führungskräfte überzeugt sind, dass Sicherheitsverantwortliche die Bedrohungslage der Unternehmensleitung sehr effektiv kommunizieren, teilen nur 40 % der Sicherheitsexperten diese Einschätzung.
Unternehmen erwarten von ihren CISOs zunehmend strategische geschäftliche Beratung – darunter Empfehlungen zur Einführung von KI und zum Management von Lieferkettenrisiken. Auch Vorstände sind immer stärker in diese Themen eingebunden. Unsere Untersuchungen zeigen, dass Cybersicherheit bereits fest auf Vorstandsebene verankert ist: 89 % der Befragten geben an, dass Cyberrisiken dort regelmäßig diskutiert werden, und 88 % berichten, dass CISOs an zentralen strategischen Meetings zu Geschäftsentscheidungen, Unternehmensplanung und weiteren Schlüsselthemen teilnehmen.
89 %geben an, dass Cyberrisiken in ihrem Unternehmen auf Vorstandsebene thematisiert werden. |
88 %berichten, dass CISOs zu hochrangigen strategischen Meetings über geschäftliche Entscheidungsfindung und Planung eingeladen werden. |
Und dennoch konzentrieren sich viele CISOs in erster Linie auf Ausfallrisiken, anstatt das größere Ganze im Blick zu behalten.
Um sich zu strategischen Akteuren zu entwickeln, müssen Sicherheitsverantwortliche lernen, mit ihren CEOs und Vorständen auf einer gemeinsamen Ebene zu kommunizieren – und ihr technisches Know-how in geschäftsrelevante Prioritäten zu übersetzen. Dazu gehören finanzielle und reputationsbezogene Auswirkungen von Cyberangriffen sowie die rechtlichen und regulatorischen Folgen von Datenschutzverletzungen.
Derzeit setzen Unternehmensleiter und Sicherheitsteams unterschiedliche Prioritäten. Ein Beispiel: Auf die Frage nach den relevantesten Bereichen des Cyberrisikos nannten Führungskräfte am häufigsten finanzielle Auswirkungen, etwa Umsatzeinbußen oder steigende Kosten. Sicherheitsexperten hingegen priorisierten operative Auswirkungen, wie Ausfallzeiten oder Produktivitätsverluste.
Um diese Diskrepanz zu überbrücken, ist ein grundlegender Perspektivwechsel in Sicherheitsabteilungen erforderlich – weg von der reinen Abwehr der neuesten Bedrohungen hin zu einer aktiven Förderung von Unternehmenswachstum, Innovationen und nachhaltiger Entwicklung. Die Einführung eines Exposure Management-Ansatzes – kombiniert mit einer effektiven Datenmanagementstrategie – ermöglicht es Sicherheitsteams:
Um Cybersicherheit wirklich in das Unternehmensgefüge zu integrieren, müssen CISOs die Diskrepanz zwischen technischer Expertise und Geschäftsstrategie überbrücken. Das bedeutet, Cyberrisiken in ihren konkreten geschäftlichen Auswirkungen deutlich zu machen, die abteilungsübergreifende Zusammenarbeit zu fördern und Sicherheitsmaßnahmen strategisch an den Unternehmenszielen auszurichten. Nur so wird Cybersicherheit nicht als reine Kostenstelle wahrgenommen, sondern als Treiber für Innovation und Wachstum.
Brooke Johnson
Chief Legal Counsel, Senior Vice President of Security and Human Resources, Ivanti
Technische Schulden* (Tech Debts) sind weitverbreitet und wirken sich negativ aus. Die Studie von Ivanti untersucht das Ausmaß des Problems und zeigt, wie Unternehmen damit umgehen.
* Technische Schulden bezeichnen die Kosten und geschäftlichen Auswirkungen, die entstehen, wenn Unternehmen ihre Technologien, Systeme und Anwendungen nicht regelmäßig warten. Die Abhängigkeit von veralteter Infrastruktur führt häufig zu zusätzlichen Problemen, darunter eingeschränkte Transparenz, komplexe Entwicklungs- und Implementierungsprozesse sowie der Einsatz überholter oder nicht aktualisierter Lösungen, die Schwachstellen begünstigen können.
Unter den von Ivanti befragten Sicherheits- und Führungskräften betrachtet jeder Dritte technische Schulden als ernstes Problem. Das Ausmaß der Besorgnis variiert jedoch stark je nach Branche: Im Gesundheitswesen sind die Bedenken am größten – 40 % der Befragten stufen ihre technischen Schulden als „sehr kritisch“ oder „äußerst kritisch“ ein. Dicht gefolgt von der Fertigungs- und Technologiebranche, wo ebenfalls erhebliche Bedenken bestehen.
Die Ursachen technischer Schulden sind vielfältig, doch Sicherheitsexperten nennen vor allem zwei Haupttreiber: die hohe Abhängigkeit bestehender Systeme voneinander und die Notwendigkeit, Systeme zu sichern, deren Anforderungen sich schnell weiterentwickeln. Für Brancheninsider ist es wenig überraschend, dass 51 % der befragten Unternehmen angeben, nicht mehr unterstützte Software einzusetzen.
Die Auswirkungen von technischen Schulden sind weitreichend:
„Sicherheits- und Unternehmensverantwortliche müssen ihre Budgets und Ziele bewusst aufeinander abstimmen, um Investitionen strategisch und nachhaltig zu steuern – und so die negativen Auswirkungen technischer Schulden zu vermeiden. Wenn Unternehmen ihre Technologieumgebung nicht kontinuierlich modernisieren, setzen sie weiterhin auf veraltete Lösungen – mit ungepatchten Schwachstellen, die das Risiko von Cyberangriffen massiv steigern.
Dennis Kozak
Chief Executive Officer, Ivanti
Wenn Unternehmen Drittanbieter-Lösungen und -Komponenten einsetzen, können diese Investitionen zu technischen Schulden führen, wenn sie nicht angemessen verwaltet werden. Denn mit zunehmendem Alter von Lieferkettenkomponenten steigt das Risiko, dass sie zur technischen Schuldenlast beitragen – insbesondere, wenn sie nicht regelmäßig aktualisiert und gepatcht werden.
Eine komplexe Anbieterlandschaft verschärft das Problem zusätzlich. Bei der Vielzahl unterschiedlicher Tools den Überblick zu behalten, ist eine große Herausforderung – insbesondere, da Drittanbieter-Komponenten in der Softwarelieferkette direkt zur Angriffsfläche eines Unternehmens gehören.
Die überwiegende Mehrheit der Sicherheitsexperten (84 %) hält die Überwachung der Softwarelieferkette für „sehr wichtig“, und 73 % sind überzeugt, dass sie dies „sehr effektiv“ umsetzen. Dennoch hat fast die Hälfte (48 %) bislang die am stärksten gefährdeten Komponenten in ihrer Lieferkette nicht identifiziert.
Wie sehen die Best Practices für die Softwarelieferkette aus? Wir haben Sicherheitsexperten befragt, wie sie den Cybersicherheits-Reifegrad ihres Unternehmens einschätzen – von grundlegend (Stufe 1) bis branchenführend (Stufe 4). Auf dieser Grundlage haben wir ein Cybersecurity Maturity Model entwickelt.
Anhand dieses Modells können wir erkennen, was die innovativsten Unternehmen anders machen, um ihre Softwarelieferketten zu sichern, als weniger reife Unternehmen.
Die Unternehmen, die an der Ivanti-Umfrage teilgenommen haben, gehen unterschiedlich damit um, wer für die Sicherheit von Software verantwortlich ist. Allerdings geben Unternehmen der Stufe 4 am häufigsten an, dass diese Verantwortung gemeinsam vom Softwareanbieter und dem Kunden getragen wird.
Weniger reife Unternehmen (Stufe 2) sind deutlich häufiger als reife Unternehmen der Ansicht, dass die Sicherheitsverantwortung vollständig beim Anbieter liegt. Diese Wahrnehmung kann auf begrenzte Ressourcen, mangelnde technische Expertise zur Bewältigung spezifischer Sicherheitsaufgaben oder die trügerische Annahme zurückzuführen sein, dass Cyberangriffe ausschließlich große Unternehmen mit sensiblen Daten betreffen.
Unabhängig vom Grund kann die Überzeugung, dass allein der Anbieter für die Sicherheit zuständig ist, zu einem falschen Sicherheitsgefühl führen. Zudem neigen diese Unternehmen dazu, sich übermäßig auf vom Anbieter bereitgestellte Lösungen zu verlassen und dabei die Implementierung mehrschichtiger Sicherheitsmaßnahmen und Best Practices zu vernachlässigen.
Softwaresicherheit sollte als gemeinsame Verantwortung gesehen werden.
Die Anbieter sind für die Umsetzung sicherer Entwicklungspraktiken verantwortlich, einschließlich regelmäßiger Code-Reviews, Schwachstellen-Scans und Penetrationstests während des gesamten Lebenszyklus der Softwareentwicklung. Und sie müssen rechtzeitig Sicherheitsupdates und Patches bereitstellen, um neu entdeckte Schwachstellen zu beheben.
Außerdem müssen Unternehmen sich dazu verpflichten, Sicherheitsupdates und Patches zeitnah anzuwenden sowie einen systematischen Prozess zum Tracking und zur unternehmensweiten Implementierung dieser Updates zu etablieren. Zudem sollten sie starke Zugriffskontrollen einführen und kontinuierlich pflegen – einschließlich rollenbasierter Zugriffsrechte und regelmäßiger Überprüfung der Benutzerprivilegien. Ebenso ist die Durchführung regelmäßiger Sicherheitsaudits essenziell, darunter Schwachstellen-Scans und Penetrationstests, um potenzielle Sicherheitslücken konsequent und fortlaufend zu identifizieren.
Effektive Cybersicherheit muss über die herkömmliche Betrachtung von Risiken hinausgehen.
Da sich die digitale Präsenz von Unternehmen stetig vergrößert – mit einer zunehmend verzweigten Kombination aus lokalen Infrastrukturen und Cloud-Services – wächst ihre Angriffsfläche in rasantem Tempo. Doch das Problem liegt nicht nur in der schieren Größe und Komplexität dieser Angriffsfläche.
Unternehmen können in der heutigen Umgebung nicht jedes Risiko vollständig ausschalten. Die Bedrohungslage entwickelt sich kontinuierlich weiter, komplexe Technologien sind von Natur aus anfällig, und Unternehmen müssen mit begrenzten Ressourcen arbeiten.
Die Situation erfordert daher einen intelligenteren und anpassungsfähigeren Ansatz für Cybersicherheit – einen, der Sicherheit nicht als absolutes Schutzprinzip betrachtet, sondern als dynamische Abwägung zwischen geschäftlichen Risiken und Chancen.
Exposure Management bietet einen intelligenteren Ansatz für das Risikomanagement.
Die Umfrage von Ivanti zeigt, dass das Konzept des Exposure Managements weitgehend bekannt ist: So geben 49 % der Sicherheitsfachkräfte an, dass ihre Unternehmensleitung über ein hohes Verständnis für Exposure Management verfügt. Dennoch setzen nur wenige Unternehmen diesen Ansatz aktiv um. Lediglich 22 % planen, ihre Investitionen in Exposure Management im Jahr 2025 zu erhöhen.
Exposure Management bietet Unternehmen einen differenzierteren und zugleich effektiveren Ansatz für das Risikomanagement. Dies gelingt, indem nicht nur Cyberrisiken isoliert betrachtet werden, sondern das gesamte Spektrum der geschäftlichen Risiken einbezogen wird.
Doch um Exposure Management wirklich zu implementieren, müssen Unternehmen einen anspruchsvollen Prozess durchlaufen: Dazu gehört, die vorhandenen Daten so zu aggregieren, dass wirklich alle Aspekte der Angriffsfläche des Unternehmens berücksichtigt werden, risikobasierte Analysen auf Grundlage belastbarer Daten durchzuführen – einschließlich der unternehmenseigenen Risikotoleranz – und die begrenzten Ressourcen gezielt auf die Schwachstellen zu lenken, die das größte Risiko für das Unternehmen darstellen.
Und um Exposure Management in die Praxis umzusetzen, müssen Unternehmen endlich bestehende Silos aufbrechen – nicht nur innerhalb der Sicherheitsabteilung, sondern im gesamten Unternehmen. Dadurch erhalten Sicherheitsteams die nötigen Möglichkeiten, potenzielle Bedrohungen für das gesamte Unternehmen zu identifizieren, zu bewerten und nach Schweregrad, Wahrscheinlichkeit und Auswirkungen zu kategorisieren.
Die meisten Unternehmen halten jedoch an ihren gewohnten Strukturen fest und tun sich schwer damit, Daten- und Unternehmenssilos wirklich aufzubrechen. Zum Beispiel:
Die hohe Komplexität in der heutigen Bedrohungslandschaft erfordert innovative Ideen und Ansätze – und es liegt an den Sicherheitsverantwortlichen, diesen Wandel voranzutreiben.
Es ist an der Zeit, dass Cybersicherheitsteams eine strategischere Rolle übernehmen: Sie müssen kritische Assets schützen, das Vertrauen der Kunden bewahren, globale Compliance-Anforderungen erfüllen und die Geschäftskontinuität sichern – kurz gesagt, sie tragen maßgeblich zur Resilienz und Wettbewerbsfähigkeit des Unternehmens bei. Dies erfordert eine neue Ebene der Zusammenarbeit und Kommunikation zwischen Sicherheitsverantwortlichen und der Geschäftsleitung – ein grundlegendes Umdenken und für viele Unternehmen sogar eine Neuausrichtung der Unternehmenskultur.
Ivanti befragte im Oktober 2024 über 2.400 Führungskräfte und Cybersicherheitsexperten. Unser Ziel ist es, die dringlichsten Bedrohungen der Cybersicherheit sowie neue Trends, Chancen und Geschäftsstrategien zu verstehen.
Im Rahmen der Studie haben wir ein Cybersecurity Maturity Model entwickelt (– mehr dazu in Abschnitt vier). Die Erhebung von Daten durch Selbstauskünfte bringt gewisse Einschränkungen mit sich, da Einschätzungen häufig subjektiv sind. Dennoch sind wir überzeugt, dass die Ergebnisse dieses Modells wertvolle Einblicke in das aktuelle Cybersicherheitsumfeld bieten. Wir empfehlen den Leser*innen, diese Einschränkungen bei der Interpretation der Ergebnisse zu berücksichtigen.
Diese Studie wurde von Ravn Research durchgeführt. Die Teilnehmenden wurden von MSI Advanced Customer Insights ausgewählt. Die Umfrageergebnisse sind nicht gewichtet. Weitere länderspezifische Daten sind auf Anfrage erhältlich.
