Gefahr im Verzug: Nach den großen Ransomware-Wellen und den weitreichenden Veränderungen in den IT-Landschaften durch die COVID-Pandemie führen nun auch die geopolitischen Folgen des Ukraine-Kriegs dazu, dass viele Organisationen erneut Anpassungen an ihrer Cyberverteidigung vornehmen müssen. Den geplanten Maßnahmen zur Optimierung der Security-Landschaft stehen allerdings zahlreiche, gewichtige Herausforderungen entgegen, denen Unternehmen dringend Aufmerksamkeit widmen müssen.
Die neue IDC-Studie „Cybersecurity in Deutschland 2022“ hat aufgedeckt, wie Organisationen mit den neuen Rahmenbedingungen umgehen wollen und welche Hürden dabei zu überwinden sind:
- Fast die Hälfte der Organisationen plant wegen der geopolitischen Folgen des Ukraine-Kriegs eine Anpassung ihrer Cyberbereitschaft und -verteidigung
- Mit 36 Prozent ist Cloud-Security aktuell die häufigste strategische Priorität
- Sicherheitskomplexität ist mit 27 Prozent erneut die häufigste Cybersecurity-Herausforderung, aber auch der Fachkräftemangel ist mit 19 Prozent in den Top 3
IDC hat im September 2022 in Deutschland branchenübergreifend Security-Verantwortliche aus 206 Unternehmen mit mehr als 100 Mitarbeitern befragt, um detaillierte Einblicke in die Herausforderungen, Vorgehensweisen und Pläne beim Aufbau und Betrieb von Security-Landschaften im Kontext der gegenwärtigen IT- und Business-Entwicklungen zu erhalten.
Security-Komplexität häufigste Herausforderung – Fachkräftemangel bremst Gegenmaßnahmen
Organisationen in Deutschland stehen aktuell stark unter Druck. Mehr als die Hälfte von ihnen ist besorgt um die aktuelle Risikolage in ihrem Geschäftsfeld. 43 Prozent der Betriebe verzeichnen in den letzten 12 Monaten eine Zunahme der Cyberangriffe und für die Zukunft erwarten 51 Prozent einen weiteren Anstieg. Gegenmaßnahmen sind daher geboten und auch geplant: 47 Prozent der befragten Organisationen passen wegen der geopolitischen Folgen des Ukraine-Kriegs ihre Cyberbereitschaft und -verteidigung an.
Die Umsetzung der Maßnahmen wird allerdings von zahlreichen Herausforderungen begleitet. Eine zentrale ist die Security-Komplexität, die für gut jedes vierte Unternehmen ein Problem darstellt und nun im zweiten Jahr in Folge am häufigsten als Sicherheitsherausforderung genannt wird. Wenn nicht konsequente Gegenmaßnahmen ergriffen werden, ist eine baldige Besserung nicht in Sicht, denn zwei Drittel der Befragten geben an, dass ihre Security-Landschaften in den letzten 12 Monaten komplexer geworden sind und 71 Prozent gehen davon aus, dass die Komplexität in den nächsten 12 Monaten weiter zunimmt. Hinzu kommt der deutlich werdende Fachkräftemangel.
Fast zwei Drittel der Befragten haben bereits einen akuten Security-Fachkräftemangel oder erwarten einen solchen für das kommende Jahr und für 19 Prozent ist er bereits eine der Top-Herausforderungen. Dieses Problem schwelt bereits seit Längerem und wurde auch in IDC-Studien der letzten Jahre zwar weniger häufig aber immer wieder genannt. Steigende Angriffszahlen, größere Security-Komplexität und immer mehr Arbeitslast führen zu einer zunehmenden Eskalation, während aus Sicht von IDC gleichzeitig keine ausreichenden Gegenmaßnahmen ergriffen wurden. Die Bewältigung vieler oder sogar aller anderen Herausforderungen hängt nach Meinung von IDC stark davon ab, dass die Kernherausforderungen Security-Komplexität und Fachkräftemangel beseitigt werden
Cloud Security für jedes Dritte Unternehmen Priorität – Automatisierung nur für jedes zehnte
Unter den strategischen Sicherheitsthemen sticht vor allem die Cloud-Sicherheit hervor, die mit 36 Prozent mit Abstand die häufigste Priorität für Betriebe ist. „Die zunehmende Cloud-Nutzung für immer mehr kritische Prozesse und die dadurch steigende Abhängigkeit bei gleichzeitig steigender Bedrohungslage macht umfangreiche Maßnahmen zu ihrer Absicherung auch absolut notwendig“, sagt Marco Becker, Consulting Manager bei IDC und Studienleiter. Mit 22 Prozent ist Endpoint Security die zweithäufigste Top-Herausforderung. Die zunehmende Nutzung von Endgeräten für Remote Work und die starke Dezentralisierung von Endpoints durch (Industrial) Internet of Things und Edge Computing erhöhen das Gefährdungspotenzial. Mit 19 Prozent auf dem dritten Rang befinden sich Secure Backups und Desaster Recovery.
Diese Priorität leitet sich vor allem aus dem großen Erfolg von Ransomware ab und ist nach Meinung von IDC berechtigt, denn bei 88 Prozent der erfolgreichen Ransomware-Angriffe auf Studienteilnehmer wurden auch die Backups ganz oder teilweise verschlüsselt. Etwas zu wenig Aufmerksamkeit bekommt mit neun Prozent Security Automation und Orchestration. „Gemessen an der Security-Komplexität und dem Fachkräftemangel sollte diesem Thema wesentlich mehr Aufmerksamkeit beigemessen werden“ rät Becker.
Externe Security aus lokalen Anbieter-Clouds laut Hälfte der Befragten am sichersten
Bereits rund 80 Prozent der Unternehmen betreiben mindestens die Hälfte ihrer Security-Infrastrukturen in externen Umgebungen, um die eigene Security-Komplexität zu reduzieren, das Security-Personal zu entlasten oder das Security-Knowhow zu ergänzen. Etwas mehr als die Hälfte findet sogar, dass externen Security-Infrastrukturen, die in Colocation- und Cloud-Umgebungen gehostet oder als SaaS bezogen werden können, sicherer sind als die eigene On-Premises-Security. Lokale Anbieter-Clouds sind für 47 Prozent der Befragten das sicherste Bereitstellungsmodell. Auch spezifische externe Security-Services wie Beratungen, Assessments und Analysen können sinnvoll sein. Beispielsweise Security Implementation Services, falls das eigene Security-Personal ausgelastet ist oder nicht die richtigen Fähigkeiten zur Implementierung neuer Sicherheitslösungen besitzt. Diese sind mit 27 Prozent der häufigste Investitionsbereich für Maßnahmen und Services zur Unterstützung der Security Operations. Auch in Services wie Cyber Recovery und Cybervaults (26 Prozent), Ransomware Assessments (20 Prozent) oder Security Consulting (16 Prozent) wird häufig investiert, um von externer Security-Expertise Gebrauch zu machen.
Mehrheit bereit Lösegeld zu zahlen – Cyberversicherungen von 80 Prozent geplant oder genutzt
Ransomware ist immer noch eine große Gefahr. 70 Prozent der befragten Organisationen waren in den letzten 12 Monaten betroffen und nur gut die Hälfte von ihnen konnte die Attacken abwehren oder rechtzeitig isolieren. Das scheint Spuren zu hinterlassen, denn insgesamt 52 Prozent waren oder sind bereit, die Erpresser zu bezahlen. Unter bereits Angegriffenen ist die Bereitschaft besonders hoch. Ärgerlich ist, dass viele bezahlen, weil sie wollen, dass die Systeme schneller wieder funktionieren und nicht, weil sie Angst vor einer Veröffentlichung exfiltrierter Daten haben oder sich mangelnde Schutzmaßnahmen eingestehen. Das ist aus einer Business-Continuity-Perspektive auch grundsätzlich richtig, aber hier ist IDC der Meinung, dass mehr Anstrengungen und Investitionen für eigene dauerhafte Schutz- und Backupmaßnahmen sinnvoller und nachhaltiger wären – zumal eine Bezahlung kein Garant für erfolgreiche Entschlüsselung ist.
Auch Cyberversicherungen haben schnell Anklang gefunden. Insgesamt vier von fünf Unternehmen sind bereits versichert oder planen es innerhalb der nächsten 12 Monate zu sein. Vor allem diejenigen ohne erfolgreiche Ransomware-Abwehr haben oder planen häufig eine Versicherung. Das lässt vermuten, dass viele in Cyberversicherungen einen Ersatz für Security-Maßnahmen sehen. IDC warnt aber davor, so zu denken, denn Cyberversicherungen können Schäden nicht verhindern, sondern nur die wirtschaftlichen Einbußen mindern oder ausgleichen. Verlorenes Vertrauen und Reputation können Versicherungen nicht ersetzen.
Security-Leadership und -Kultur in den Unternehmen großteils weiterhin ausbaufähig
Die Integration von Security und Unternehmensführung ist wichtig, für die Berücksichtigung von Cybersecurity in strategischen Überlegungen und zur Etablierung einer Security-Kultur. Gerade das Fehlen des letzten Aspekts bemängelt IDC immer wieder. Mittlerweile ist zwar bereits in 61 Prozent der befragten Unternehmen der CISO oder Security-Leiter auch Teil von Geschäftsführung oder Vorstand, aber gleichzeitig ist deren Einflussnahme auf die Security nicht entschieden genug. 55 Prozent der Befragten geben an, dass die Dringlichkeit für Security-Maßnahmen meist nur in den Security-Abteilungen und nicht im Vorstand empfunden wird.
Bei der Umsetzung von Zero Trust geben 52 Prozent an, dass eine der größten Herausforderungen der unüberwindbare Widerstand der Geschäftsführung gegen Veränderungen ist. Zudem haben zwar 75 Prozent der Unternehmen eine vollständige Sicherheitsstrategie aber nur bei weniger als der Hälfte wird sie auch einheitlich in der gesamten Organisation umgesetzt. Aus Sicht von IDC sind daher in vielen Betrieben weitere Anstrengungen zum Aufbau einer Security-Kultur und von entsprechendem Leadership nötig. Dieses ist auch wichtig zur Förderung von „Digital Sovereignty“, der digitalen Unabhängigkeit und Selbstbestimmung durch lokale IT-Kompetenz und entsprechende Kontrolle über diese. Die jüngsten wirtschaftlichen und geopolitischen Ereignisse haben „Digital Sovereignty“ für vier von fünf der befragten Unternehmen wichtiger gemacht – für 27 Prozent sogar „viel wichtiger“ mit strategischen Auswirkungen.
Fazit – Ohne entschlossene Maßnahmen droht die Niederlage im Wettlauf gegen Cyberkriminelle
Bei der Verbesserung der Cybersicherheit gibt es nach Ansicht von IDC auch nach der Analyse der diesjährigen Studienergebnisse noch viel Optimierungspotenzial. Standardlösungen und ein grundsätzlich gutes Verständnis für die Probleme und Security-Herausforderungen sind in den meisten Unternehmen vorhanden, aber nun gilt es, vorhandene Security-Lösungen effektiv zu nutzen. Dafür ist aus Sicht von IDC die Reduzierung der Security-Komplexität eine der wichtigsten Stellschrauben. Ein zweites Problemfeld ist der zunehmende Personal- und Fachkräftemangel für Security. IDC geht nicht davon aus, dass sich dieser kurzfristig bessert, sondern sich noch weiter zuspitzt.
Vor allem die Wechselwirkung von Komplexität und Fachkräftemangel ist hochgefährlich: Beide katalysieren sich gegenseitig, denn je größer die Komplexität desto mehr Personal wird gebraucht, um ihr Herr zu werden und je größer der Fachkräftemangel, desto weniger kann gegen die Komplexität unternommen werden. Ohne eine kluge Mischung aus intensiver Aus- und Fortbildung von Security-Personal, verstärkten Investitionen in Security Automation, Orchestration und Intelligence und einer Ergänzung der eigenen Security-Fähigkeiten durch externe Security-Infrastrukturen und -Services, laufen aus Sicht von IDC viele Organisationen Gefahr, die Kontrolle im Wettlauf gegen Cyberkriminelle zu verlieren.
Dafür ist es essenziell, dass Geschäftsführung und Vorstand endlich klare Verantwortung für Security übernehmen und eine ganzheitliche Cybersecurity-Kultur und die Integration von Business und Cybersecurity vorantreiben. Die zunehmende Abhängigkeit von IT bei der Gestaltung des Kundenerlebnisses, die geopolitischen Folgen des Ukraine-Kriegs sowie stark steigende kommerzielle Cyberkriminalität machen die Erhaltung des immer wichtiger werdenden digitalen Vertrauens von Kunden und Partnern essenziell für das Geschäft. Während im Schatten der Krisen einige IT-Maßnahmen vorerst aufgeschoben werden, ist Cybersicherheit als Garant für die eigene Sicherheit und zur Sicherung der Existenz wichtiger und dringlicher denn je.
Neueste Kommentare
Noch keine Kommentare zu Unternehmen erwarten Security-Fachkräftemangel
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.