Viel Geldd für Cyber Security ecurity
Unternehmenmen lassen sich IT-Sicherheiteit mehr kosten
Keine Frage, die Unternehmen in Deutschland müssen mehr für ihre IT-Sicherheit tun, viele erleiden folgenschwere Cyberattacken und müssen hohe Schäden hinnehmen. Der höhere Bedarf für Cyber Security liegt erst recht auf der Hand, wenn man an den Digitalisierungsschub in Zeiten der CoronaPandemie und an die erhöhten Risiken im Home Office denkt. Doch können und werden die Unternehmen ihre Security-Investitionen steigern, wenn die wirtschaftliche Lage eher als unsicher empfunden wird und viele Betriebe Umsatzeinbußen erlitten haben?
Wie die aktuelle Studie „Cyber Security 2020“von COMPUTERWOCHE und CIO in Kooperation mit Microsoft, Cisco Secure, Drivelock, F-Secure, Infinigate, McAfee, Micro Focus, Trend Micro und Airlock zeigt, wird an der ITSicherheit in den kommenden Monaten und Jahren wohl tatsächlich nicht gespart werden.
Theorie und Praxis driften auseinander
Mehr als drei Viertel der Unternehmen wollen hier stärker investieren. Doch es gibt ein Problem: Die Security-Vorhaben entsprechen nicht immer den Herausforderungen, denen sich die Unternehmen ihren Angaben zufolge stellen müssen. Sie wünschen sich das eine, investieren aber in einen anderen Security-Bereich.
Beispielsweise sind viele Firmen von den Vorteilen eines Zero-Trust-Konzepts überzeugt, immerhin hilft ein solches Modell auch gerade bei der Absicherung von Remote Workplaces. Doch nur fünf Prozent planen entsprechende Investitionen, wie die aktuelle Studie zeigt.
Endpoints statt Cloud
Offensichtlich gibt es eine Diskrepanz zwischen dem, was für richtig erachtet wird, und dem tatsächlichen Verhalten. In der öffentlichen Diskussion steht zusätzliche Sicherheit im Home Office hoch im Kurs. Befragt nach den größten Herausforderungen in der Security, nennen aber nur vier Prozent der Vorstände und Geschäftsführer die Anbindung ihrer Mitarbeiter in den Home Offices. Auch die Absicherung von Cloud-Diensten, die bei Remote Work besonders wichtig ist, gehört nach Ansicht der Befragten nicht zu den größten Security-Aufgaben. Es sind die Endpoints, die den Unternehmen das größte Kopfzerbrechen bereiten.
Nun sind Endgeräte tatsächlich von entscheidender Bedeutung, im Home Office, genauso wie als Zugang zu den Cloud-Services. Doch reicht weder die Endpoint Security aus, um Heimarbeitsplätze abzusichern, noch wird die Endgeräte-Sicherheit von den Unternehmen in der Praxis ausreichend durchgeplant und umgesetzt. Wie die Studie zeigt, fehlen vielen Unternehmen die entsprechenden Sicherheitsrichtlinien für Endpoints. Ebenso sind die geplanten Investitionen für Endpoint Security vergleichsweise gering.
Sicherheit braucht Offenheit
Man kann diese Diskrepanzen am besten verstehen, wenn man sich die Umbruchsituation vergegenwärtigt, in der sich die Betriebe mit ihren Security-Konzepten befinden. Alles scheint im Fluss zu sein, am beständigsten ist bekanntlich der Wandel. Da ist es nur schlüssig, wenn sich die Firmen offenhalten wollen, wie sie ihre Security genau umsetzen. Nur vier Prozent der Betriebe halten es für unwichtig, ob ihre Security-Systeme offen sind, um Lösungen anderer Anbieter integrieren zu können. Vorständen und Geschäftsführern ist die Offenheit sogar noch wichtiger als der IT-Leitung.
Die sich dynamisch ändernde Lage erfordert eine flexible, offene Sicherheitsarchitektur.
Mit der gewünschten Offenheit geht der Bedarf an Integration der Security-Lösungen einher.
Im Idealfall sollen die verschiedenen SecurityLösungen automatisch in der Identifizierung von Risiken, dem Erkennen von Bedrohungen und dem Abwehren von Angriffen zusammenarbeiten. 51 Prozent der befragten Unternehmen automatisieren auch bereits Teile ihrer Security. Dabei wird zum Beispiel die Abwehr automatisiert, nicht aber das Erkennen von Angriffen. Manuelle Vorarbeiten können jedoch zu einem Engpass für die Automatisierung führen. Auch hier zeigt sich die notwendige Neuorientierung der Cybersicherheit hin zu einem tatsächlich umfassenden Schutz.
KI ja, Outsourcing nein
Auch wenn sehr viel über den Fachkräftemangel in der Security diskutiert wird, halten nur 19 Prozent der befragten Unternehmen die (zu geringe) Zahl an Security-Personal im Unternehmen für eine der größten Herausforderungen. Entsprechend wird das Outsourcing von Security-Funktionen auch nur von einer Minderheit favorisiert. 55 Prozent der Unternehmen sagen sogar, dass das Outsourcen der Security für ihr Unternehmen nicht in Frage kommt.
Scheinbar verspricht man sich wenig von der Auslagerung dieser sensiblen Aufgabe, aber viel von der künstlichen Intelligenz (KI) in der Security. 48 Prozent der Unternehmen nutzen bereits KI in ihren Security-Konzepten. Weitere 25 Prozent planen dies in den kommenden zwölf Monaten.
Was Security by Design braucht
Vieles in den Security-Konzepten erscheint noch als Stückwerk, während die Digitalisierung sich rasant weiter beschleunigt. Auch die zunehmend komplexe Bedrohungslage im Internet und die fortschrittlichen, intelligenten Attacken fordern die Cybersicherheit heraus.
Security muss nicht nur Schritt halten, sondern eigentlich immer schon da sein, wenn die Digitalisierung kommt. Will man kurzfristig Remote Work aus dem Home Office ermöglichen können, gibt es kaum Zeit dafür, langwierig die Security-Maßnahmen zu planen und die notwendige Cyber-Sicherheit herzustellen.
Es wird sehr deutlich, dass Security by Design nicht nur ein Wunschkonzept in vielen Compliance-Vorgaben ist, sondern eine ideale und notwendige Grundlage der Cyber Security, da sich die Anwenderunternehmen dann weniger um die Sicherheit ihrer Endgeräte, den richtigen Schutz im Home Office und die Absicherung der Cloud-Dienste kümmern müssten, sondern „nur noch“um die Einrichtung digitaler Arbeitsplätze.
Die Wirklichkeit in der Security sieht bekanntlich anders aus, denn Security by Design ist noch lange keine Selbstverständlichkeit. Auch dazu gibt die aktuelle Studie spannende Einblicke. So sind nicht nur die IT-Hersteller gefordert, sondern auch die Anwenderunternehmen selbst. Der Grund: Die meisten Anwenderunternehmen sind auch selbst Hersteller von ITLösungen. Nur sieben Prozent der befragten
Unternehmen entwickeln keine eigene Software.
Die Sicherheit bei den Eigenentwicklungen stellt bei 34 Prozent die Projektentwicklung selbst sicher, sie tauscht sich nur mit der SecurityAbteilung aus. Elf Prozent der Entwicklungsabteilungen machen nicht nur ihre eigene Security, sie arbeiten auch nicht mit der Security-Abteilung zusammen.
Bei der Komplexität der IT-Lösungen und IT-Risiken ist es erstaunlich, dass sich viele Unternehmen nicht ihrer Security-Ressourcen bedienen, wenn es um die Sicherheit in der Softwareentwicklung geht. Nicht ohne Grund ist Security-Expertise stark gefragt, und man kann nicht davon ausgehen, dass dieses Knowhow in den Entwicklungsabteilungen im benötigten Umfang vorhanden ist.
Security im Unternehmensdesign verankern
Auch hier ist dringend eine Neuorientierung in der Cyber-Sicherheit erforderlich: Die Security ist keine Abteilung, die eine andere Abteilung zu Rate ziehen kann oder eben nicht. Die CyberSicherheit ist die Basis jeder Entwicklung und der gesamten Digitalisierung. Die Unternehmen haben die Cyber-Bedrohungen in der aktuellen Befragung „Cyber Security 2020“als das größte Betriebsrisiko eingestuft, sie erhöhen auch mehrheitlich ihre Security-Investitionen.
Organisation und Automatisierung
Doch es müssen auch die richtigen Schlüsse und Taten folgen: So hilft eine offene, integrierte Security, wie sie gewünscht wird, nur dann, wenn die Security wirklich durchgehend organisiert und wo möglich automatisiert wird. Insellösungen für die Security in der Entwicklungsabteilung sind ebenso wenig ein sinnvoller Weg wie eine Automatisierung bestimmter Teilfunktionen, die von manuell erbrachten Security-Leistungen abhängen.
Die von der Security geforderte Offenheit bei den Lösungen muss auch in der Risikowahrnehmung der Unternehmen und in den Unternehmen selbst herrschen. Nur so können die Investitionen und Maßnahmen zu den erkannten Herausforderungen passen, und nur dann kann es wirklich zu Security by Design kommen, wenn Sicherheit grundsätzlich im „Unternehmensdesign“verankert wird.