Sicherheitsthemen in Planung von Neuentwicklungen integrieren

Wie kann man die unterschiedlichen Interessen in Unternehmen zum Thema Cyber-Security erfolgreich kanalisieren und beherrschen?

Die Komplexität des Themas Cyber-Security macht es für Unternehmen schwierig, die richtigen Ansatzpunkte zu finden



Devoteam hat gemeinsam mit IDC eine Umfrage zum Thema Cyber-Security "A Plan for Security Transformation" durchgeführt und die Ergebnisse veröffentlicht. Die drei Schwerpunktthemen der Umfrage werden von Devoteam auch in Form von Whitepapers bereitgestellt. Die Umfrage zeigt, dass die Business-, Security- und IT-Entscheider in den Unternehmen noch immer unterschiedliche Prioritäten hinsichtlich der Umsetzung von Cyber-Security haben. Teilweise wird auch die Sicherheit von Informationssystemen und Netzen noch als Einschränkung des Kerngeschäftes wahrgenommen.

Wichtigste Erkenntnisse aus der Umfrage:

Die funktionalen Entscheidungsträger haben unterschiedliche Prioritäten beim Thema Verbesserung der Cyber-Security im Unternehmen.

Die befragten Stakeholder-Gruppen orientieren sich an den Hauptzielen einer Digitalen Transformation, wie Innovation, Kreation von Produkten/ Dienstleistungen und Beschleunigung bei der Markteinführung. Die funktionalen Entscheider haben dabei jeweils eigene Prioritäten. Nach der Umfrage erwarten 58,28 Prozent der Business Manager von der Security Transformation eine Verbesserung des Engagements der Geschäfts­bereiche. Für 61,97 Prozent der IT-Verantwortlichen ist die Systemintegration das übergeordnete Ziel, während für die Security-Verantwortlichen vor allem die Informationssicherheit (65,28 Prozent) im Vordergrund steht. Derartige konkurrierende Prioritäten sind nicht förderlich für eine erfolgreiche Transformation der Geschäftsabwicklung durch die Digitalisierung.

Die Einhaltung der Rechtsvorschriften und die Neuausrichtung der Unternehmen hin zu digitalen Vertriebskanälen gehören ebenfalls zu den Prioritäten, diese wurden von den Befragten an die zweite bzw. dritte Stelle ihrer Prioritätenliste gesetzt.

Die Komplexität des Themas Cyber-Security macht es für Unternehmen schwierig, die richtigen Ansatzpunkte zu finden.

Budget-Zwänge behindern die Verbesserung der Informationssicherheit in Unternehmen und Organisationen. Bei der Auswertung der Umfrage über alle Entscheider-Profile hinweg kam es zu folgendem Bild: 47,09 Prozent aller Befragten sehen das Budget, vor dem Fachkräftemangel (40,93 Prozent) und der Fragmentierung bzw. der mangelnden Integration des Produktportfolios von Sicherheitsprodukten (39,93 Prozent) als größte Herausforderung.

Im Einzelnen positionieren die Business Manager an erster Stelle der Herausforderungen die Budget-Zwänge (52,98 Prozent), gefolgt von Qualifikationsdefiziten (43,71 Prozent) und den Schwierigkeiten die Sicherheits- mit Unternehmens- und Produktivitätsprioritäten in Einklang zu bringen (41,72 Prozent). Auch die Security-Entscheider priorisieren die Budget-Engpässe, jedoch gefolgt von der Fragmentierung oder der mangelnden Integration des Produktportfolios von Sicherheitsprodukten (43,2 Prozent) und dem Fachkräftemangel (39,81 Prozent). Während die IT-Entscheider die Fragmentierung oder mangelnde Integration des Produktportfolios im Sicherheitsbereich an die erste Stelle gesetzt haben, gefolgt von dem Fachkräftemangel (40,17 Prozent) und den Budget-Zwängen (39,74 Prozent).

Diese Ergebnisse zeigen, wie schwierig es für die meisten Unternehmen ist, die richtige Balance zwischen den Informationssicherheitsthemen und der betrieblichen Effizienz zu finden.

Die Integration der Informations- und IT-Sicherheit in den Planungsprozess einer jeden neuen Entwicklung im Unternehmen ist eine wesentliche Erkenntnis der Umfrage.

Obwohl die meisten Unternehmen und Organisationen sich über die Vorteile von "Security by Design" einig sind, haben es nur wenige bereits in die Praxis umgesetzt. Bei dem Launch neuer Projekte und Initiativen ist die Informationssicherheit bei mehr als einem Drittel der befragten Unternehmen und Organisationen ein Aspekt, der erst nachträglich betrachtet wird. "Security by Design" ist nur bei 13 Prozent der befragten Unternehmen bereits in den Regelprozess integriert. Fast die Hälfte der befragten Entscheider (49,78 Prozent) betrachten "Security by Design" immer noch ad hoc oder von Fall zu Fall.

Die Umfrage zeigt auch, dass 92,2 Prozent der Unternehmen Risikomanagement und Risikomodellierung in ihre Strategieplanung einbeziehen und 81,4 Prozent der Unternehmen bestätigen, dass Cyber-Security in ihrer Unternehmensmanagementstrategie widergespiegelt ist. Nur 26 Prozent der befragten Unternehmen betrachten jedoch Cyber-Security bereits bei der Planung neuer Geschäftsinitiativen.

Aufforderung zur Überprüfung der Governance für die Cyber-Security.

Der Chief Information Security Officer (CISO) sollte, um eine bessere Transparenz hinsichtlich der Geschäftsrisiken zu schaffen, eine Schlüsselrolle im Unternehmen einnehmen. Als Manager im Unternehmen ist der CISO der einzige der Cyber-Bedrohungen und Geschäftsrisiken, die von den eingesetzten Informationssystemen ausgehen, darstellen und notwendige und geeignete Lösungen aufzeigen kann. Es liegt in der Verantwortung des CISO einen risikobasierten Ansatz für die Cyber-Security im Unternehmen durch den Einsatz geeigneter Werkzeuge über alle Funktionen hinweg und vor allem durch Schärfung des Bewusstseins für die Geschäftsrisiken einzuführen. Ziel ist es, Interessenkonflikte hinsichtlich der Governance, der Leitlinien und des Managements der Cyber-Security innerhalb der Organisation zu.

Präambel

Da die Umfrage vor der Coronavirus-Krise durchgeführt wurde, sind die Ergebnisse umso wertvoller. Die Zunahme von Cyber-Angriffen während der COVID-19-Pandemie hat leider gezeigt, dass die Widerstandsfähigkeit im Business zunehmend auf digitale Systeme angewiesen ist und damit auf die Fähigkeiten unser Geschäft vor Bedrohungen von außen und innen zu schützen. Diese Notwendigkeit wurde durch die Krise lediglich verschärft. Die Herausforderungen für ein Unternehmen bestehen jedoch nicht darin den Schaden zu begrenzen, sondern unabhängig davon was passiert, das Geschäft aufrecht zu erhalten und wettbewerbsfähig zu bleiben.

Die Digitale Transformation kristallisiert sich auf Unternehmenskultur und -ziele.

Alle Befragten (100 Prozent) haben bestätigt, dass bereits ein digitales Transformationsprogramm in ihrem Unternehmen ausgerollt ist. Diese Aussagen, müssen jedoch relativiert werden, da es für die Befragten nicht immer die gleiche Bedeutung hat. Für die Business Manager bedeutet Digitale Transformation in erster Linie die Schaffung neuer Produkte/ Dienstleistungen, Beschleunigung der Markteinführung (62,3 Prozent), während der gleiche Prozentsatz der IT-Entscheider meint, es gehe in erster Linie darum, die User-Experience zu verbessern um die "Loyalität und die Kundenbindung zu fördern". Gleichzeitig geht es bei fast zwei Dritteln der Security-Manager (65,9 Prozent) vor allem um den verstärkten Einsatz datengestützter Entscheidungsfindung.

Unterschiedliche Erwartungshaltung:

Business-Manager erwarten ein besseres Engagement als Priorität der Digitalen Transformation. Während die IT-Entscheider die Systemintegra­tion als das oberste Ziel postulieren. Es überrascht nicht, dass die Security-Funktionen vor allem die Sicherheit der Informationen innerhalb der Organisation gewährleisten möchten.

Cyber-Security: Das damit verbundene Risiko wird nicht so stark wahrgenommen, wie manche glauben!

Die Verbesserung der betrieblichen Effizienz wird als Primärziel von 24,96 Prozent aller Befragten genannt, dennoch wird diese nicht als Treiber der Wertschöpfung gesehen. Weitere Ziele sind die Beseitigung von Budget-Engpässen sowie die Fragmentierung und die mangelnde Integration des Sicherheitsportfolios und der Fachkräftemangel. All dies sind Gründe, die uns daran hindern Maßnahmen umzusetzen, die von den Vorschriften und Aufsichtsbehörden in diesem Bereich gefordert werden.

Die Notwendigkeit bei Unternehmen vom absoluten Begriff der Security zum relativen Begriff des Risiko-Managements überzugehen.

Die Transformation sorgt dafür, dass IT Sicherheit nicht mehr als obskures und kostspieliges Hemmnis wahrgenommen wird, sondern ein objektives Kriterium für das Risiko-Management im Unternehmen darstellt. Die Umsetzung eines risikobasierten Ansatzes macht die potenziellen Auswirkungen auf das Geschäft des Unternehmens deutlich. Die Bedeutung wird für alle verständlich, messbar und vergleichbar, so dass sich Unternehmen klare Ziele und Regeln setzen müssen, um die Fortschritte bei den getätigten Investitionen auch messen zu können.

Sicherheitsthemen in die Planung von Neuentwicklungen integrieren.

Cyber-Security sollte keine Option darstellen. Insbesondere da mehr als die Hälfte der befragten Entscheidungsträger davon überzeugt sind, dass die Integration von Sicherheit in die Planung bei Neuentwicklungen eine echte Wertschöpfung darstellt. Dennoch scheint dies in der praktischen Umsetzung eine echte Herausforderung zu sein, da nur 1 von 10 Unternehmen (13 Prozent) sich mit dem Thema bereits heute auseinandersetzen, während sich weitere 50 Prozent nur von Fall zu Fall mit Cyber-Security beschäftige

Eine Metamorphose ist im Gange - aber die Verlockung eines hohen Gewinns bleibt.

Wenn es um Sicherheit von Informationssystemen und von Netzen geht, beginnen sich die Linien zu verschieben. Sicherheit sollte nicht das Geschäft eines einzelnen Mitarbeiters sein, sondern ein integraler Bestandteil der Kultur einer jeden Abteilung. Unternehmen und Organisationen haben bereits in einer Startphase begonnen zu digitalen Plattformen zu migrieren. Über alle Funktionen betrachtet integrieren fast 26 Prozent der Unternehmen die Sicherheit von Systemen und Netzen bereits in der Entwicklungsphase (37,7 Prozent der Business-Funktionen, 27,3 Prozent der Security-Funktionen und 23,2 Prozent der IT-Funktionen).

Unabhängig vom Versprechen einer sicheren Transformation der Arbeits­plätze, neigen Organisationen in einem zunehmend wettbewerbsorientier­ten Marktumfeld immer noch dazu, die Anwendersicherheit gegenüber der Unterstützung von Geschäftsinitiativen zu vernachlässigen. Der CIO ist besser auf regulatorische Risiken vorbereitet als auf die Risiken der Anwendersicherheit.

Cyber-Security-Governance überdenken, um den Wandel zu beschleunigen.

Während CIOs und CISOs auf einer gemeinsamen Linie liegen was den Nutzen und die formale Herangehensweise an die Sicherheitsthemen angeht, unterscheiden sich ihre Ansichten jedoch wesentlich wenn sie gefragt werden, was im Hinblick auf die betriebliche Sicherheit notwendig und wichtig ist.

Security Manager legen großen Wert auf die unternehmensweite Integration von Sicherheit (Integration und Optimierung zur Unterstützung des Geschäfts). IT-Manager verstehen die Herausforderung, ein engagiertes Team zu unterhalten, und sie sind eher bereit, wichtige Sicherheitsbereiche an Dienstleister auszulagern.

Der CISO - der unentbehrliche Vermittler

Mit einer besseren Vision über potentielle Risiken ist der CISO ein wichtiger Akteur im Unternehmen, da nur der CISO in der Lage ist, Cyber-Bedrohungen in Geschäftsrisiken zu transformieren und auch geeignete Lösungen zur Prävention zu empfehlen. Es liegt in der Verantwortung des CISO einen risikobasierten Ansatz der Cyber-Security in die Unternehmen zu tragen und durch geeignete Werkzeuge und vor allem durch Schärfung einer Risiko- / Security-Kultur über alle Ebenen der Organisation hinweg zu verbreiten.

In der Tat ist dies die Hauptrolle, die dem CISO von den befragten Entscheidungsträgern zugewiesen wird: Kooperieren mit Geschäftsberei­chen zur Förderung von Aktivitäten innerhalb einer vereinbarten Risiko­bereitschaft (47 Prozent), vor der Verringerung der Wahrscheinlichkeit von (internen und externen) Bedrohungen, die das Unternehmen und seine Vermögenswerte gefährden (45 Prozent) und der Integration der Sicherheit in das Unternehmensumfeld, um Kosten- und Effizienzvorteile zu steigern (43 Prozent). (Devoteam: ra)

eingetragen: 06.07.20
Newsletterlauf: 09.10.20

Devoteam: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Studien

Vom Babuk-Quellcode zu benutzerdefinierten Darkside-Listen

Venafi stellte die Ergebnisse einer Dark-Web-Untersuchung zu Ransomware vor, die über bösartige Makros verbreitet wird. Im Rahmen der Untersuchung, die in Zusammenarbeit mit dem "Criminal Intelligence"-Dienstleister Forensic Pathways zwischen November 2021 und März 2022 durchgeführt wurde, wurden 35 Millionen Dark-Web-URLs, darunter Marktplätze und Foren, mithilfe der Forensic Pathways Dark Search Engine analysiert.

Ransomware-Angriffe verursachen weiterhin enorme Kosten

Arcserve veröffentlicht erste Ergebnisse ihrer jährlichen, unabhängigen und globalen Studie zu den aktuellen Erfahrungen und Einstellungen von IT-Entscheidungsträgern zum Thema Datenschutz und -wiederherstellung. Die Ergebnisse der Umfrage zeigen, dass Ransomware-Angriffe nach wie vor hohe Kosten für Unternehmen weltweit verursachen und dass Unternehmen nach wie vor weitgehend unvorbereitet sind.

Fast jedes Unternehmen in der Finanzbranche betroffen

Es geht nicht darum, ob ein Finanzinstitut von einem Cyberangriff getroffen wird – sondern wie. Eine aktuelle Studie der Bug-Bounty-Plattform YesWeHack in Zusammenarbeit mit Foundry zeigt den Status Quo in Sachen Cyberattacken auf Banken, Versicherungen und Finanzdienstleister der DACH-Region.

Rückstände bei Zero Trust

IBM Security veröffentlichte die alljährliche "Cost of a Data Breach"-Studie 2022. Daraus geht hervor, dass Datenschutzverletzungen kostspieliger und folgenschwerer sind als je zuvor, wobei die durchschnittlichen Kosten einer Datenschutzverletzung für die befragten Unternehmen mit 4,35 Millionen US-Dollar einen neuen Höchststand erreicht haben.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>


Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Diese Webseite verwendet Cookies - Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit dem Klick auf „Erlauben“erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.