IT Security, aber richtig

Investition in IT-Sicherheit ist nicht genug

08.11.2017 von Marc Wilczek
Trotz stetig steigender Ausgaben für die IT-Sicherheit ist die Mehrheit der CISOs besorgt, dass unbemerkt Unternehmensdaten kompromittiert werden.

Während das digitale Universum fleißig expandiert, sind über viele Jahre zeitgleich die Ausgaben in IT-Sicherheit rasant in die Höhe geschnellt. Laut Einschätzung von Gartner sollen diese im Jahr 2017 rund 86 Milliarden US-Dollar weltweit betragen und im Jahr 2018 auf 93 Milliarden US-Dollar weiter ansteigen. Dem kontinuierlichen Anstieg der Investitionen zum Trotz, ist die überwiegende Mehrheit der Chief Information Security Officers (CISOs) jedoch besorgt darüber, mit den im Zuge der Digitalisierung steigenden Risiken Stand halten zu können.

Ist Ihr Unternehmen in der Lage im Ernstfall Hacker abzuwehren?
Foto: Elnur - shutterstock.com

Einer weltweiten CISO-Studie des Softwareanbieters ServiceNow zu Folge, sehen lediglich 19 Prozent der rund 300 befragten Teilnehmer - über eine Vielzahl von Industrien hinweg - ihre Organisation effektiv in der Lage, mögliche Datenpannen abzuwehren. Acht von zehn CISOs teilen die Zuversicht nicht, sondern sind vielmehr besorgt, dass mögliche Datenpannen nicht adressiert werden. Noch bedenklicher: 78 Prozent treibt die Sorge um, eine Datenpanne gar nicht erst feststellen zu können. Hier sind sechs Gründe warum:

1. Laxer Umgang mit Security-Risiken

Digitalaffine Unternehmen sind damit beschäftigt enorme Datensilos aufzubauen und eine dritte Plattform zu schaffen um ihr Geschäftsmodell grundlegend zu erneuern. Sie bündeln mit anderen Worten ihre Aktivitäten rund um die Themenkomplexe Big Data, Mobility, Cloud, Social Software und IoT, um Marktanteile zu gewinnen und neue Geschäftsfelder zu erschließen.

Gleichzeitig setzen sich die Unternehmen so zunehmend größeren Risiken aus. Zusätzliche Maßnahmen treffen hingegen nur wenige. Laut einer Studie von Ernst & Young haben lediglich 5 Prozent aller beteiligten Unternehmen wesentliche Anpassungen an ihrer Security-Strategie und ihren Plänen vorgenommen - selbst nachdem klar war, dass sie sich wachsenden Risiken aussetzen. Die überwiegende Mehrheit sah bislang keine Veranlassung, tätig zu werden.

2. Falsche Daten-Klassifizierung

Viele Unternehmen neigen dazu, all ihre Daten gleich zu behandeln, ohne sich vollständig über die Komposition ihrer Datensätze im Klaren zu sein. Im Ergebnis führt dies häufig dazu, dass die sprichwörtlichen Kronjuwelen unzureichend geschützt sind, während weniger schutzbedürftige Daten im Panzerschrank liegen.

Laut der Studie von EY betrachten 51 Prozent aller Unternehmen personenbezogene Daten ihrer Kunden als höchst schutzbedürftig. Überraschenderweise sehen hingegen lediglich 11 Prozent selbiges hinsichtlich ihrer Patentrechte. Personenbezogene Daten von Vorständen und Aufsichtsräten werden häufig als schützenswerter erachtet als Patente oder Forschungsergebnisse.

3. Halbherziges Krisen-Management

Trotz steigender Risiken versäumen es Unternehmen, sich auf den Ernstfall vorzubereiten. Von den befragten Teilnehmern der EY-Studie verfügen nahezu die Hälfte (42 Prozent) über keinen abgestimmten Kommunikationsplan im Falle einer weitreichenden Datenpanne.

Im Nachgang eines erfolgreichen Angriffs würden 39 Prozent aller Befragten binnen sieben Tagen die Öffentlichkeit informieren. Während 70 Prozent die Regulierungsbehörden in Kenntnis setzen würden, würden 46 Prozent davon absehen, die Kunden zu informieren - selbst dann, wenn möglicherweise deren Daten betroffen sind. Weitere 56 Prozent würden Lieferanten nicht in Kenntnis setzen, selbst wenn deren Daten möglicherweise exponiert wurden.

4. Die IT-Sicherheitsüberschätzung

Viele Unternehmen vertrauen nach wie vor gänzlich auf die eigenen Fähigkeiten, um Schwachstellen zu identifizieren und auszumerzen. Tatsache ist jedoch, dass nur wenige Unternehmen über ausreichende interne Ressourcen verfügen, um den Bereich IT Security vollumfänglich abdecken zu können. Laut den Ergebnissen von EY betreiben acht von zehn Unternehmen Self-Phishing, während sechs von zehn Unternehmen eigene Penetrationstests durchführen.

Ganze 81 Prozent der befragten Unternehmen führen Ermittlungen zu Sicherheitsvorfällen hausintern durch und 83 Prozent betreiben eigene Aufklärung um Bedrohungsdaten zu erheben und Gefahrenquellen zu identifizieren. Während dies zunächst erfreulich klingt, verfügt nur eine Minderheit der Unternehmen über die notwendigen Kapazitäten und Fähigkeiten, all dies zu meistern. Viele wägen sich in trügerischer Sicherheit.

So binden Sie Ihre IT-Sicherheitsexperten
Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind.
Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen.
Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben.
Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern.
Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind.
Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat.
Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko.
Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen.
Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen.
Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.

5. Das Security-Stochern

Im digitalen Zeitalter kann ein erfolgreicher Angriff aufgrund zunehmender Abhängigkeit von IT-Systemen Umsätze einbrechen lassen und auch darüber hinaus weitreichende Folgen haben - seien es Prozesskosten, Bußgelder oder Wertverlust durch Reputationsschäden. Nichtsdestotrotz berichten 89 Prozent der Befragten, die finanziellen Folgen einer Datenpanne nicht näher zu analysieren.

Selbst aus der Gruppe von Unternehmen, bei denen es in den vergangenen zwölf Monaten zu einer Datenpanne gekommen ist, sehen sich 49 Prozent außerstande, die damit einhergehenden Schäden zu beziffern. In Folge dessen denken 52 Prozent der befragten Führungskräfte, dass sich die Unternehmensleitung über die Risiken ihrer Organisation und die bereits getroffenen Maßnahmen nur unzureichend bewusst ist.

6. CISOs haben keinen Platz in der Chefetage

Nur die wenigsten CISOs verfügen über weitreichende Befugnisse und sind elementarer Bestandteil der Unternehmensleitung. Ganze 75 Prozent der Chief Information Security Officers sind trotz wohlklingender Titel kein Mitglied der Unternehmensleitung. Diese wiederum vertraut häufig noch immer auf das interne Berichtswesen um sich zu informieren. Die Studienergebnisse zeigen jedoch, dass Berichte zumeist wenig Aussagekraft haben.

Im Schnitt decken lediglich 35 Prozent davon Schwachstellen in der IT-Sicherheitsarchitektur auf und benennen diese. Während ein statisches und reaktives Vorgehen vielleicht in der alten Welt noch funktioniert haben mag, ändern sich die Vorzeichen im digitalen Zeitalter und verlangen ein Umdenken. Sicherheit und Vertrauen ist das A und O. Marken aufzubauen dauert Jahre, sie in den Grundfesten zu erschüttern geht über Nacht.

Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?

IT Security im Unternehmen: Das muss sich ändern

Die Ergebnisse der Studie zeigen, dass das Sicherheitsempfinden und Zutrauen in die Abwehrfähigkeiten nicht ausschließlich an Investitionen geknüpft ist oder gar damit korreliert. Die Investitionen sind wichtig, aber lediglich die halbe Miete.

Ebenso müssen sich Unternehmen der Überwindung organisatorischer Hindernisse widmen und dies durch einen umfangreichen Maßnahmenkatalog untermauern. Anderenfalls können Investitionen nicht ihre volle Wirkungskraft entfalten und selbst bereits getroffene Vorkehrungen werden unnötig konterkariert. Um die skizzierten Hürden zu überwinden, bedarf es der Bereitschaft und dem entschlossenen Handeln der gesamten Führungsmannschaft.

Ebenso gilt es konsequent Schlupflöcher zu schließen. Unternehmen investieren teilweise immense Summen in Schutzmaßnahmen, aber untergraben diese letztendlich durch Kleinigkeiten wie beispielsweise laxes Patch-Management. Dies hat mitunter weitreichende Konsequenzen. WannaCry und NotPetya sind lediglich zwei Beispiele der jüngeren Vergangenheit die weltweit Schlagzeilen gemacht haben.

Ferner müssen Unternehmen zur Bekämpfung von Security-Risiken deutlich stärker auf Analytics und Automatisierung setzen. Software kann dabei helfen, der exponentiell wachsenden Zahl von Bedrohungen wirksam entgegenzutreten, indem diese strukturiert, klassifiziert, priorisiert und systematisch abgearbeitet werden. Geschieht das nicht, sehen IT Security Teams den Wald vor lauter Bäumen nicht mehr. Das Ergebnis: Wenn wirklich mal Not am Mann ist, fehlt die nötige Fähigkeit, schnell reagieren zu können.