Global steigt das Bewusstsein für Umfang, Risiken und Gefahren von Cyber-Kriminalität. Doch in den Köpfen der Geschäftsführer vieler deutscher Unternehmen scheint diese Situation teils noch nicht angekommen zu sein. Das zeigen die Ergebnisse einer aktuellen Studie von Trellix und auch das Weltwirtschaftsforum sieht „weit verbreitete Cyber-Kriminalität und Cyber-Unsicherheit“ als eines der Top-Risiken sowohl der nächsten beiden als auch der nächsten zehn Jahre“.
Cyber-Experten äußern Skepsis
Darauf jedenfalls lassen die Ergebnisse der Trellix-Studie schließen. Befragt wurden 9.000 IT-Sicherheitsspezialisten aus 15 Ländern. Dabei zeigt sich eine starke Diskrepanz, wie Sicherheitsexperten und die Geschäftsleitung die Cyber-Sicherheitssituation im jeweiligen Unternehmen bewerten.
Mehr als die Hälfte der deutschen Befragten sind der Meinung, dass der Cyber-Sicherheit auf Geschäftsleitungsebene nicht ausreichend Aufmerksamkeit gewidmet wird. Das ist besonders besorgniserregend, da das Allianz Risikobarometer 2023 Geschäftsunterbrechungen und Cyber-Angriffe schon im zweiten Jahr in Folge als bedrohlichste Risiken für deutsche Unternehmen benennt.
Immerhin wird die Verantwortung für Cyber-Sicherheit nach überwiegender Meinung der Befragten (98 %) eindeutig den Vorständen zugewiesen. Zuständig sind dort entweder Einzelpersonen (48 %) oder Teams. Und in etwa 72 % der Unternehmen gehören regelmäßige Diskussionen zu Cyber-Sicherheit und Compliance mit der Geschäftsleitung und dem Führungsteam zum Alltag. Mehr Transparenz und Kommunikation bedeuten, dass Risiken leichter erkannt werden und sinnvolle Gegenmaßnahmen einschließlich entsprechender Investitionen in Sicherheitslösungen und Personal einfacher zustandekommen können.
28 % der Unternehmen bewerten Cyber-Sicherheit zu gering
Allerdings nützt die Zuständigkeit nicht viel, wenn das Risikobewusstsein in der Geschäftsführung insgesamt eher schwach ausgeprägt ist. Genau das scheint aber teilweise der Fall zu sein: 28 % der Befragten betonen, dass Cyber-Sicherheit bei Vorstand und Geschäftsführung nicht als Priorität betrachtet wird. Das bedroht unmittelbar die Sicherheit der Unternehmen. Dazu passt, dass sich 36 % wegen fehlender Wertschätzung durch ihre Vorgesetzten frustriert fühlen.
Die Folgen einer Zurückhaltung zeigen sich, wenn Cyber-Kriminelle zuschlagen. So dauert es bei 33 % der Befragten mindestens einige Tage oder sogar länger, bis Sicherheitsvorfälle an die Geschäftsleitung gemeldet werden. Immerhin 21 % der Unternehmen schaffen dies innerhalb einer Stunde – vielleicht der Unterschied zwischen Millionenverlusten und einem glimpflichen Ausgang.
Wenn die Entdeckung von Sicherheitszwischenfällen zu lange dauert, liegt das häufig an den unübersichtlichen Sicherheitsarchitekturen und dünnen Personaldecken. So sagen 89 % der Befragten, dass die Sicherheitsarchitektur ihres Unternehmens sich in undurchlässige Silos gliedert. 60 % sagen, dass die aktuellen Tools SecOps nicht unterstützen und 57 % meinen, dass ihr aktuelles Sicherheitsmodell überarbeitet werden müsste, um Angriffe schneller zu erkennen.
Ganzheitliche Sicherheitsarchitekturen nötig
Wegen des ausgeprägten Personalmangels im Sicherheitsbereich und der steigenden Komplexität der Angriffe kann die Lösung kaum darin liegen, die Personaldecke auszuweiten, bis ein befriedigendes Sicherheitsniveau erreicht wird.
Die naheliegende Richtung liegt in einer Neukonzeption der Sicherheitsarchitektur. Ein wichtiger Kandidat dafür sind XDR (Extended Detection and Response)-Ökosysteme. Doch noch ist die Bedeutung des Begriffs XDR im Markt vielen nicht klar: 32 % der Befragten hielten XDR für eine Lösung, 19 % für eine Funktion und 15 % für ein Produkt.
Dabei bieten XDR-Ökosysteme die Chance, viele der aktuellen Sicherheitsherausforderungen zumindest zu erleichtern. Ihre Vorteile skizzieren die Befragten, die XDR anwenden, wie folgt: Sie automatisieren Prozesse und priorisieren die wirklich kritischen Vorgänge (58 %), sie erkennen Angriffe in Echtzeit und Angriffsvektor-übergreifend (54 %), sie verbessern die Effizienz durch Personalentlastung (44 %) und sie passen die Sicherheitsarchitektur schnell an neue Herausforderungen an (40 %). Trotz aller definitorischen Unklarheiten wundert es daher nicht, dass immerhin 65 % der Befragten erklärten, sie planen, XDR in den kommenden 12 bis 18 Monaten zu implementieren.