Cybersicherheit hat mittlerweile die Vorstandsetagen erreicht. Dennoch hindern interne Kommunikationshemmnisse Chief Information Security Officer (CISO) sehr häufig daran, sich effektiv um Cyberbedrohung kümmern zu können.
Dies zeigt die jährliche, aktuelle Umfrage „The state of application security in 2024“, die Dynatrace, führender Anbieter von Unified Observability und Security, weltweit unter 1.300 CISOs (darunter 100 aus Deutschland) durchführen ließ. Für die Führungskräfte der Informationssicherheit ist es schwierig, die Abstimmung zwischen den Security-Teams und der Führungsebene zu forcieren, was das Verständnis innerhalb des Unternehmens für Cyberrisiken lückenhaft macht. Infolgedessen sind sie – vor dem Hintergrund steigender KI-gesteuerter Angriffe – fortschrittlichen Cyber-Bedrohungen stärker ausgesetzt.
Die Studie untersucht diese Kommunikationslücken, und zeigt auf, wie ein einheitlicher Ansatz für Observability und Security Teams unterstützen kann, effektiver zusammenzuarbeiten und Risiken zu reduzieren.
Wichtige Ergebnisse der Studie:
• Mangelnde Abstimmung auf Vorstands- und Aufsichtsratsebene führt zu Cyberrisiken: Die Abstimmung zwischen Sicherheitsteams und der Führungsebene zu fördern, stellt für CISOs eine große Herausforderung dar 87 Prozent geben an, dass Anwendungssicherheit ein blinder Fleck auf CEO- und Vorstandsebene ist.
• Sicherheitsteams sind zu technisch: Sieben von zehn der befragten C-Level sind der Meinung, dass Sicherheitsteams in technischen Begriffen sprechen, ohne den geschäftlichen Kontext zu vermitteln. 75 Prozent der CISOs betonen jedoch, dass das Problem in den Securitytools begründet ist, da diese keine Erkenntnisse darüber liefern können, wie Führungskräfte und Vorstände sie nutzen können, um Geschäftsrisiken zu verstehen und Bedrohungen zu verhindern.
• KI treibt fortschrittlichere Cyber-Bedrohungen voran: Die Behebung dieser Technologie- und Kommunikationslücke wird immer wichtiger, da die Zunahme von KI-gesteuerten Angriffen und Cyber-Bedrohungen das Geschäftsrisiko deutlich erhöht.
Vor diesem Hintergrund äußersten fast drei Viertel (72 Prozent) der CISOs, dass ihr Unternehmen in den letzten zwei Jahren einen Vorfall in der Anwendungssicherheit erlebt hat – mit schwerwiegenden Folgen: Umsatzeinbußen erlitten 47 Prozent, Geldstrafen erhielten 36 Prozent und verlorene Marktanteile beklagten 28 Prozent.
Weitere Ergebnisse aus deutscher Sicht:
- 9 Prozent der CISOs sind der Meinung, dass ihre Organisation über ausgereifte DevSecOps-Automatisierungsverfahren verfüge.
- 71 Prozent der deutschen CISOs berichten, dass es eine regelmäßige Verpflichtung gibt, dem CEO und dem Vorstand über Cybersicherheitsrisiken und die Einhaltung von Vorschriften zu berichten.
- 76 Prozent der CISOs sagen, dass ihre Sicherheitstools nur eingeschränkt in der Lage sind, Erkenntnisse zu liefern, die CEO und Vorstand nutzen können, um Geschäftsrisiken zu verstehen und Bedrohungen zu verhindern.
- 79 Prozent der Unternehmen haben in den letzten zwei Jahren einen Vorfall im Bereich der Anwendungssicherheit erlebt.
- 90 Prozent der CISOs erwähnen, dass Anwendungssicherheit ein blinder Fleck auf CEO- und Vorstandsebene ist.
- 84 Prozent der CISOs sind der Meinung, dass DevSecOps-Automatisierung eine wesentliche Voraussetzung dafür ist, dass sie aufkommende Vorschriften wie das SEC-Cybersicherheitsmandat, NIS2 und DORA einhalten können.
- 93 Prozent der CISOs sagen, dass DevSecOps-Automatisierung sogar noch wichtiger ist, um das Risiko von Schwachstellen, die durch KI entstehen, zu bewältigen.
- 83 Prozent der CISOs haben Schwierigkeiten, die DevSecOps-Automatisierung voranzutreiben, weil sie auf mehrere Tools für Application Security angewiesen seien.
Deutsche CISOs stufen die wichtigsten Prioritäten ihrer Unternehmen für das Cybersecurity-Management wie folgt ein:
1. Internes Risikomanagement/Monitoring (z. B. Benutzen von Mobilgeräten)
2. Anwendungssicherheit (z. B. Schwachstellenmanagement)
3. Betriebsunterbrechung (z. B. Denial-of-Service oder Systemausfall)
Zusammenarbeit und DevSecOps-Automatisierung gegen KI-basierte Schwachstellen
Die Notwendigkeit einer engeren Zusammenarbeit zwischen den Sicherheitsteams und der Führungsebene wird zusehends wichtiger, da KI Unternehmen einem zusätzlichen Risiko aussetzt. Weltweit sind CISOs besorgt über das Potenzial von KI, Cyberkriminelle in die Lage zu versetzen, neue Exploits schneller zu entwickeln und in größerem Umfang auszuführen (52 Prozent). Sie sind auch besorgt über das Potenzial von KI, Entwicklern eine schnellere Softwarebereitstellung mit weniger Aufsicht zu ermöglichen, was zu mehr Sicherheitslücken führen könnte (45 Prozent).
83 Prozent der CISOs sehen in DevSecOps-Automatisierung eine wichtige Lösung, um das Risiko von Schwachstellen, die durch KI entstehen, im Griff zu behalten. 71 Prozent sagen, dass DevSecOps-Automatisierung entscheidend ist, um sicherzustellen, dass adäquate Maßnahmen zur Risiko-Minimierung der Application Security getroffen wurden.
Weitere 77 Prozent der CISOs meinen, dass XDR- und SIEM-Lösungen die Komplexität der Cloud nicht bewältigen können, da diesen Tools die Intelligenz fehlt, die eine weitreichende Automatisierung erfordert. Weitere 70 Prozent der CISOs sind der Meinung, dass der Einsatz mehrerer Tools für die Anwendungssicherheit zu betrieblicher Ineffizienz führt, da der Aufwand für die Auswertung der unterschiedlichen Datenquellen zu hoch ist.
Bernd Greifeneder, Chief Technology Officer bei Dynatrace: „CISOs müssen eine Kultur der gemeinsamen Verantwortung schaffen.“
„Cybersecurity-Vorfälle können verheerende Folgen für Unternehmen und ihre Kunden haben, daher steht das Thema zu Recht oben auf der Agenda der Vorstandsebene“, sagt Bernd Greifeneder, Chief Technology Officer bei Dynatrace. „Die Abstimmung zwischen Sicherheitsteams und Führungskräften voranzutreiben, stellt jedoch eine große Herausforderung dar. weil es schwierig ist, das Gespräch von Bits und Bytes auf konkrete Geschäftsrisiken zu lenken. CISOs müssen dringend einen Weg finden, diese Hürde zu überwinden und eine Kultur der gemeinsamen Verantwortung für die Cybersicherheit schaffen. Dies wird von entscheidender Bedeutung sein, um ihre Fähigkeit zur effektiveren Reaktion auf Sicherheitsvorfälle zu verbessern und ihr Risiko zu minimieren.“
„Der zunehmende Einsatz von KI ist ein zweischneidiges Schwert, das sowohl für digitale Innovatoren als auch für Angreifer Effizienzgewinne bringt“, so Greifeneder weiter. „Einerseits besteht ein größeres Risiko, dass Entwickler Schwachstellen durch KI-generierten Code einschleusen, der nicht ausreichend getestet wurde, und andererseits können Cyberkriminelle automatisierte und ausgefeilte Angriffe entwickeln, um diese auszunutzen.“
Laut Greifeneder müssten Unternehmen dringend ihre Sicherheitstools und -praktiken modernisieren, um ihre Anwendungen und Daten vor modernen, fortschrittlichen Cyber-Bedrohungen schützen zu können. Die effektivsten Ansätze würden auf einer einheitlichen Plattform aufbauen, die eine ausgereifte DevSecOps-Automatisierung forciere und KI nutze, um mit verteilten Daten in beliebigem Umfang umzugehen. Diese Plattformen würden die Erkenntnisse liefern, hinter denen sich das gesamte Unternehmen positionieren und mit denen es die Einhaltung strenger Vorschriften nachweisen könne, prognostiziert Greifeneder.
(pd/ Dynatrace)