Das Jahr 2022 neigt sich dem Ende zu und es ist an der Zeit, unsere Cybersecurity-Prognosen für 2023 abzugeben. Wir gehen davon aus, dass CISOs vor gewaltigen Herausforderungen stehen werden – inmitten globaler wirtschaftlicher Unsicherheiten und einer umfassenden, neuen Gesetzgebung für die IT-Sicherheit, die sich stärker auf die Vorgehensweisen der Unternehmen konzentriert.
Dies wird CISOs dazu zwingen, auch die letzte Hürde zu überwinden und die Lücke zwischen technischen Cybersecurity-Experten und der Führungsebene des Unternehmens zu schließen. Auch das Management muss sich jetzt um die Cybersicherheit kümmern. CISOs müssen die Kommunikation verbessern, damit jeder die Sicherheitsprobleme verstehen kann und weiß, was dagegen unternommen werden muss.
Diese drei Entwicklungen zeichnen sich für das Jahr 2023 ab:
1. CISOs werden in eine Zwickmühle geraten
Mit dem Inkrafttreten von NIS2 und den sich verschlechternden globalen Wirtschaftsaussichten werden die CISOs im Jahr 2023 in eine schwierige Lage geraten. Einerseits erfordert NIS2, dass Unternehmen ihre Sicherheitsvorkehrungen verstärken sowie eine persönliche Rechenschaftspflicht des Top-Managements inklusive teurer Sanktionen bei Nichteinhaltung einführen. Infolgedessen muss die Führungsebene dafür sorgen, dass ihr Cybersecurity-Team die notwendigen Maßnahmen ergreift. Andererseits muss die Führungsebene aufgrund der drohenden Rezession Kosten einsparen, wo immer dies möglich ist, und CISOs müssen ihre Ausgaben für die Cybersicherheit rechtfertigen.
Im Wesentlichen werden die NIS2-Richtlinie und die wirtschaftlichen Aussichten ein grundlegendes Bedürfnis nach Transparenz sowie ein gemeinsames Verständnis des Risikos und der tatsächlichen Cybersecurity-Leistung fördern – mit dem Top-Management und dem Vorstand als Fahnenträger. Die Gewinner werden die CISOs sein, die in der Lage sind, das Cyberrisiko und die Effektivität der Cybersecurity-Infrastruktur auf aussagekräftige Weise für das Management-Team und die technischen Mitarbeiter zu messen und kommunizieren.
2. End-to-End-Technologie wird CISOs aus der Dunkelheit führen
Cybersecurity-Teams betreuen ein wachsendes Portfolio an Sicherheitstechnologien. Die Messung der Wirksamkeit der Sicherheitsmechanismen, die diese Technologien bieten sollen, ist schon an sich ein schwieriges Unterfangen – sowohl für die Sicherheitsteams als auch für die Unternehmensführung. Erschwerend kommt hinzu, dass es immer schwieriger wird, sich auf die durchgängige Abdeckung zu verlassen: Cloudbasierte Dienste, IoT-Umgebungen und die zunehmende Autonomie der Fachabteilungen, eine Schatten-IT entwickeln und aufbauen – alle diese Faktoren verändern die Topologie des Netzwerks und das klassische Verständnis der Cybersecurity-Abdeckung, die in den Verantwortungsbereich des CISOs fällt. Um es ganz deutlich zu sagen: Dem Angreifer ist es gleichgültig, wie Sie den Umfang und den Rahmen Ihrer Sicherheitsmaßnahmen gestalten.
Software für Breach and Attack Simulation (BAS) kann automatisierte, kontrollierte Angriffe ausführen, um Schwachstellen zu identifizieren, bevor diese ausgenutzt werden. Das Zusammenspiel von BAS mit Bedrohungserkennung, Endpunkt-Schutz und dem Management der Angriffsflächen kann den CISO im Jahr 2023 aus der Dunkelheit führen und fehlerhafte Prozesse sowie Schatten-IT aufdecken. Dies wird ein Wendepunkt sein und CISOs in die Lage versetzen, der Unternehmensführung zu beweisen, dass ihr Cybersecurity-Ansatz und ihre Investitionen angemessen sind. Zudem können CISOs damit das Security-Team anleiten, die Sicherheit essenziell zu verbessern.
3. Cybersecurity-Technologie wird geschäftskritische Systeme schützen
Wir gehen davon aus, dass CISOs im Jahr 2023 in der Lage sein werden, die gegenwärtigen Sicherheitsbeschränkungen für geschäftskritische Systeme wie SAP, Oracle und Salesforce zu adressieren. Wir beobachten, dass die Paradigmen und Denkweisen der „klassischen Cybersicherheit“ hier noch nicht vollständig zum Tragen kommen und die Nutzer geschäftskritischer Anwendungen die Risiken und Bedrohungen nicht immer umfassend einschätzen können. Im Jahr 2023 werden CISOs in der Lage sein, das oft hart erarbeitete Fachwissen zum Schutz der Infrastruktur und der Anwendungen zu erweitern, um beispielsweise ERP- und CRM-Systeme einzubeziehen. Mit der Einbindung dieser Systeme in eine Analytics-and-Response-Plattform können CISOs Workflows, Playbooks und Funktionen zur Durchsetzung von Richtlinien implementieren und damit neue Möglichkeiten für Unternehmen eröffnen. Stellen Sie sich vor, Sie könnten die ERP-Berechtigungen von Lieferanten oder anderen Dritten in Echtzeit auf der Grundlage ihres Verhaltens und der aktuell beobachteten Bedrohungen anpassen.
Mithilfe einer kontinuierlichen Überwachung der gesamten IT-Landschaft erhalten CISOs einen unvergleichlichen Überblick und eine beispiellose Transparenz. Automatisierte Sicherheitsmechanismen in Echtzeit ermöglichen es ihnen, betrügerische Aktivitäten und Sicherheitsverletzungen sofort zu erkennen und darauf zu reagieren, bevor diese verdächtigen Aktivitäten zu weit fortgeschritten sind. Mit der Nutzung von Cybersecurity-Technologien für geschäftskritische Systeme kann ein CISO sicherstellen, dass wertvolle Informationen wie geistiges Eigentum oder Daten zu Kunden, Lieferanten und Mitarbeitern geschützt bleiben und das Unternehmen gleichzeitig die gesetzlichen und regulatorischen Vorgaben einhalten kann.
2023 wird das Jahr sein, das CISOs dazu zwingt und dazu befähigt, Cybersicherheit aus der Unternehmensperspektive zu betrachten
Angreifer interessieren sich nicht für Risikobewertungen und auch nicht für die Börse. CISOs müssen sicherstellen, dass die Unternehmen vor realen Bedrohungen geschützt sind. Dies müssen sie den Führungsebenen beweisen – und dies erfordert aufgrund der NIS2-Richtlinie und der drohenden Rezession mehr Cybersicherheit denn je. Dank der Konvergenz von Tools wie SIEM, SOAR und UEBA sowie Sicherheitslösungen für geschäftskritische Anwendungen können CISOs vollständige Einblicke in die Sicherheitslage und die Security-Leistungen gewinnen. Dies ermöglicht es ihnen, Cybersicherheit aus der Perspektive des geschäftlichen Nutzens zu betrachten und die Unternehmen angemessen zu schützen.