foto freepik

Überzogene Zuversicht und eindimensionale Wahrnehmung von Cyberbedrohungen unterminieren firmenweites Risikomanagement.

C-Level-Entscheider außerhalb der IT haben teils deutliche Wissenslücken und ein mangelndes Bewusstsein, wenn es um Cyberrisiken geht. Aber auch CISOs neigen dazu, diese Risiken erstaunlich einseitig zu betrachten. Das zeigt eine aktuelle Studie des Technologieunternehmens Ivanti zum Cyber-Risikomanagement in Unternehmen [1].

Blickwinkel Risikobewusstsein

Technologische Entwicklungen, die zunehmende Raffinesse von Cyberkriminellen und die Zunahme der Angriffsflächen durch miteinander verbundene Systeme verstärken die Bedrohungslage von Unternehmen. Eine Entwicklung, die sich im firmenweiten Risikomanagement widerspiegeln sollte. Allerdings scheinen Führungskräfte außerhalb der IT in kritischen Bereichen auffallend zuversichtlich zu sein – deutlich stärker als ihre IT-/Sicherheitsexperten es sind. Die Situation stellt sich wie folgt dar:

60 % der Führungskräfte außerhalb des IT-Bereichs geben an, dass sie »sehr« oder »äußerst zuversichtlich« sind, dass ihr Unternehmen einen zerstörerischen Sicherheitsvorfall in den nächsten 12 Monaten verhindern oder stoppen kann. Nur 46 % der IT-Fachleute teilen dieses Vertrauen.

Diese Diskrepanz deutet darauf hin, dass sich Führungskräfte außerhalb der IT-Abteilung der finanziellen und betrieblichen Risiken, die von den Sicherheitsbedrohungen ausgehen, nur unzureichend bewusst sind.

Blickwinkel Schwachstellenmanagement

Diese Unterschiede lassen sich auch beim Thema Schwachstellenmanagement beobachten: Die Mehrheit (55 %) der Sicherheitsexperten gibt an, dass ihre Führungskräfte außerhalb der IT dieses Thema nicht vollständig überblicken. Diese Einschätzung teilt auch die Leitungsebene: 47 % der Führungskräfte ohne IT-Verantwortung sagen selbst, dass sie mit dem Konzept nicht besonders vertraut sind.

Schwachstellenmanagement ist eine unerlässliche Voraussetzung moderner Cybersicherheitsstrategien. Sicherheitsteams müssen ihre Maßnahmen und Ressourcen klar priorisieren und dabei die Bereiche absichern, die den größten Business-Impact haben.

Ohne ein klares Verständnis des Begriffs auf Führungsebene kann es zu einer falschen Einschätzung der Effektivität des CISO und seines Sicherheitsteams kommen. Führungskräfte außerhalb der IT neigen beispielsweise dazu, einen erfolgreichen Cyberangriff als Versagen seitens der IT zu betrachten, selbst wenn diese Bedrohung schnell eingedämmt und neutralisiert wird. Ein Zeichen dieses mangelnden Verständnisses: Jeder vierte IT-Experte gibt an, dass das Patch-Management durch wechselnde Prioritäten seines C-Levels untergraben wird.

Blickwinkel Bedrohungserkennung

Die Studie von Ivanti bestätigt, dass die Budgets für Cybersicherheit grundsätzlich steigen werden (71 % Zustimmung). Allerdings halten die Sicherheitsstrategien und Investitionen häufig nicht mit der zunehmenden Verbreitung und Schwere von Bedrohungen Schritt: 95 % der IT- und Sicherheitsexperten wissen, dass Angriffe durch KI gefährlicher werden. Trotz dieses erhöhten Risikos besitzt fast jeder dritte Sicherheits- und IT-Experte keine dokumentierte Strategie, um Gefahren durch generative KI zu begegnen. Investitionsimpulse fehlen auch für moderne Tools zur Bedrohungserkennung und -abwehr: Fast zwei von drei befragten Unternehmen investieren noch nicht in relevante Bereiche wie externes Surface Attack Management, digitale Forensik oder Incident Response (DFIR). Der aktuelle Ivanti Report betont, wie entscheidend es ist, dass CISOs die Notwendigkeit solcher Cybersecurity-Maßnahmen gerade auf Führungsebene verdeutlichen.

Blickwinkel Risikoeinschätzung

Cyberbedrohungen sind längst nicht mehr nur ein reines Sicherheitsproblem. Die Anzahl an Insolvenzen nach großen Angriffen zeigt, dass sie sich schnell zu Unternehmenskrisen entwickeln können. Krisen, die sich auf alle unternehmensrelevanten Bereiche auswirken, vom Aktienkurs bis hin zur regulatorischen Stellung.

Sicherheitsteams und Führungskräfte außerhalb der IT haben unterschiedliche Ansichten über die potenziellen Auswirkungen von Cyberrisiken – einschließlich der möglichen Schäden und der Unternehmensbereiche, die am ehesten von den Folgen betroffen sind. Führungskräfte außerhalb der IT konzentrieren sich dabei stark auf finanzielle und rechtliche Auswirkungen eines Angriffs. CISOs wiederum nehmen diese Risiken deutlich geringer wahr und blicken auf Attacken tendenziell einseitig aus dem operativen Blickwinkel. Sie übersehen dabei gegebenenfalls das große Ganze. Während beispielsweise Reputationsschäden für 24 % der Führungsebene außerhalb der IT für die Quantifizierung des Cyberrisikos herangezogen werden, ist Reputation für gerade einmal 15 % der CISOs ein relevanter Faktor in der Gleichung. Gleiches gilt auch für die Bereiche »Rechtliche Auswirkungen« (Führungsebene: 24 %, CISOS: 13 %) und »Finanzielle Auswirkungen« (Führungsebene: 26 %, CISOS: 17 %).

»Die Rolle des CISOs besteht darin, das tatsächliche Risiko, dem das Unternehmen ausgesetzt ist, deutlich zu kommunizieren. Es geht für Unternehmen darum, zu wissen, wie sich verschiedene Arten von Sicherheitsvorfällen auswirken«, so Mike Riemer, Field CISO bei Ivanti. »Cybersicherheit muss auf Vorstandsebene diskutiert und verstanden werden. Als strategischer Berater der Führungsspitze für eine Vielzahl von Themen, von der Einführung von KI bis zum Management von Risiken in der Lieferkette, müssen CISOs beginnen, ähnlich zu denken wie ihre CEOs und Vorstände – indem sie technisches Know-how in geschäftliche Prioritäten übersetzen.«

[1] Die Studie »Aligning Perspectives: Cyber Risk Management in the C Suite« basiert auf zwei Umfragen, die von Ivanti Ende 2023 und Anfang 2024 durchgeführt wurden: »2024 Everywhere Work Report: Empowering Flexible Work« und »2024 State of Cybersecurity: Inflection Point«. Insgesamt wurden für diese beiden Studien 16.200 Führungskräfte, IT- und Sicherheitsexperten sowie Büroangestellte befragt. Der aktuelle Report befasst sich speziell mit den 3.059 Führungskräften, IT-Fachleuten und Sicherheitsexperten, die im Rahmen der beiden Studien befragt wurden.

Weitere Ergebnisse der Ivanti-Studie erfahren Sie hier. https://www.ivanti.com/de/resources/research-reports/cybersecurity-risk-management

230 Artikel zu „Sicherheit C-Level“

News | IT-Security | Kommunikation | Services | Tipps | Ausgabe 11-12-2016

E-Mail-Sicherheit: Social Engineering auf C-Level-Niveau – Menschen als das schwächste Glied in der Sicherheitskette

5. Dezember 2016

Angriffe mit betrügerischen Geschäfts-E-Mails (Business E-Mail Compromise, BEC) nehmen zu, bedrohen Firmendaten und verursachen erhebliche finanzielle Verluste.