Illustration: Absmeier, TheDigitalArtist
Im Kampf gegen Cyberkriminalität sind vielen IT-Sicherheitsverantwortlichen und Chief Information Security Officern (CISOs) die Hände gebunden. Sie haben in ihren Unternehmen zu wenig Einfluss auf die Entscheidungen der Vorstandsebene und können Budgetwünsche nur bedingt durchsetzen. Das Problem:
Unternehmen werden dadurch anfälliger für Cyberangriffe. Das ergibt eine weltweite Kaspersky-Studie [1] über die Rolle und Aufgaben von CISOs. Ein weiteres Studienergebnis: 86 Prozent der befragten CISOs halten Datenlecks für unvermeidbar und sehen die größte Gefahr in Gruppierungen finanziell motivierter Cyberkrimineller.
Ob mehr und komplexer werdende Cybergefahren oder die verstärkt einsetzende digitale Transformation vieler Unternehmen – die Bedeutung von CISOs ist größer denn je. Laut der aktuellen Studie von Kaspersky Lab stehen CISOs daher auch verstärkt unter Druck: So sehen 57 Prozent die durch Cloud und mobile Geräte immer komplexer werdende IT-Infrastruktur als größte Herausforderung. Jeder Zweite (50 Prozent) betrachtet auch die zunehmende Zahl von Cyberangriffen mit Sorge.
Auf die Frage nach den größten IT-Risiken für das eigene Unternehmen nennen die befragten CISOs finanziell motivierte Cyberkriminelle (40 Prozent) sowie interne Angriffe, die aus der Mitarbeiterschaft heraus lanciert werden (29 Prozent), als die Topgefahren. Trifft professionalisierte Cyberkriminalität auf die Unterstützung von Mitarbeitern, die mit dem Unternehmen noch eine Rechnung offen haben, lassen sich solche Angriffe nur sehr schwer unterbinden.
Größere IT-Budgets, aber nicht immer für Security
56 Prozent der befragten CISOs weltweit erwarten weiter wachsende Budgets für Cybersicherheit (in Europa sind es 49 Prozent) und 38 Prozent (Europa: 49 Prozent) gehen von konstanten Budgets aus. Doch CISOs stehen vor der Herausforderung, ihr Budget zu rechtfertigen; und 36 Prozent der Befragten setzen sich mit ihren Budgetwünschen nicht durch. Denn sie können keine hundertprozentige IT-Sicherheit garantieren, und so ist der Return on Investment (ROI) oft nicht greifbar.
Laut CISO-Einschätzung ist es darüber hinaus problematisch, wenn Ausgaben für IT-Sicherheit aus dem allgemeinen IT-Budget bestritten werden, denn dann befinden sie sich in einem Wettstreit um Budget mit anderen IT-Abteilungen. 33 Prozent der Befragten geben an, dass Ausgaben für Digitalisierungs-, Cloud- oder andere IT-Projekte priorisiert würden, da diese eher einen ROI versprächen.
IT-Sicherheit in den Vorstand
Obwohl Cyberangriffe drastische Folgen für die Finanzen und die Reputation eines Unternehmens haben können, sitzen nur 26 Prozent der befragten CISOs in der Vorstandsetage. 25 Prozent der Befragten weltweit (in Europa sind es 41 Prozent) glauben jedoch, dorthin zu gehören. Zwar sehen sich derzeit trotzdem 58 Prozent (Europa: 64 Prozent) in wichtige Unternehmensentscheidungen genügend eingebunden; doch genau wie Digitalisierung in Großunternehmen zu einer strategischen Frage geworden ist, sollte dies auch für IT-Sicherheit und damit die Rolle des CISOs gelten.
»In der Vergangenheit hatten Ausgaben für IT-Sicherheit innerhalb der IT-Budgets keine Priorität. Das hat sich inzwischen geändert«, sagt Maxim Frolov, Vice President Global Sales bei Kaspersky Lab. »Moderne Unternehmen bieten immer mehr Angriffsflächen. Und damit steigen auch die Häufigkeit und Folgen von Cyberangriffen sowie die Schadenshöhe bei Cybersicherheitsvorfällen. Folglich wird IT-Sicherheit auf der höchsten Unternehmensebene zunehmend als Investition betrachtet und Cyberrisiken stehen ganz oben auf der Agenda von CEOs, CFOs und Sicherheitsverantwortlichen. Tatsächlich dient das IT-Sicherheitsbudget nicht nur der Vermeidung von Datenlecks und deren verheerenden Folgen, es dient auch der Aufrechterhaltung des Geschäftsbetriebs und stellt eine Investition in das Kernprofil eines Unternehmens dar.«
Kaspersky-Webcast am 6. November zum CISO-Report
Am 6. November um 14 Uhr (Dauer: 60 Minuten) stellt Kaspersky Lab die Ergebnisse des CISO-Reports in einem kostenfreien Webcast als digitale Panel-Diskussion vor. Dabei diskutieren unter dem Motto »CISO summit: what is ›enough‹ protection in light of inevitable cyber breaches?« die folgenden Experten:
Ilijana Vavan, Managing Director Europe, Kaspersky Lab
Christian Toon, Chief Information Security Officer, Pinsent Masons LLP
Thom Langford, Chief Information Security Officer, Publicis Groupe
Details zum kostenfreien Webcast und Registrierung über https://kas.pr/ciso_webcast.
[1] Die CISO-Studie von Kaspersky Lab »What It Takes to Be a CISO: Success and Leadership in Corporate IT Security« kann unter https://kas.pr/cisoreport kostenfrei abgerufen werden.
Grundlage für den Bericht war eine Umfrage von PAC im Auftrag von Kaspersky Lab. Dafür wurden unter anderem weltweit 250 IT-Sicherheitsverantwortliche in Unternehmen unterschiedlichster Größe aus Industrie und Dienstleistung befragt.
Die Zukunft des CISO – Im Spannungsfeld zwischen Digitalisierung und Wirklichkeit
Neue EU-Richtlinien: CEOs und CISOs müssen sich ernste Fragen stellen
Unternehmen in der Cloud – und wo bleibt der Know-how-Schutz?
Sicherheitsverantwortliche haben nur wenig Mitspracherecht bei IoT-Entscheidungen