Mehr als zwei Jahre nach dem Beginn der Coronapandemie haben sich die Unternehmen an die neuen Gegebenheiten angepasst. Dennoch war 2021 für CISOs ein weiteres herausforderndes Jahr, nicht zuletzt, weil zahllose groß angelegte Angriffe Unternehmen in höchste Alarmbereitschaft versetzten. Und gerade als sich die Auswirkungen der Pandemie langsam legten, steigerten weitere Ereignisse – wie der Krieg gegen die Ukraine – das ohnehin schon hohe Stresslevel der CISOs.
Doch wie begegnen die Security-Verantwortlichen den wachsenden Bedrohungen, die innerhalb der eigenen Lieferketten ihren Ursprung haben, ebenso wie Angriffen auf kritische Infrastrukturen, dem sich verschärfenden Fachkräftemangel und der zunehmenden Kontrolle durch ihre Vorstände? Um ihre Denkweise besser zu verstehen, haben wir 1.400 CISOs auf der ganzen Welt befragt und ihre Ansichten für unseren zweiten jährlichen Bericht „Voice of the CISO“ gesammelt. Einige der Ergebnisse waren so nicht zu erwarten. Wobei ich insgesamt erfreut darüber bin, dass die CISOs zunehmend mehr Vertrauen in die Sicherheitslage ihrer Unternehmen haben.
Das Folgende hat mich jedoch überrascht: Trotz der nach wie vor eskalierenden Bedrohungslage und des zunehmenden Drucks, mit immer weniger Ressourcen effektiv zu arbeiten, gehen lediglich 48 Prozent der CISOs davon aus, dass ihr Unternehmen Gefahr läuft, in den nächsten 12 Monaten Opfer eines größeren Cyberangriffs zu werden. Dies ist ein deutlicher Rückgang gegenüber dem Vorjahr (64 %).
Aufgrund meiner Gespräche mit CISOs gehe ich davon aus, dass ihre nachlassende Besorgnis ein Indiz dafür ist, dass sich auch die Sicherheitsverantwortlichen an die nunmehr vorherrschenden Gegebenheiten angepasst haben. Sie haben sich damit abgefunden, dass sie mit einer gänzlich neuen Situation konfrontiert sind und jetzt auf höchstem Niveau und mit ganzer Kraft arbeiten müssen. Nachdem sie das Jahr 2020 damit zugebracht haben, auf die Pandemie zu reagieren und ihre Sicherheitsmaßnahmen zu verstärken, haben sie zu einer neuen Form der Ruhe gefunden, wenngleich die Intensität der Bedrohungen nicht nachgelassen hat.
Was die Rangfolge der wahrgenommenen Security-Risiken für Unternehmen im laufenden Jahr anbelangt, sind Insider-Bedrohungen vom dritten auf den ersten Platz vorgerückt. Unabhängig davon, ob Versehen, Fahrlässigkeit oder gar kriminelle Beweggründe hinter Cybergefahren durch Mitarbeiter stehen, erachten CISOs die Wahrscheinlichkeit eines Datenverstoßes oder einer Gefährdung ihres Unternehmens durch Insider-Bedrohungen als gleich hoch. Hinzu kommt menschliches Versagen, das 56 Prozent der CISOs weltweit als die größte Cyberschwachstelle ihres Unternehmens erachten.
Aufsehenerregende Ransomware-Angriffe dominieren die Schlagzeilen zur Cybersicherheit. Darum ist das Bewusstsein für Cyberrisiken auch in den Führungsetagen gewachsen, und der Schutz vor Ransomware ist zu einer Priorität für Unternehmen geworden. 58 Prozent der CISOs weltweit haben eine Cyberversicherung abgeschlossen, und bereits drei von fünf setzen auf Prävention statt auf Erkennungs- und Reaktionsstrategien. Beunruhigend ist jedoch, dass trotz des erhöhten Risikos 42 Prozent der CISOs angeben, dass ihr Unternehmen keine Richtlinien für die Zahlung von Lösegeld eingeführt hat.
Die veränderte Rolle des CISO
Die gute Nachricht ist, dass CISOs endlich auch auf Vorstandsebene Gehör finden. Vor der Pandemie war dies noch ein fast unmögliches Unterfangen, aber nun ist sich die Geschäftsführung bewusst, dass CISOs viel mehr sind als lediglich technische Experten. Mit der gewachsenen Bedeutung ihrer Aufgabe akzeptieren die Sicherheitsverantwortlichen die gestiegenen Erwartungen an sie. Nur die Hälfte der in diesem Jahr befragten CISOs empfand die neuen Anforderungen an ihre Rolle als überzogen, ein Rückgang um 7 Prozentpunkte gegenüber 2021.
Unsere Umfrage ergab, dass der verstärkte Schutz wichtiger Daten und die Schaffung eines Bewusstseins für Cybersicherheit weiterhin ganz oben auf der Agenda der CISOs stehen. Weil die strategische Dimension ihrer Rolle zunimmt, wissen CISOs genau, was sie verbessern müssen und sie sind dafür gut aufgestellt, um eine größere Verantwortung beim Management der Risiken ihres Unternehmens zu übernehmen. Der Bericht zeigt, dass CISOs ihre Rolle in einer neuen Ära wachsender Bedrohungen und ebenso steigender Verantwortung angenommen haben und dass sie ihrer Tätigkeit weiterhin mit Leidenschaft nachgehen.
Alle Ergebnisse des diesjährigen Voice of the CISO Reports finden Sie hier: https://www.proofpoint.com/de/resources/white-papers/voice-of-the-ciso-report
Um mehr über die Ergebnisse des Reports für Deutschland zu erfahren, registrieren Sie sich für das Webinar „Voice of the CISO“ am Mittwoch, den 25. Mai um 10 Uhr.