Andreas Riepen

Andreas Riepen ist Vice President DACH Bei F5 Networks.

SicherheitSicherheitsmanagement

Mehr auf die Security-Experten hören!

Unternehmen schlafen bei der Sicherheit, Hacker dagegen nicht, warnt Andreas Riepen, Vice President DACH bei F5 Networks. Noch immer sind viele Firmen nicht auf die wachsende Bedrohungslage vorbereitet.

Unternehmen werden immer heftiger von Cyberangriffen attackiert. Kein Wunder, dass im Vorstand die Alarmglocken läuten. Doch häufig weiß er nicht, mit welcher Strategie Sicherheitsmaßnahmen sinnvoll umzusetzen sind. Es gibt zwar zunehmend eigene IT-Security-Verantwortliche (CISOs, Chief Information Security Officers), aber häufig erhalten sie nicht die notwendige strategische Relevanz in der Organisation.

So ergab eine Umfrage, die das Ponemon Institute im Auftrag von F5 vor kurzem durchführte, dass Cybersicherheit nur für 60 Prozent der CISOs ein Aufgabenschwerpunkt ist. Obwohl das Bewusstsein definitiv wächst, gibt es noch erhebliches Potenzial für Verbesserungen. Zum Beispiel hat ein auffallend hoher Anteil der Firmen noch keine Experten für IoT-Sicherheit eingestellt (41 Prozent) oder keine aktuellen Sicherheitstechnologien implementiert (32 Prozent).

Die richtigen Mitarbeiter zu finden, ist ein weiteres Problem: 56 Prozent der befragten Unternehmen haben Schwierigkeiten, qualifizierte Kandidaten zu finden und einzustellen. Fast die Hälfte der befragten CISOs bezeichnete die personelle Ausstattung als unzureichend (42 Prozent). Entsprechend sind Unternehmen weiterhin zu wenig auf die Abwehr von Cyberattacken vorbereitet. So muss der CISO eine weitaus kräftigere Stimme im Unternehmen erhalten.

Firmen schlafen – Hacker nicht

Eine der zentralen Herausforderungen ist laut der Studie ein Mangel an Aktivität und Initiative an der Firmenspitze. 80 Prozent der befragten CISOs glauben, dass das Internet der Dinge (IoT) „erhebliche“ oder „einige“ Veränderungen für die Sicherheitsprozesse mit sich bringen wird. Doch 41 Prozent sagen, dass ihr Unternehmen keine Experten für IoT-Sicherheit einstellt.

Aber die Hacker schlafen nicht. Ihre Angriffe werden immer ausgefeilter, zielgenauer und automatisierter – von DDoS und Daten-Diebstahl bis zu Social Engineering und darüber hinaus. Daran sind die Schutzmaßnahmen genau anzupassen. Mit den sich ständig wandelnden Bedrohungen Schritt zu halten, muss daher höchste Priorität erhalten.

Den Fachkräftemangel angehen

Eine große Herausforderung stellt dabei der Fachkräftemangel dar. Hier gibt es viele Möglichkeiten, aktiver zu werden und Talente im Bereich Cybersicherheit zu fördern. Zum Beispiel können Unternehmen Frauen stärker für Technik interessieren und ihnen bessere Karrierechancen eröffnen.

Auch das Bildungswesen trägt hier eine große Verantwortung. Es gibt zwar schon diverse Initiativen in den Bundesländern zur Förderung der MINT-Fächer (Mathematik, Informatik, Naturwissenschaften und Technik) wie die Exzellenz-Auszeichnung „MINT-Schule“ für die Sekundarstufe 1 oder das MINT-Netz Bayern. Doch sollte heute noch ein „S“ an MINT angehängt werden: für Sicherheit. Dazu sollten die CISOs in den Unternehmen und im Bildungswesen ihre Stimme stärker erheben und nicht mehr schweigend an der Seite stehen. 

Kommunikationsausfall

Mit einer besseren Kommunikation könnten sie auch ihren Einfluss beim Vorstand erhöhen. Wenn sie darüber hinaus aktiv die Kultur des Unternehmens mitgestalten, erhalten sie in der Regel mehr Einfluss.

Eine der besorgniserregendsten Erkenntnisse aus der Umfrage des Ponemon Institute war, dass nur 19 Prozent der befragten CISOs sämtliche Sicherheitsvorfälle an den Vorstand melden. Außerdem gaben 46 Prozent an, dass eine Kommunikation auf Vorstands- oder Geschäftsführerebene nur bei materiellen Schäden stattfindet. Das ist umgehend zu verbessern – idealerweise durch eine Priorisierung kritischer Bereiche wie Anwendungssicherheit und Datenmanagement.

Mangelnde Kommunikation ist aber auch symptomatisch für die Beziehungen zwischen IT-Sicherheit und anderen Abteilungen. Mehr als die Hälfte der Befragten gab zu, dass keine umfassende Sicherheitsstrategie für das gesamte Unternehmen existiert. Nur bei 22 Prozent ist das Thema Sicherheit in die übrigen Abteilungen integriert. Und bei 45 Prozent der Unternehmen haben die Security-Verantwortlichen keine klar definierten Zuständigkeiten. Ohne eine durchgängig Sicherheitsstrategie sind Unternehmen aber nicht ausreichend auf Cyberangriffe vorbereitet und nutzen ineffiziente Prozesse.

Veränderte Kräfteverhältnisse

So müssen CISOs heute mehr Einfluss nehmen und sich dazu die Unterstützung der höchsten Unternehmensebene sichern. Die Machtverhältnisse verändern sich gerade. Doch verschiebt man das Gewicht in die falsche Richtung, kann das zu einer Verschwendung von Ressourcen führen – und dies wiederum zu höheren Schäden durch Cyberkriminalität. Daher ist es für Unternehmen wichtig, präventiv tätig zu sein und schnell auf Risiken zu reagieren. Dazu müssen CISOs mehr Verantwortung erhalten und übernehmen.