Unterschiedliche Sichtweisen aufeinander abstimmen: Cyber-Risikomanagement in der C-Suite

Ivantis Forschungsreport-Reihe zum Stand der Cybersicherheit

Da Cyberangriffe immer raffinierter werden und Unternehmen dadurch finanziellen und operativen Risiken sowie Reputationsrisiken ausgesetzt sind, müssen CISOs sich von taktischen, defensiven Akteuren zu strategischen Führungskräften entwickeln.

Executive Summary herunterladen

Einführung

Ivanti hat weltweit mehr als 3.000 IT- und Sicherheitsexperten sowie Unternehmensleiter befragt, um herauszufinden, wie sich Unternehmen auf die steigenden Cybersicherheitsbedrohungen einstellen. In diesem Report untersuchen wir, wie CISOs Risiken intern kommunizieren, einschließlich:

  • Vermittlung des enormen Risikos, dem ihr Unternehmen ausgesetzt ist, selbst wenn sie – durch eine Kombination aus Sachverstand und Glück – bislang nicht Opfer eines bedeutenden Angriffs geworden sind.
  • Vermittlung komplexer Risikomanagementkonzepte an den CEO und den Vorstand.
  • Entwicklung ihrer Rolle weg von einer technischen hin zu einer strategischen Führungskraft, die kritische Geschäftsentscheidungen ebenso beeinflussen kann wie die Entwicklung und Umsetzung von Sicherheitsrichtlinien.

Weitere Informationen zu unserer Studie und Methodik finden Sie im letzten Abschnitt.

3000+

Ivanti hat über 3.000 IT- und Sicherheitsexperten
zum Umgang der Führungskräfte mit den zunehmenden Cybersicherheitsbedrohungen befragt.

01

Viel zu große Zuversicht seitens der Führungsebene

Aktuelles Problem

Cyberrisiken werden immer komplexer und bedrohlicher, da sich die Technologie rasant weiterentwickelt, Cyberangreifer immer raffinierter werden und sich die Angriffsflächen durch miteinander vernetzte Systeme und Geräte vergrößern.

Allerdings scheinen Führungskräfte außerhalb der IT in kritischen Bereichen auffallend zuversichtlich zu sein – deutlich stärker als IT-/Sicherheitsexperten es sind. Die Situation stellt sich wie folgt dar:

  • 60 % der Führungskräfte außerhalb des IT-Bereichs geben an, dass sie „sehr” oder „äußerst zuversichtlich“ sind, dass ihr Unternehmen in den nächsten 12 Monaten einen schädlichen Sicherheitsvorfall verhindern oder stoppen kann.
  • Nur 46 % der IT-Fachleute teilen dieses Vertrauen.

Diese Diskrepanz deutet darauf hin, dass sich Führungskräfte außerhalb der IT-Abteilung der finanziellen, betrieblichen und reputationssschädigenden Risiken, die von den zunehmenden Sicherheitsbedrohungen ausgehen, möglicherweise nicht wirklich bewusst sind.



Warum dies so wichtig ist

Cybersicherheitsvorfälle nehmen deutlich zu. Der International Monetary Fund (IMF) April 2024 Global Financial Stability Report erläutert, dass „extreme Datenverlusten“ zunehmen und sich der Umfang dieser sogenannten extremen Datenverluste zwischen 2017 und 2021 auf 2,5 Milliarden Dollar mehr als vervierfacht hat.

Quote Icon

Durch die Übergabe von Routinearbeiten an Maschinen können sich Menschen auf erfüllendere Teile ihrer Arbeit konzentrieren. Technologie scheint auch die Kompetenzen innerhalb der Belegschaft anzugleichen: Frühe Studien ... deuten darauf hin, dass weniger erfahrene Mitarbeiter durch den Einsatz von KI einen größeren Antrieb erhalten.

 

‌ — IMF Global Financial Stability Report

Die Studie von Ivanti zeigt, dass die Budgets für Cybersicherheit zwar steigen (71 % geben an, dass dies 2024 der Fall ist), die Sicherheitsstrategie und die Investitionen jedoch möglicherweise nicht mit der zunehmenden Schwere und Verbreitung der Bedrohungen Schritt halten.

Ganze 95 % der IT- und Sicherheitsexperten denken, dass Sicherheitsbedrohungen durch KI gefährlicher werden – doch trotz dieses erhöhten Risikos hat fast jeder dritte Sicherheits- und IT-Experte keine dokumentierte Strategie für den Umgang mit den Risiken der generativen KI.

Fast zwei von drei befragten Unternehmen investieren noch nicht in kritische Bereiche wie externes Surface Attack Management, digitale Forensik oder Incident Response (DFIR).



02

Schwachstellenmanagement

Aktuelles Problem

Die Mehrheit (55 %) der IT-/Sicherheitsexperten gibt an, dass ihre Führungskräfte außerhalb der IT das Schwachstellenmanagement nicht vollständig überblicken. Und die Verantwortlichen in den Unternehmen stimmen dieser Einschätzung weitgehend zu. Ganze 47 % der Führungskräfte außerhalb der IT geben zu, dass sie mit dem Konzept nicht besonders vertraut sind.

Da die Zahl der bekannten Schwachstellen und Anfälligkeiten (Common Vulnerabilities and Exposures, CVEs) stark ansteigt, wird Priorisierung ein immer wichtigeres Thema.



Warum dies so wichtig ist

Schwachstellenmanagement ist eine unerlässliche Voraussetzung moderner Cybersicherheitsstrategien. Die Betonung liegt hier auf dem Wort „Management“. Man kann von keinem Sicherheitsteam erwarten, dass es eine nicht zu durchdringende Sicherheitsbarriere schafft. Stattdessen müssen die Sicherheitsteams ihre Maßnahmen und Ressourcen klar priorisieren und dabei die Bereiche absichern, die den größten Business-Impact haben.

Wenn Unternehmensleiter dies missverstehen, kann es zu einer falschen Einschätzung der Effektivität des CISO sowie des wahrgenommenen Wertes des Sicherheitsteams führen. So kann es passieren, dass Führungskräfte außerhalb der IT jeden erfolgreichen Cyberangriff unter Umständen als Versagen seitens der IT betrachten, selbst wenn diese Bedrohung schnell eingedämmt und neutralisiert wird.

Ebenso könnten Führungskräfte außerhalb der IT, die das Konzept des Schwachstellenmanagements nicht vollständig überblicken, annehmen, dass das finale Ziel der Sicherheit die 100-prozentige Patch-Compliance ist, anstatt einer effektiven Patch-Priorisierung. Mehr als 1 von 4 IT-Fachleuten gibt an, dass das Patch-Management durch veränderte Prioritäten der Unternehmensführung an Beachtung verliert.

1 von 4

Mehr als 1 von 4 IT-Fachleuten gibt an, dass das Patch-Management
durch veränderte Prioritäten der Unternehmensführung an Beachtung verliert.

03

Nicht aufeinander abgestimmte Sichtweisen

Aktuelles Problem

Sicherheitsteams und Führungskräfte außerhalb der IT haben unterschiedliche Ansichten über die potenziellen Auswirkungen von Cyberrisiken – einschließlich des Ausmaßes der Schäden, die sie verursachen können, und der Bereiche des Unternehmens, die am ehesten von den Folgen betroffen sind. Führungskräfte außerhalb der IT konzentrieren sich deutlich häufiger auf finanzielle, rechtliche und reputationsschädigende Auswirkungen als ihre Kollegen aus den Bereichen IT und Sicherheit. CISOs scheinen die Risiken tendenziell einseitig zu betrachten – und übersehen dabei möglicherweise das große Ganze.



Warum dies so wichtig ist

Nach dem jüngsten Cost of a Data Breach Reportvon IBM betrugen die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2023 4,45 Millionen US-Dollar – ein Anstieg von 15 % innerhalb von drei Jahren. Und Forschungen von Chainalysis zeigen, dass Ransomware-Zahlungen im Jahr 2023 einen historischen Höchststand erreichten und sich weltweit auf 1,1 Milliarden Dollar beliefen.

Cyberbedrohungen nehmen so schnell an Umfang und Raffinesse zu, dass es sich nicht mehr nur um Sicherheitsprobleme handelt. .Sie können sich schnell zu Unternehmenskrisen entwickeln, die sich auf alle Bereiche auswirken, vom Aktienkurs bis hin zur regulatorischen Stellung.

Gleichzeitig wenden sich Unternehmen zunehmend an ihre CISOs, um strategische geschäftliche Beratung für eine Vielzahl von Themen zu erhalten, von der Einführung von KI bis zum Management von Risiken in der Lieferkette. Ebenso werden die Vorstände zunehmend einbezogen.

  • Unsere Untersuchungen zeigen, dass Cybersicherheit bereits ein Thema im Vorstand ist. 86 % geben an, dass Cyberrisiken im Vorstand diskutiert werden, und 84 % sagen, dass CISOs zu hochrangigen strategischen Besprechungen über Geschäftsentscheidungen, Unternehmensplanung usw. eingeladen werden.
  • Ein Report von Statista über die Auswirkungen von Cyberkriminalität auf US-Unternehmen zeigt, dass sich Vorstände Gedanken über Themen wie Reputationsschädigung (43 %), erhebliche Ausfallzeiten (39 %), Verlust von Kunden (38 %) und Auswirkungen auf die Unternehmensbewertung (38 %) machen.

Und dennoch konzentrieren sich viele CISOs in erster Linie auf Ausfallrisiken, anstatt das große Ganze zu sehen.

24 % der Führungskräfte stufen die Auswirkungen von Cyberrisiken auf die Unternehmensreputation als ‚hoch‘ ein, verglichen mit nur 15 % der CISOs.

Um sich zu strategischen Akteuren zu entwickeln, müssen Sicherheitsverantwortliche lernen, ähnlich zu denken wie ihre CEOs und Vorstände – indem sie technisches Know-how in geschäftliche Prioritäten übersetzen, wie z. B. die finanziellen und reputationsschädigenden Auswirkungen von Angriffen sowie die rechtlichen und regulatorischen Folgen von Datenschutzverletzungen.



04

Handlungsschritte

C-Level-Führungskräfte müssen den Ton für das Gespräch über die Sicherheitsmaßnahmen vorgeben

Robert Grazioli

Robert Grazioli
Chief Information Officer, Ivanti

Bei so vielen gravierenden Sicherheitsvorfällen, die regelmäßig in den Nachrichten auftauchen, müssen CISOs sich nicht allzu sehr dafür einsetzen, die Führungsetage von den ernsten Risiken für Unternehmensreputation zu überzeugen, die mit Cyberangriffen einhergehen. Die Änderung dieses Bewusstseins hin zu einem strategischen, langfristigen Engagement für die Vision des CISO (und ein entsprechendes Budget) ist eine der wichtigsten Aufgaben des modernen CISO. Mit dieser Unterstützung können CISOs wirksame Systeme aufbauen, die eine hohe Sicherheit gewährleisten. Dazu gehört, Datensilos aufzubrechen, Prozesse aufeinander abzustimmen, stabile Kommunikationslinien sicherzustellen und sich einen vollständigen Überblick über die aktuelle Lage zu verschaffen, um Schwachstellen aufzudecken und sie zu beheben.

Überdenken Sie die Rolle des CISO – und entwickeln Sie die nächste Generation von Sicherheitsverantwortlichen.

Dr. Srinivas Mukkamale

Dr. Srinivas Mukkamala
Chief Product Officer, Ivanti

Die Rolle des CISO hat sich von einem taktischen Sicherheitsverantwortlichen zu einem strategischen Geschäftspartner gewandelt. In der heutigen Geschäftswelt stehen diese Sicherheitsverantwortlichen vor der Herausforderung, die Ziele des Risikomanagements und der Compliance-Richtlinien mit den Mitarbeitererfahrungen und den Geschäftszielen in Einklang zu bringen – und das kann immer dann schwierig sein, wenn sich diese Prioritäten widersprechen. Wirklich gute CISOs berücksichtigen, wie sich ihre Entscheidungen auf das gesamte Unternehmen auswirken und handeln entsprechend.

Realistisch betrachtet hat bislang nicht jedes Unternehmen diesen Reifegrad in Sachen Cybersicherheit erreicht oder hat Zugang zu solch fähigen Managern. Das liegt daran, dass wir aktuell nicht über genügend qualifizierte, gut ausgebildete und ideenreiche CISO-Kandidaten verfügen. Um diese Art von Führungskräften im Sicherheitsbereich zu entwickeln, müssen wir mehr Möglichkeiten für vielversprechende Cybersicherheits- und IT-Fachleute schaffen, damit sie ihre technischen Fähigkeiten, Führungsqualitäten und zugleich auch ihr unternehmerisches Denken entwickeln können.

Nutzen Sie „Schwachstellenmanagement“, um die Grundsätze der Cybersicherheit zu vermitteln

Sterling Parker

Sterling Parker
Senior Vice President of Global Technical Support, Ivanti

Das Schwachstellenmanagement ist eine unerlässliche Voraussetzung der modernen Cybersicherheitsstrategie und ein hervorragendes Instrument, um Cybersicherheit auf breiter Basis verständlich zu erklären. CISOs stehen heute jedoch vor der Herausforderung, den Dialog über Bedrohungen und Schwachstellen qualitativ höher anzusiedeln, um ein vielfältiges C-Suite-Team zu erreichen. Sie müssen in der Lage sein, die Auswirkungen aktueller oder potenzieller Bedrohungen auf Unternehmen und Kunden präzise darzustellen. Außerdem müssen sie die Anforderungen an die Cybersicherheit mit den Bedürfnissen des CIO (d. h. der Verfügbarkeit von Lösungen) in Einklang bringen. Beim Schwachstellenmanagement geht es um Kompromisse. Die Vorstellung des Konzeptes vor den Führungskräften ist eine hervorragende Gelegenheit, das Gespräch über die Möglichkeiten und Grenzen der Cybersicherheit und die daraus resultierenden strategischen Entscheidungen zu initiieren.

Ein weiterer nützlicher Rahmen, um das Verständnis des Sicherheitsmodells für Führungskräfte außerhalb der IT zu verbessern, ist das Prinzip CIA, das für Vertraulichkeit (Confidentiality), Integrität‌ (Integrity) und Verfügbarkeit (Availablity) steht.

  • Vertraulichkeit gewährleistet, dass sensible Informationen nur denjenigen zugänglich sind, die zu ihrer Verwendung berechtigt sind.
  • Integrität bedeutet, dass das Unternehmen die Genauigkeit, Konsistenz und Vertrauenswürdigkeit von Daten über ihren gesamten Lebenszyklus aufrechterhält.
  • Verfügbarkeit stellt sicher, dass Daten und Ressourcen für die User in dem Moment, in dem sie sie benötigen, leicht zugänglich sind.

Für CISOs, die die grundlegenden Möglichkeiten und Bedrohungen der Cybersicherheit kommunizieren müssen, bietet die Begriffstriade CIA einen harmonischen und ganzheitlichen Ansatz für die Sicherheit. Sie hilft CISOs, das nötige Verständnis und die Unterstützung für ihre Sicherheitsvision, die Incident-Response und die Ausführungsstrategie zu erhalten.

Quantifizieren Sie die Auswirkungen von Sicherheitsereignissen auf andere Geschäftsfunktionen

Sterling Parker

Sterling Parker
Senior-Vizepräsident für globalen technischen Support, Ivanti

Letztlich ist es die Aufgabe des CISOs, den reibungslosen Betrieb des Unternehmens zu ermöglichen. In diesem Sinne sollten CISOs mit anderen Abteilungen und Stakeholdern zusammenarbeiten, um zu verstehen, wie sich Sicherheitsereignisse auf andere Bereiche des Unternehmens auswirken können.

In Zusammenarbeit mit den wichtigsten Stakeholdern innerhalb des Unternehmens können CISOs Kennzahlen und Tools definieren und tracken, die die geschäftlichen Auswirkungen von Sicherheitsvorfällen messen – einschließlich Unternehmensreputation, Kundenzufriedenheit, Mitarbeiterengagement und Produktivität. Manchmal sind die Auswirkungen erst zeitverzögert sichtbar. Kennzahlen wie die Anzahl der formellen Beschwerden, Klagen, Medienberichte und Kundenabwanderung sollten ebenfalls gemessen und verwaltet werden.

Ziel ist es, Schwachpunkte zu beseitigen und eine fundierte Entscheidungsfindung zu ermöglichen – sowohl für das Sicherheitsteam als auch für das gesamte Führungsteam.

Methode

Dieser Report basiert auf zwei Umfragen, die Ivanti Ende 2023 und Anfang 2024 durchgeführt hat: „Everywhere Work Report 2024: Flexible Arbeit stärken” und „Report zum Stand der Cybersicherheit 2024: Wendepunkt.“ Insgesamt wurden im Rahmen dieser beiden Studien 15.000 Führungskräfte, IT-Fachleute und Büroangestellte befragt. Der Report befasst sich speziell mit den 3.059 Führungskräften, IT-Fachleuten und Sicherheitsexperten, die im Rahmen der beiden Studien befragt wurden.

Vielen Dank!

Executive Summary herunterladen Herunterladen

Executive Summary herunterladen

Erhalten Sie wichtige Erkenntnisse und Umfrageergebnisse, einschließlich Diagrammen und Grafiken, in einem präsentationsbereiten Format