Report zum Stand der Cybersicherheit 2024

Wendepunkt

Die Cybersicherheit erhält endlich die angemessene Aufmerksamkeit. Dennoch gibt es noch immer kritische Hürden – von der Verringerung des technischen Aufwands bis zum Abbau von Datensilos. Um dies zu meistern, ist eine engere Abstimmung zwischen dem CIO und dem CISO erforderlich.

Executive Summary herunterladen

Einführung

Zunächst die gute Nachricht: Die neueste Studie von Ivanti – eine Befragung von mehr als 7.000 Führungskräften, Cybersicherheitsexperten und Büroangestellten – zeigt, dass Cybersicherheit verbreitet als eine der höchsten Prioritäten im Unternehmen angesehen wird, sogar auf Vorstandsebene. 

  • 73 % der Führungskräfte und IT-/Sicherheitsexperten berichten, dass die Sicherheitsbudgets steigen.
  • 87 % geben an, dass das Cybersicherheitsbudget ihres Unternehmens für 2024 ausreicht, um die Ziele zu erreichen – und sie investieren es in eine Mischung aus bestehenden und neuen Bereichen – von Cloud- und Datensicherheit bis hin zur Erkennung von Identitätsbedrohungen und generativer KI.  
  • 91 % berichten, dass die Cybersicherheit in ihrem Unternehmen als strategisches Kernstück betrachtet wird.

Außerdem hat sich die Sicherheitsbereitschaft insgesamt verbessert: 57 % geben an, dass sie besser auf die Abwehr von Cybersicherheit-Angriffen vorbereitet sind als noch vor einem Jahr.



Ein weiteres positives Zeichen: Die Ivanti-Studie zeigt, dass Vorstände sich zunehmend für das Thema Cybersicherheit und ihre Auswirkungen auf das Unternehmen einsetzen. Ganze 80 % der Befragten geben an, dass sie jemanden in ihren Vorständen mit Sicherheitsexpertise haben, und 86 % berichten, dass dies ein Gesprächsthema auf Vorstandsebene ist.

Diese Aufmerksamkeit seitens des Vorstands ist von entscheidender Bedeutung, da sie zeigt, dass die Cybersicherheit nicht nur ein technologisches Risiko, sondern auch ein kritisches Geschäftsrisiko darstellt. Auf diese Weise wird die Cybersicherheit zu einem wichtigen Faktor bei einer Vielzahl strategischer Entscheidungen auf Vorstandsebene – von der Umstrukturierung der Lieferketten und der Prüfung von Übernahmen bis hin zur Abwägung, ob neue Märkte erschlossen werden sollen.  

Ein aktueller Report von MIT Sloan Management Review unterstreicht diese Ansicht: „Komplexe, sich ständig weiterentwickelnde Cybersicherheitsrisiken, die mit Geschäftsrisiken verwoben sind, erfordern die konzentrierte Aufmerksamkeit mindestens eines Vorstandsmitglieds mit umfassenden Kenntnissen und Erfahrungen in den Bereichen Technologie und Wirtschaft.”

Die Aufmerksamkeit seitens des Vorstands ist wichtig, da sie zeigt, dass die Cybersicherheit nicht nur ein technologisches Risiko, sondern auch ein kritisches Geschäftsrisiko darstellt.

Trotz all der positiven Signale in Bezug auf die Führung und die Beteiligung des Verwaltungsrats fragten wir uns: „Wie weit reicht die Unterstützung?”

Wir haben sowohl Führungskräfte als auch Sicherheits- und IT-Fachleute gefragt, wie gut die Führungskräfte eines Unternehmens die wichtigsten Konzepte der Cybersicherheit verstehen. Schließlich ist ein differenziertes Verständnis von Schlüsselbegriffen ein Indikator – oder eine Voraussetzung – für die Unterstützung durch die Führungsebene. 

Weniger als die Hälfte geben an, dass ihre Führungskräfte ein fundiertes Verständnis von Begriffen wie Schwachstellenmanagement (45 %) und Zero Trust (44%) haben. Von den Unternehmen mit weniger ausgereiften Cybersicherheitsprogrammen gaben nur 24-26 % an, dass die Führungskräfte diese Konzepte verstanden haben. (Die Skala für die Bestimmung des Reifegrads der Cybersicherheit wird in Abschnitt drei erläutert)

Die Ivanti-Studie unterstreicht auch einen ständigen (und kostspieligen) Reibungspunkt: die unzureichende Abstimmung zwischen dem CIO und dem CISO — und das ist nicht nur ein Führungsproblem. 

Ganze 72 % der befragten Fachleute geben an, dass IT- und Sicherheitsdaten in ihrem Unternehmen in Silos isoliert sind. Und 41 % sagen, dass IT- und Sicherheitsteams Schwierigkeiten haben, die Cybersicherheit gemeinsam zu verwalten. 

Die Daten zeigen, dass seit langem bestehende, systemische Technologie- und Datensilos das Risiko erhöhen und die Transformation verlangsamen.



Diese seit langem bestehenden, systemischen Technologie- und Datensilos erhöhen das Risiko und verlangsamen die Transformation. Fast 2 von 3 (63 %) IT- und Sicherheitsexperten berichten, dass Datensilos die Reaktionszeiten im Sicherheitsbereich verlangsamen, und 54 % sagen, dass Datensilos die Sicherheitslage ihres Unternehmens schwächen. 

Datensilos können auch bedeuten, dass Investitionen in KI und Automatisierung aufgrund mangelnder Datenzugänglichkeit und -transparenz zu kurz kommen.  

Fortschrittliche KI-Lösungen erfordern große Mengen hochwertiger Daten für Schulungen und Betrieb. Wenn Technologie und Daten in hohem Maße in Silos isoliert sind – wie es in vielen Unternehmen zwischen der IT- und Sicherheitsabteilung der Fall ist –, sind KI-Anwendungen der nächsten Generation von vornherein zum Scheitern verurteilt. Jede Verzögerung bei der Nutzung des vollen Potenzials von KI könnte jahrelange Auswirkungen auf die Sicherheitslage und die Geschäftslage eines Unternehmens haben.

Um die Cybersicherheitsabteilung zu einem strategischen Partner für die Führungskräfte auf C-Ebene machen zu können, müssen diese Barrieren überwunden werden – sowohl die technologischen als auch die kulturellen. 

Wenn Technologie und Daten in hohem Maße in Silos isoliert sind – wie es in vielen Unternehmen zwischen der IT- und Sicherheitsabteilung der Fall ist –, sind KI-Investitionen von vornherein zum Scheitern verurteilt.



 

01

Cyber-KI

Die Unternehmen haben bisher einen uneinheitlichen Ansatz für KI. Die meisten wissen, dass dies ein Risiko für das Unternehmen darstellt, aber zu viele haben keine Strategie, um auf KI-Bedrohungen zu reagieren. Es ist an der Zeit, die Situation zu ändern. 

Fortschritte bei der KI haben das Potenzial, Cybersicherheitsteams zu stärken, aber auch – wenn sie von Angreifern eingesetzt wird – sie zu „entwaffnen”.

Zunächst das Positive. Cyber-KI kann Unternehmen schützen, indem sie: 

  • Bedrohungen erkennt und schneller und präziser auf Angriffe reagiert. 
  • Muster und Trends erkennt, um einen proaktiven Angriff vorherzusagen, bevor er sich materialisiert. 
  • Wissen aus verschiedenen Quellen konsolidiert, um ein ganzheitlicheres Verständnis der Bedrohungslandschaft zu erlangen, Antworten zusammenzufassen und Prioritäten für die nächsten Schritte zu setzen. 
  • Aufgaben für Schnelligkeit und Genauigkeit automatisiert, z. B. Isolierung infizierter Geräte, Schreiben eines robusten Codes oder Planung von Patching-Zyklen.

Cyber-KI kann Unternehmen aber auch einem größeren Risiko aussetzen. Viele Unternehmen setzen beispielsweise KI und Automatisierung ein, um routinemäßige, sich wiederholende Aufgaben zu übernehmen und die Arbeitsbelastung zu verringern. Werden diese Veränderungen jedoch nicht ausreichend berücksichtigt, könnte man sich fälschlicherweise in Sicherheit wiegen, sei es aufgrund eines falschen Sicherheitsgefühls oder einer mangelnden Überwachung.  

Und böswillige Akteure können die Macht und Reichweite der KI nutzen, um ihre schädlichen Ziele voranzutreiben:

  • Einsatz von Automatisierung, um Schwachstellen schnell zu erkennen, Netzwerke zu scannen und Angriffe zu starten.
  • Nutzung von KI-gestütztem Social Engineering zur Erstellung überzeugenderer und personalisierter Phishing-E-Mails.
  • Entwicklung von Malware, die sich der Entdeckung entzieht , indem sie das normale Netzwerkverhalten nachahmt.
  • Demokratisierung des Hackens durch KI-Learning (d. h., leistungsfähige Algorithmen auch in die Hände von relativ unerfahrenen und ungeschulten Hackern zu legen).
  • Hacking von KI-Systemen durch feindliche Übernahmen – im Wesentlichen wird die KI gegen das Unternehmen eingesetzt, für das sie eigentlich arbeiten sollte.

Trotz dieser Risiken sind IT- und Sicherheitsexperten weitgehend optimistisch, was den Einfluss von KI auf die Sicherheit angeht. Fast die Hälfte (46 %) sind überzeugt, dass es sich um einen positiven Effekt handelt, und weitere 44 % glauben, dass die Auswirkungen „neutral” sein werden (weder positiv noch negativ).   



Bei allem Optimismus wollten wir wissen: Welche Arten von KI-gestützten Angriffen stellen nach Ansicht von IT- und Sicherheitsexperten die größte Gefahr dar? Zu den gefährlichsten gehören generative gegnerische Netze, Spoofing und Manipulationen. 

Drittanbieter stellen ebenfalls einen risikoreichen Einstiegspunkt für KI-gestützte Angriffe dar. Und unsere Studie zeigt , dass mehr als die Hälfte (53 %) der befragten Unternehmen Drittanbieter nicht auf Risiken im Zusammenhang mit KI geprüft haben.



Trotz der erhöhten Bedrohungen hat fast 2 von 3 Unternehmen keine dokumentierte Strategie für den Umgang mit generativen KI-Risiken.

Es gibt keine einheitliche Antwort auf KI-gestützte Bedrohungen. Obwohl Schulungen in der Vergangenheit eine erste Verteidigungslinie gegen Phishing-Angriffe waren, glauben nur 32 %, dass Schulungen „sehr effektiv” sind, um sich gegen KI-gestützte Social-Engineering-Angriffe wie Deepfakes zu schützen. (Unsere Studie unter Büroangestellten ergab, dass 54 % nicht wussten, dass fortschrittliche KI inzwischen die Stimme einer beliebigen Person imitieren kann).  

Die Geschwindigkeit, mit der KI die Sicherheitslandschaft verändern wird, bedeutet, dass jede Methode, die sich zu einem wesentlichen Teil auf menschliche Erkennung stützt, unweigerlich zu kurz greift.

Unternehmen müssen bestehende Weiterbildungsmaßnahmen und Schulungen für Mitarbeiter mit der Hypervigilanz von KI-gestützten Sicherheitstools kombinieren. Tomas Chamorro-Premuzic, Chief Innovation Officer bei der Manpower Group, gibt in der Harvard Business Review einen ähnlichen Rat: „Dies erfordert keine Entweder-oder-Entscheidung zwischen dem Vertrauen auf menschliche oder künstliche Intelligenz, um Unternehmen vor Angriffen zu schützen. Vielmehr sollte eine Kultur entstehen, die es schafft, sowohl technologische Innovationen als auch menschliches Fachwissen zu nutzen, in der Hoffnung, weniger anfällig zu sein als andere.” 



Mit einem vielschichtigen Ansatz gegen KI-gestützte Bedrohungen sollten Unternehmen sowohl betriebliche Verbesserungen als auch technologiegestützte Verteidigungstaktiken optimieren. Dazu zählen: 

Cyber-KI-Governance und -Überwachung

  • Einstellung von KI-Experten.
  • Bewertung des Anbieterrisikos und Einhaltung von Vorschriften.  
  • Anwendung einer Strategie und von Leitlinien für den Einsatz von generativer KI.
  • Einführung und/oder Verfeinerung von Data-Governance-Verfahren.

Cyber-KI-Abwehr und Barrieren

  • Verbesserung des Datenzugangs und der Transparenz. 
  • Stärkung der Zusammenarbeit. 
  • Verringerung des Wildwuchses an Tools und Lizenzen.

02

BYOD

Sicherheitsteams sagen, dass sie wissen, wenn Mitarbeitende ihre privaten Geräte für die Arbeit nutzen – eine Praxis, die als BYOD (Bring Your Own Device) bezeichnet wird. Die Studie von Ivanti legt das Gegenteil nahe. Die Forschungen von Ivanti legen das Gegenteil nahe.

Unsere Studie zeigt, dass der Anteil von BYOD hoch ist – ob erlaubt oder nicht.

Nach Angaben von IT- und Sicherheitsexperten wird BYOD in 84 % der Unternehmen weltweit praktiziert, aber nur 52 % erlauben dies tatsächlich. Bei den Unternehmen, die es nicht zulassen, ist die Beteiligung immer noch hoch: 78 % geben an, dass die Mitarbeitenden ihre privaten Geräte am Arbeitsplatz nutzen, auch wenn dies verboten ist.

BYOD zuzulassen – oder stillschweigend zu tolerieren – bedeutet nicht immer, es zu tracken und zu verwalten. Tatsächlich tracken über 1 von 3 Unternehmen, die BYOD entweder ausdrücklich zulassen oder einfach wegschauen, BYOD nicht oder sind sich nicht sicher, ob sie es tun können. Und das, obwohl allgemein anerkannt ist, dass das Risiko von BYOD mäßig oder hoch ist.



Büroangestellte bestätigen, dass das Problem weit verbreitet ist. 81 % der Büroangestellten geben zu, dass sie irgendeine Art von privatem Gerät für die Arbeit nutzen. Davon loggt sich die Hälfte über ihre privaten Geräte in Netzwerke und Arbeitssoftware ein. Und 40 % sagen, dass ihre Arbeitgeber nichts von ihren Aktivitäten wissen. 

Die Mitarbeitenden berichten uns, dass sie ihre eigenen Geräte vor allem deshalb verwenden, weil sie die Benutzerfreundlichkeit und Zuverlässigkeit persönlicher Geräte bevorzugen und weil ihre Arbeitgeber ihnen keine Mobiltelefone zur Verfügung stellen.  



Viele Unternehmen gehen den bewussten Kompromiss ein, BYOD zuzulassen – sie akzeptieren ein geringes zusätzliches Risiko im Austausch für mehr Transparenz und Kontrolle über die persönlichen Geräte, die auf das Netzwerk zugreifen. Sogar einige Behörden der US-Bundesregierung gestatten ihren Mitarbeitenden unter bestimmten Umständen, ihre eigenen Geräte für die Arbeit zu nutzen. Und das National Institute of Standards and Technology (NIST) hat in seinem 2016 veröffentlichten User's Guide to Telework and Bring Your Own Device Security Richtlinien und bewährte Verfahren für BYOD veröffentlicht.



Ein Teil des Problems besteht darin, dass viele IT- und Cybersicherheitsteams derzeit keine effektive Möglichkeit haben, die persönlichen Geräte der Mitarbeitenden am Arbeitsplatz zu tracken und zu verwalten. Nur 63 % sind in der Lage, BYOD neben unternehmenseigenen IT-Assets zu tracken.

Die Arbeitgeber zögern verständlicherweise, BYOD zu verbieten, da dies nur zu einer höheren Rate von Schatten- BYOD führen würde. Die Lösung liegt darin, eine bessere Übersicht und Kontrolle über BYOD zu erlangen und dadurch die damit verbundenen Risiken zu minimieren.

Durch den Einsatz von Unified Endpoint Management (UEM), das Funktionen zur Verwaltung der persönlichen Geräte von Mitarbeitenden umfasst, können Unternehmen beispielsweise sichere Passwörter erzwingen, Protokolle für den Systemzugriff festlegen (d. h. den minimal erforderlichen Zugriff), Datenverwaltungssoftware vorschreiben, Updates erzwingen und im schlimmsten Fall Sperr- und Bereinigungsfunktionen erzwingen. Und da UEM-Lösungen es dem Arbeitgeber ermöglichen, das Telefon oder den Laptop eines Mitarbeitenden zu partitionieren und so persönliche Daten von Arbeitsdaten zu trennen, betreffen diese Arten von Löschungen nur Arbeitsprodukte, nicht aber persönliche Daten. 

03

2024 und darüber hinaus

Was ist erforderlich, um in Zukunft eine erstklassige Cybersicherheitsorganisation zu führen? Und welche konkreten Schritte sollten CISOs unternehmen, um sich auf die Zukunft der Cybersicherheit vorzubereiten?

Wir haben Umfrageteilnehmende, die im Bereich Cybersicherheit tätig sind, gebeten, den Grad der Bereitschaft ihres Unternehmens, sich mit Cybersicherheit zu beschäftigen, zu bewerten – von grundlegend (Stufe 1) bis erstklassig (Stufe 4) – um eine Skala für die Reife in Bezug auf Cybersicherheit zu entwickeln. 

Anschließend haben wir diese Kohorten (siehe unten) verglichen, um mehr über die Praktiken und Verhaltensweisen von Unternehmen der Stufe 4, den fortschrittlichsten Unternehmen, die wir untersucht haben, zu erfahren.  



Was haben wir gelernt?

Fortschrittliche Unternehmen (d.h. Stufe 4) haben eine außergewöhnlich starke Unterstützung durch die Führungsebene. 80 % geben an, dass ihre Unternehmensführung den Cybersicherheitsauftrag in hohem Maße unterstützt und sich für ihn einsetzt – mehr als doppelt so viel wie bei weniger ausgereiften Unternehmen. 

Führungskräfte in Unternehmen der Stufe 4 verstehen wichtige Sicherheitskonzepte – komplexe Themen wie Schwachstellenmanagement und Zero Trust. Tatsächlich ist die Wahrscheinlichkeit, dass sie diese Begriffe verstehen, mindestens 2,5 Mal höher als bei Unternehmen der Stufe 2, was bedeutet, dass sie sich engagieren, informiert sind‌ und sich der Sache bewusst sind. 

CISOs in fortschrittlichen Unternehmen berichten tendenziell eher direkt an den CEO (51 %) als an den CIO (40 %). Außerhalb dieser Gruppe berichten CISOs häufiger an den CIO. Es gibt keine einheitliche Antwort auf die Frage nach den besten Berichtsstrukturen, aber der Unterschied ist bemerkenswert, weil er zeigt, dass CISOs in diesen fortschrittlichen Sicherheitsorganisationen einen Platz am Tisch der Geschäftsführung haben – und eher zu Gesprächen über Unternehmensstrategie und Risikotoleranz eingeladen werden.

Fortschrittliche Unternehmen haben die Risiken in ihrer gesamten Software-Lieferkette untersucht und identifiziert. 73 % der Unternehmen der Stufe 4 geben an, die Systeme/Komponenten von Drittanbietern identifiziert zu haben, die in der Lieferkette am anfälligsten sind (und im Falle einer Kompromittierung die größten Auswirkungen auf das Unternehmen haben) – fast dreimal so viele wie bei weniger ausgereiften Unternehmen. 



Fortschrittliche Unternehmen verfügen über eine klare Cyber-KI-Strategie – sowohl im Umgang mit der Bedrohung, die sie darstellt, als auch im Hinblick auf ihre Nutzung als Vorteil. Obwohl sie tendenziell stärker als andere wegen der negativen Auswirkungen der KI besorgt sind, sehen 61 % der Befragten die KI als positiv für die Sicherheit an, verglichen mit 28 % der Stufe 2. 

80 % der Unternehmen der Stufe 4 geben an, dass sie eine dokumentierte Strategie für den Umgang mit Schwachstellen und Risiken der generativen KI verwenden (zum Vergleich: 48 % der Unternehmen der Stufe 2). Und die Unternehmen der Stufe 4 verfügen über mehr Schutzebenen, um sich vor KI-gestützten Bedrohungen zu schützen - von der Endpunktverwaltung über die Erkennung und Reaktion bis hin zur mobilen Bedrohungsabwehr und Anti-Phishing-Schulungen.



Womit haben ALLE Unternehmen – auch die der Stufe 4 – noch zu kämpfen?

Ein unsichtbares, nicht verwaltetes BYOD ist selbst für fortschrittliche Unternehmen ein echtes Problem. Ja, Unternehmen der Stufe 4 erlauben und verwalten BYOD eher als andere, die wir untersucht haben, aber die Zahlen sind nicht außergewöhnlich. Fast 1 von 5 fortschrittlichen Unternehmen sagt, dass BYOD nicht erlaubt ist, aber dennoch toleriert wird. Und 25 % geben an, dass sie BYOD derzeit nicht tracken und managen können.

Datensilos zwischen der Sicherheits- und IT-Abteilung sind ein allgegenwärtiges Problem für alle Unternehmen. 71 % der fortschrittlichen Unternehmen geben an, dass ihre Sicherheits- und IT-Daten in Silos isoliert sind, was sogar 8 Prozentpunkte höher ist als bei Unternehmen der Stufe 2. Und 58 % der Level-4-Unternehmen geben zu, dass diese Silos die Reaktionszeiten der Sicherheitsverantwortlichen verlangsamen. Datensilos sind ein universelles Problem für CISOs und CIOs – und ein besonders heikles angesichts der Geschwindigkeit der Investitionen in KI, die Datenintegration und -zugänglichkeit erfordern.

Die Überwindung von Datensilos und die Gewinnung eines ganzheitlichen Überblicks über die Risikolandschaft des Unternehmens ist nicht nur ein technisches Problem, sondern auch ein Führungsproblem.

Wir sind davon überzeugt, dass das nächste Kapitel des Fortschritts in der Cybersicherheit eine stärkere Zusammenarbeit zwischen CIOs und CISOs erfordert, um die neuesten technischen Fortschritte zu nutzen und einen sichereren Arbeitsplatz zu schaffen. 

Das Motto für 2025: Die Kluft zwischen CIOs und CISOs überbrücken –- und einen einheitlicheren Ansatz zur Cybersicherheit verfolgen. Das heißt:

  1. Angleichung der Denk- und Handlungsweisen von CIO und CISO in Bezug auf den Sicherheitsauftrag. 
  2. Abbau von Datensilos, die die Reaktionszeiten verlangsamen, wichtige Erkenntnisse‌ ausblenden und die aus der KI entstehende Innovation bremsen.  
  3. Verringerung der Anzahl der in der IT und im Sicherheitsbereich eingesetzten Technologie-Tools – immer mit dem Ziel, einen ganzheitlichen Überblick über die Sicherheitslage des Unternehmens zu erhalten.
  4. Implementierung einer leistungsstarken IT-Infrastruktur, von Services und Lösungen, die die Interessen des CIO und des CISO harmonisieren. 

Sprechen wir über Software

Ivanti überwindet die Barrieren zwischen IT und Sicherheit, damit Everywhere Work erfolgreich ist.

Sehen Sie unsere Produkte in einer individuellen Demo.

Über die Studie

Ivanti hat im Oktober 2023 über 7.300 Führungskräfte, IT- und Cybersicherheitsexperten‌ sowie Büroangestellte befragt. Unser Ziel ist es, die dringlichsten Bedrohungen der Cybersicherheit sowie neue Trends, Chancen und Geschäftsstrategien zu verstehen. 

Im Rahmen der Studie haben wir eine Skala für die Bestimmung des Reifegrades der Cybersicherheit entwickelt. Weitere Einzelheiten finden Sie in Abschnitt vier. Das Sammeln von Informationen durch Selbsteinschätzung hat seine Grenzen, da Menschen bei der Beurteilung ihrer eigenen Bemühungen voreingenommen sein können. Wir glauben jedoch, dass die auf diesem Reifegradmodell basierenden Ergebnisse nützliche Signale für den Bereich der Cybersicherheit liefern. Wir bitten die Leser, diese Einschränkungen zu beachten.

Diese Studie wurde von Ravn Research durchgeführt, und die Teilnehmer wurden von MSI Advanced Customer Insights rekrutiert. Die Umfrageergebnisse sind nicht gewichtet. Weitere Einzelheiten nach Ländern sind auf Anfrage verfügbar.

Artikel teilen
 

Vielen Dank!

Executive Summary herunterladen Herunterladen

Executive Summary herunterladen

Erhalten Sie wichtige Erkenntnisse und Umfrageergebnisse, einschließlich Diagrammen und Grafiken, in einem präsentationsbereiten Format