Zu wenig Beachtung von IT-Sicherheit
IT-Sicherheitsmanager klagen über zu wenig Rückhalt im eigenen Betrieb und uneinsichtige Chefs. Aktuelle Studie von Trend Micro zeigt große Risiken im betrieblichen Umgang mit Cyber-Security.
Trend Micro, internationaler Anbieter von Cybersicherheitslösungen, hat kürzlich neue Ergebnisse einer Studie zum Umgang mit Cyberrisiken in Unternehmen veröffentlicht. Fast drei Viertel der österreichischen IT-Security-Verantwortlichen fühlen sich von der Geschäftsleitung unter Druck gesetzt, die Cyberrisiken im Unternehmen herunterzuspielen. 42 Prozent von ihnen glauben, dass es für die Führungsriege erst einen schwerwiegenden Sicherheitsvorfall brauche, um entschlossener gegen Cyberrisiken vorzugehen.
Als Begründung nennen 46 Prozent der Befragten, dass sie als übermäßig negativ gelten. 34 Prozent meinen, sie würden als sich wiederholend und nörgelnd gesehen. Ein Drittel berichtet, bereits von der Geschäftsleitung kurzerhand abgewiesen worden zu sein. Laut Trend Micro deuten diese Ergebnisse auf ein gravierendes Kommunikationsproblem hin : Offensichtlich schaffen es die Security-Verantwortlichen nicht, der Geschäftsleitung den Zusammenhang zwischen Cyberrisiken und daraus entstehenden Geschäftsrisiken aufzuzeigen.
Heterogene Security-Landschaften als Herausforderung
Umgekehrt berichten 97 Prozent, dass sich ihre interne Lage verbesserte, sobald es gelang, den geschäftlichen Nutzen ihrer Cybersicherheitsstrategie zu messen. 42 Prozent erhielten dann sogar mehr Verantwortung. 38 Prozent glauben, dass ihre Rolle im Unternehmen als wertvoller angesehen wird. 35 Prozent erhielten sodann mehr Budget. 34 Prozent werden in die Entscheidungsfindung auf höherer Ebene einbezogen.
In knapp einem Drittel der österreichischen Unternehmen (28 Prozent) wird Cybersicherheit nach wie vor lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt. Nur rund die Hälfte der Befragten sind zuversichtlich, dass ihre Führungsebene die Cyberrisiken, denen das Unternehmen ausgesetzt ist, vollständig versteht. Eine große Herausforderung seien dabei heterogene Security-Landschaften mit oftmals isolierten Einzellösungen, die Security-Verantwortlichen klare Aussagen zu Cyberrisiken erschweren.
Cyberrisken als größtes Geschäftsrisiko für Hälfte der österreichischen Unternehmen
„Fast die Hälfte der Security-Verantwortlichen in Österreich sagen, dass Cyberrisiken ihr größtes Geschäftsrisiko sind. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht“, sagt Richard Werner, Security Advisor bei Trend Micro. „Wenn sich die Kommunikation mit der Führungsebene nicht verbessert, wird die Cyber-Resilienz von Unternehmen leiden. Der erste Schritt zur Verbesserung sollte darin bestehen, eine ganzheitliche Betrachtungsweise (Single Source of Truth) für die gesamte Angriffsfläche zu schaffen“, so Werner.
Aus der Sicht von Trend Micro kann eine derartige ganzheitliche Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management, ASRM) auch zur Lösung der betrieblichen Kommunikationsprobleme beitragen. ASRM sammelt interne und externe Security-Daten in einem zentralen Data Lake, analysiert und korreliert sie KI-gestützt. „In einem Executive Dashboard erhalten dann die Security-Manager alle Informationen zur Risikoexposition, die sie für ein überzeugendes Reporting bei der Geschäftsleitung brauchen“, ergänzt Richard Werner von Trend Micro.