Größeres Budget und Outsourcing zur Überwindung der Sicherheitskrise

Unternehmen bewerten Cyberrisiken als immer schwerwiegender. Dies ist ein Grund, wieso viele IT-Verantwortliche ihre Budgets verdoppeln, in neue Infrastrukturen investieren oder Schlüsselfunktionen auslagern.

Die IDG-Studie “Security Priorities 2021” fand heraus, welche Prioritäten Führungskräfte im Bereich der Cybersicherheit in den nächsten 12 Monaten setzen möchten. In erster Linie geht es um die richtige Vorbereitung, um auf neue Vorfälle adäquat reagieren zu können (48 %). Ein weiteres Ziel ist es, kritische und vertrauliche Daten besser zu schützen (43 %) und das Bewusstsein der Endnutzer für Cybersicherheit durch Schulungen zu erhöhen (42 %).

Interessant ist: Wer welche Prioritäten setzt, variiert je nach Größe des Unternehmens. Für kleine und mittlere Unternehmen (KMU) ist beispielsweise die Erhöhung der Sicherheitsbereitschaft wichtiger (53 %), dasselbe gilt für mehr Sensibilität durch Schulungen (46 %). Für große Unternehmen hat die Verbesserung der IT- und Datensicherheitskapazitäten oberste Priorität, um den Schutz des Unternehmens nach außen zu erhöhen (45 % gegenüber 38 % bei KMU).

Die genannten Prioritäten sind sinnvoll: Sie gehen auf die wichtigsten Herausforderungen ein, mit denen sich Sicherheitsverantwortliche in letzter Zeit immer häufiger konfrontiert sahen – und die sie dazu veranlassten, ihre Zeitressourcen umzuverteilen. Zu solchen Herausforderungen gehören unvorhergesehene Risiken für das Unternehmen (z. B. Pandemien), Sensibilisierungsschulungen und neue externe Bedrohungen wie Ransomware-Angriffe, ganz zu schweigen von Governance- und Compliance-Vorschriften, die die Sicherheitsanforderungen in vielen Regionen verändert haben (26 %).

Um den neu gesteckten Zielen gerecht zu werden, ist es unerlässlich, Tools zu evaluieren, die zur Minderung von Sicherheitsrisiken beitragen können. Ganz oben auf der Liste stehen Zero-Trust-Lösungen, die derzeit von 52 % der Befragten getestet werden. 21 % setzen sie bereits regelmäßig ein. Das sind 3 % mehr als im vergangenen Jahr. Weitere 25 % der Sicherheitsverantwortlichen geben an, dass sie die Einführung solcher Lösungen in den nächsten 12 Monaten planen.

Anders als das Perimeter-Sicherheitsmodell (dessen Prämisse “Vertrauen und Überprüfung” lautet) geht Zero Trust von der Idee aus, dass Organisationen das implizite Vertrauen in jedes Element, jeden Knoten oder jeden Dienst überdenken müssen. Zero Trust sieht, wie der Name vermuten lässt, strenge Authentifizierungs- und Autorisierungsprozesse vor. Benutzer sollen nur Zugang zu digitalen Assets erhalten, die sie auch wirklich brauchen. So soll im Ernstfall Schaden begrenzt werden.

Lösungen für Security Orchestration, Automation und Response (SOAR) gewinnen ebenfalls an Bedeutung: 49 % der Befragten erforschen oder testen diese Plattform, die Daten aus einer Vielzahl von Tools koordiniert und die Sicherheitsanalyse automatisiert.

Fast die Hälfte (49 %) der Unternehmen gab in der Studie an, dass sie bereits einige IT-Sicherheitsfunktionen ausgelagert haben oder in den nächsten 12 Monaten outsourcen werden. Weitere 13 % sagten, dass sie bereits alle Sicherheitsfunktionen ausgelagert haben oder im gleichen Zeitraum auslagern werden. Der Schwerpunkt des Outsourcings liegt dabei auf Sicherheitsbewertungen und Audit-Services (38 %), gefolgt von Netzwerk-, Endpunkt- und Cloud-Überwachung sowie Sicherheitsanalysen (33 %). Es bleibt abzuwarten, ob im kommenden Jahr die Verhaltensüberwachung und -analyse (29 %) sowie die Schulung des Sicherheitsbewusstseins (27 %) auf Outsourcing-Liste nach oben rücken.

Nach wie vor erledigen 68 % der Unternehmen den Großteil der IT-Sicherheitsfunktionen intern. Es wird erwartet, dass sich dieser Prozentsatz bis 2022 nicht dramatisch ändern wird. Allerdings liegt er unter dem Niveau von 2020 (72 %).

Ursachen der gegenwärtigen Verunsicherung

Die Ursache für so viel Unsicherheit im Bereich IT-Sicherheit könnte in der großen Anzahl von Ransomware-Angriffen und Zero-Day-Schwachstellen liegen. Auch der Anstieg von Homeoffice und Remote-Arbeit sowie die zunehmende Integration von IT und OT geben vielen IT-Verantwortlichen Anlass zur Sorge.

Die IDG-Studie gibt belegt dies mit Zahlen: Neun von zehn IT- und Cybersecurity-Führungskräften sind der Meinung, dass ihre Unternehmen beim Schutz vor Cyberrisiken Defizite aufweisen. Als Reaktion auf diese Bedrohungen führen sie proaktive Sicherheitsstrategien ein, investieren in Hard- und Software zum Schutz sensibler Daten und versuchen, die Mitarbeiter durch Schulungen zu sensibilisieren. In vielen Fällen lagern sie Sicherheitsmaßnahmen aus – jedes fünfte befragte Unternehmen (21 %) gab an, dass es bis 2022 Sicherheitsfunktionen outsourcen möchte.

In der Regel sind solche Sicherheitsvorkehrungen nicht günstig. Es wird also notwendig, die Sicherheitsbudgets zu erhöhen. Man erwartet, dass kleine und mittlere Unternehmen ihre Ausgaben in den nächsten 12 Monaten verdoppeln und im Durchschnitt 11 Millionen US-Dollar erreichen werden. Bei großen Unternehmen wird das durchschnittliche Sicherheitsbudget im nächsten Jahr voraussichtlich 123 Millionen US-Dollar betragen.

Der Gedanke, dass die Sicherheitsverantwortlichen nicht in der Lage sind, Cyber-Risiken anzugehen, ist nachvollziehbar, vor allem weil viele Ursachen intern begründet sind. Die IDG-Studie ergab, dass 44 % der Sicherheitsvorfälle im Jahr 2021 Mitarbeiter betrafen, die Opfer von Phishing wurden oder gegen Sicherheitsrichtlinien verstießen. Im Vorjahr lag dieser Anteil noch bei 36 %. Besorgniserregend ist, dass dieser Anstieg trotz der Schulungs- und Sensibilisierungsprogramme für Mitarbeiter zu verzeichnen ist.

Nicht immer liegt die Schuld jedoch bei den Mitarbeitern. Nicht gepatchte Software und Sicherheitsmängel von Drittanbietern oder Anbietern sind gleichauf die zweithäufigste Ursache für Sicherheitsvorfälle (27 %), gefolgt von einer falschen Konfiguration von lokalen oder entfernten Diensten oder Systemen (26 %).

Jedes fünfte befragte Unternehmen hatte in den letzten 12 Monaten mit Zero-Day-Schwachstellen oder Sicherheitsverletzungen in seiner Software-Lieferkette zu kämpfen (21 %).

Ein Lichtblick in diesem Szenario ist, dass nach Angaben der Befragten 70 % der Sicherheitsvorfälle innerhalb der ersten Woche entdeckt wurden. Dieser Prozentsatz ist bei großen Unternehmen leicht rückläufig (63 %) und steigt bei kleinen und mittleren Unternehmen an (80 %).