Prognosen zur Cybersicherheit in den kommenden Jahren

Die Bewältigung von Cyber-Bedrohungen ist eine dringende Angelegenheit. Das unterstrich Gartner auf einer kürzlich in Australien abgehaltenen Veranstaltung zum Thema Sicherheit und Risikomanagement. Das Marktforschungsunternehmen wies außerdem darauf hin, dass der Umgang mit Cyber-Risiken zunehmend in die Leistungsbeurteilung von Top-Führungskräften einfließen wird. Darüber hinaus wird erwartet, dass fast ein Drittel der Länder in den nächsten drei Jahren Regularien für Ransomware-Angriffe aufstellen wird.

In diesem Szenario werden Sicherheitsplattformen von entscheidender Bedeutung sein, um Unternehmen dabei zu helfen, in feindlichen Umgebungen zu bestehen. Top-Prognosen von Gartner zur Cybersicherheit, die auf der Veranstaltung veröffentlicht wurden, bestätigen diese Einschätzung. „Wir können nicht an alten Gewohnheiten festhalten und alles so behandeln, wie wir es in der Vergangenheit getan haben. Die meisten Verantwortlichen für Cybersicherheit und Risikomanagement erkennen heute, dass potenziell zerstörerische Ereignisse nur einen Steinwurf entfernt sind – und dass wir sie nicht kontrollieren können. Wir sind aber in der Lage, unsere Ideen, Philosophien, Programme und Architekturen weiterzuentwickeln“, betont Richard Addiscott, Director of Analysis bei Gartner.

Gartner empfiehlt den Verantwortlichen für Cybersicherheit, in ihrer strategischen Planung für die nächsten zwei Jahre die folgenden Prämissen zu berücksichtigen:

• Bis zum Jahr 2023 werden die Regularien, die Organisationen in Bezug auf Datenschutzrechte berücksichtigen müssen, 5 Milliarden Bürger und mehr als 70 % des weltweiten BIP betreffen. Es wird empfohlen, die Metriken für Rechteanfragen genau zu verfolgen. Somit lassen sich auch die Kosten pro Anfrage und die Erfüllungszeit berechnen, Ineffizienzen ermitteln und beschleunigte Automatisierungsmaßnahmen abgleichen.

• Bis 2025 werden 80 % der Unternehmen ihre Strategien zur Vereinheitlichung von Web- und Cloud-Diensten sowie für den Anwendungszugriff über die Security-Service-Edge(SSE)-Plattform eines einzigen Anbieters beziehen. Um den Anforderungen der hybriden Arbeitswelt und dem Zugriff auf Daten von verschiedenen Standorten gerecht zu werden, vertreiben die Anbieter eine integrierte SSE-Lösung. So soll die Sicherheit einfach und konsistent gewährleistet werden. Die Konzepte eines einzigen Anbieters garantieren dabei betriebliche und sicherheitstechnische Effizienz.

• Bis 2025 werden 60 % der Unternehmen Zero Trust als Ausgangspunkt für ihre Sicherheitspolitik einführen. Mehr als die Hälfte davon wird die tatsächlichen Vorteile nicht erkennen. Das Konzept von Zero Trust – also der Ersatz eines impliziten durch ein risikoangepasstes Vertrauen auf der Grundlage der Identität im Kontext – ist überzeugend. Da es sich aber um ein Denk-Prinzip und nicht um eine organisatorische Vision handelt, erfordert der Ansatz einen kulturellen Wandel und klare Kommunikation. Nur so lässt sich eine Verknüpfung mit den Geschäftsergebnissen herstellen. Ohne dieses Verständnis bringt Zero Trust unter Umständen nicht die erwarteten Vorteile.

• Bis 2025 werden 60 % der Unternehmen Cybersicherheitsrisiken als wichtiges Kriterium bei Geschäften mit Dritten sowie bei der Aufnahme von Geschäftsbeziehungen miteinbeziehen. Cyberangriffe, an denen Dritte beteiligt sind, nehmen zu. Laut den Daten von Gartner überwachen aber nur 23 % der Verantwortlichen für Sicherheits- und Risikomanagement Dritte in Echtzeit, um dieses Risiko zu bewerten. Aufgrund von Verbraucherbedenken und gesetzlichen Vorschriften wird allerdings erwartet, dass Unternehmen Cybersecurity-Risiken zunehmend als wichtigen Faktor bei der Abwicklung von Geschäften mit Drittanbietern berücksichtigen.

• Bis 2025 werden 30 % der Länder Gesetze zur Regulierung von Lösegeldzahlungen für Ransomware, Geldstrafen und Handel erlassen. Im Jahr 2021 lag dieser Prozentsatz bei weniger als 1 %. Die Entscheidung, ob für Ransomware gezahlt werden soll oder nicht, beruht bisher auf wirtschaftlichen Kriterien – nicht auf Sicherheit. Gartner empfiehlt in solchen Fällen, ein professionelles Incident-Response-Team zu engagieren und sich vor der Verhandlung mit Strafverfolgungs- und Aufsichtsbehörden in Verbindung zu setzen.

• Bis 2025 werden Cyberkriminelle technologische Umgebungen erfolgreich als Waffe einsetzen, um Menschenleben zu fordern. Angriffe auf OT-Systeme (Hardware und Software, die Geräte, Anlagen und Prozesse überwachen oder steuern) werden immer häufiger und zerstörerischer sein. In diesen Betriebsumgebungen müssen die Verantwortlichen für Sicherheits- und Risikomanagement laut Gartner ein größeres Bewusstsein für reale Gefahren, wie Schäden an Menschen und der Umwelt, entwickeln – und nicht nur für Informationsdiebstahl.

• Bis 2025 werden 70 % der CEOs eine Kultur der organisatorischen Resilienz brauchen. Nur so lassen sich Bedrohungen durch Cyberkriminalität, schwere Wetterereignisse sowie zivile und politische Instabilität überstehen. Die COVID-19-Pandemie zeigte auf, dass eine traditionelle Planung die Geschäftskontinuität nicht sicherstellen kann. So wurde angesichts der großflächigen Ausfälle deutlich, dass flexible Reaktionsmöglichkeiten nötig sind. Gartner empfiehlt Führungskräften im Risikomanagement, die organisatorische Resilienz als strategische Notwendigkeit anzuerkennen und die Widerstandsfähigkeit im gesamten Unternehmen aufzubauen – gemeinsam mit den Mitarbeitern, Stakeholdern, Kunden und Lieferanten.

• Bis 2026 werden 50 % der Führungskräfte ihre Performance-Bewertung in Bezug auf das Risikomanagement in ihre Arbeitsverträge aufgenommen haben. Laut einer kürzlich durchgeführten Gartner-Umfrage betrachten die meisten Aufsichtsräte das Thema Cybersicherheit inzwischen als Geschäftsrisiko und nicht nur als IT-Problem. Aus diesem Grund wird erwartet, dass sich die Verantwortung für den Umgang mit Cyber-Risiken von den Sicherheitsverantwortlichen auf die Führungskräfte verlagert.

Im kostenlosen E-Book 2022 Leadership Vision for Security & Risk Management Leaders stellt Gartner weitere Details zu den wichtigsten Prioritäten für Führungskräfte im Bereich Sicherheit und Datenschutz zur Verfügung.