Cybersecurity: Mangelnde Abstimmung zwischen CEOs und CISOs

87 Prozent der befragten CISOs gaben im Dynatrace CISO-Report 2024 an, dass CEOs für Anwendersicherheit blind seien. 70 Prozent der CEOs sind der Meinung, dass die Kommunikation mit CISO zu technisch sei.

Beitrag teilen

87 Prozent der befragten CISOs gaben im Dynatrace CISO-Report 2024 an, dass CEOs für Anwendersicherheit blind seien. 70 Prozent der CEOs sind der Meinung, dass die Kommunikation mit CISO zu technisch sei.

Cybersicherheit hat mittlerweile die Vorstandsetagen erreicht. Dennoch hindern interne Kommunikationshemmnisse Chief Information Security Officer (CISO) sehr häufig daran, sich effektiv um Cyberbedrohung kümmern zu können. Dies zeigt die jährliche, aktuelle Umfrage „The state of application security in 2024“, die Dynatrace, führender Anbieter von Unified Observability und Security, weltweit unter 1.300 CISOs (darunter 100 aus Deutschland) durchführen ließ. Für die Führungskräfte der Informationssicherheit ist es schwierig, die Abstimmung zwischen den Security-Teams und der Führungsebene zu forcieren, was das Verständnis innerhalb des Unternehmens für Cyberrisiken lückenhaft macht. Infolgedessen sind sie – vor dem Hintergrund steigender KI-gesteuerter Angriffe – fortschrittlichen Cyber-Bedrohungen stärker ausgesetzt.

Anzeige

Die Studie untersucht diese Kommunikationslücken, und zeigt auf, wie ein einheitlicher Ansatz für Observability und Security Teams unterstützen kann, effektiver zusammenzuarbeiten und Risiken zu reduzieren.

Wichtige Ergebnisse der Studie:

  • Mangelnde Abstimmung auf Vorstands- und Aufsichtsratsebene führt zu Cyberrisiken: Die Abstimmung zwischen Sicherheitsteams und der Führungsebene zu fördern, stellt für CISOs eine große Herausforderung dar 87 Prozent geben an, dass Anwendungssicherheit ein blinder Fleck auf CEO- und Vorstandsebene ist.
  • Sicherheitsteams sind zu technisch: Sieben von zehn der befragten C-Level sind der Meinung, dass Sicherheitsteams in technischen Begriffen sprechen, ohne den geschäftlichen Kontext zu vermitteln. 75 Prozent der CISOs betonen jedoch, dass das Problem in den Securitytools begründet ist, da diese keine Erkenntnisse darüber liefern können, wie Führungskräfte und Vorstände sie nutzen können, um Geschäftsrisiken zu verstehen und Bedrohungen zu verhindern.
  • KI treibt fortschrittlichere Cyber-Bedrohungen voran: Die Behebung dieser Technologie- und Kommunikationslücke wird immer wichtiger, da die Zunahme von KI-gesteuerten Angriffen und Cyber-Bedrohungen das Geschäftsrisiko deutlich erhöht.

Vor diesem Hintergrund äußersten fast drei Viertel (72 Prozent) der CISOs, dass ihr Unternehmen in den letzten zwei Jahren einen Vorfall in der Anwendungssicherheit erlebt hat – mit schwerwiegenden Folgen: Umsatzeinbußen erlitten 47 Prozent, Geldstrafen erhielten 36 Prozent und verlorene Marktanteile beklagten 28 Prozent.

Weitere Ergebnisse aus deutscher Sicht:

  • 9 Prozent der CISOs sind der Meinung, dass ihre Organisation über ausgereifte DevSecOps-Automatisierungsverfahren verfüge.
  • 71 Prozent der deutschen CISOs berichten, dass es eine regelmäßige Verpflichtung gibt, dem CEO und dem Vorstand über Cybersicherheitsrisiken und die Einhaltung von Vorschriften zu berichten.
  • 76 Prozent der CISOs sagen, dass ihre Sicherheitstools nur eingeschränkt in der Lage sind, Erkenntnisse zu liefern, die CEO und Vorstand nutzen können, um Geschäftsrisiken zu verstehen und Bedrohungen zu verhindern.
  • 79 Prozent der Unternehmen haben in den letzten zwei Jahren einen Vorfall im Bereich der Anwendungssicherheit erlebt.
  • 90 Prozent der CISOs erwähnen, dass Anwendungssicherheit ein blinder Fleck auf CEO- und Vorstandsebene ist.
  • 84 Prozent der CISOs sind der Meinung, dass DevSecOps-Automatisierung eine wesentliche Voraussetzung dafür ist, dass sie aufkommende Vorschriften wie das SEC-Cybersicherheitsmandat, NIS2 und DORA einhalten können.
  • 93 Prozent der CISOs sagen, dass DevSecOps-Automatisierung sogar noch wichtiger ist, um das Risiko von Schwachstellen, die durch KI entstehen, zu bewältigen.
  • 83 Prozent der CISOs haben Schwierigkeiten, die DevSecOps-Automatisierung voranzutreiben, weil sie auf mehrere Tools für Application Security angewiesen seien.

Deutsche CISOs stufen die wichtigsten Prioritäten ihrer Unternehmen für das Cybersecurity-Management wie folgt ein:

1. Internes Risikomanagement/Monitoring (z. B. Benutzen von Mobilgeräten)
2. Anwendungssicherheit (z. B. Schwachstellenmanagement)
3. Betriebsunterbrechung (z. B. Denial-of-Service oder Systemausfall)

Zusammenarbeit und DevSecOps-Automatisierung gegen KI-basierte Schwachstellen

Die Notwendigkeit einer engeren Zusammenarbeit zwischen den Sicherheitsteams und der Führungsebene wird zusehends wichtiger, da KI Unternehmen einem zusätzlichen Risiko aussetzt. Weltweit sind CISOs besorgt über das Potenzial von KI, Cyberkriminelle in die Lage zu versetzen, neue Exploits schneller zu entwickeln und in größerem Umfang auszuführen (52 Prozent). Sie sind auch besorgt über das Potenzial von KI, Entwicklern eine schnellere Softwarebereitstellung mit weniger Aufsicht zu ermöglichen, was zu mehr Sicherheitslücken führen könnte (45 Prozent).

83 Prozent der CISOs sehen in DevSecOps-Automatisierung eine wichtige Lösung, um das Risiko von Schwachstellen, die durch KI entstehen, im Griff zu behalten. 71 Prozent sagen, dass DevSecOps-Automatisierung entscheidend ist, um sicherzustellen, dass adäquate Maßnahmen zur Risiko-Minimierung der Application Security getroffen wurden.

Weitere 77 Prozent der CISOs meinen, dass XDR- und SIEM-Lösungen die Komplexität der Cloud nicht bewältigen können, da diesen Tools die Intelligenz fehlt, die eine weitreichende Automatisierung erfordert. Weitere 70 Prozent der CISOs sind der Meinung, dass der Einsatz mehrerer Tools für die Anwendungssicherheit zu betrieblicher Ineffizienz führt, da der Aufwand für die Auswertung der unterschiedlichen Datenquellen zu hoch ist.

Abstimmung zwischen CEOs und CISOs

„Cybersecurity-Vorfälle können verheerende Folgen für Unternehmen und ihre Kunden haben, daher steht das Thema zu Recht oben auf der Agenda der Vorstandsebene“, sagt Bernd Greifeneder, Chief Technology Officer bei Dynatrace. „Die Abstimmung zwischen Sicherheitsteams und Führungskräften voranzutreiben, stellt jedoch eine große Herausforderung dar. weil es schwierig ist, das Gespräch von Bits und Bytes auf konkrete Geschäftsrisiken zu lenken. CISOs müssen dringend einen Weg finden, diese Hürde zu überwinden und eine Kultur der gemeinsamen Verantwortung für die Cybersicherheit schaffen. Dies wird von entscheidender Bedeutung sein, um ihre Fähigkeit zur effektiveren Reaktion auf Sicherheitsvorfälle zu verbessern und ihr Risiko zu minimieren.“

„Der zunehmende Einsatz von KI ist ein zweischneidiges Schwert, das sowohl für digitale Innovatoren als auch für Angreifer Effizienzgewinne bringt“, so Greifeneder weiter. „Einerseits besteht ein größeres Risiko, dass Entwickler Schwachstellen durch KI-generierten Code einschleusen, der nicht ausreichend getestet wurde, und andererseits können Cyberkriminelle automatisierte und ausgefeilte Angriffe entwickeln, um diese auszunutzen.“

Laut Greifeneder müssten Unternehmen dringend ihre Sicherheitstools und -praktiken modernisieren, um ihre Anwendungen und Daten vor modernen, fortschrittlichen Cyber-Bedrohungen schützen zu können. Die effektivsten Ansätze würden auf einer einheitlichen Plattform aufbauen, die eine ausgereifte DevSecOps-Automatisierung forciere und KI nutze, um mit verteilten Daten in beliebigem Umfang umzugehen. Diese Plattformen würden die Erkenntnisse liefern, hinter denen sich das gesamte Unternehmen positionieren und mit denen es die Einhaltung strenger Vorschriften nachweisen könne, prognostiziert Greifeneder.

Mehr bei Dynatrace.com

 


Über Dynatrace

Dynatrace sorgt dafür, dass Software weltweit perfekt funktioniert. Unsere einheitliche Software-Intelligence-Plattform kombiniert breite und tiefe Observability und kontinuierliche Run-Time Application-Security mit den fortschrittlichsten AIOps, um Antworten und intelligente Automatisierung aus Daten in bemerkenswertem Umfang zu liefern. Dies ermöglicht es Unternehmen, den Cloud-Betrieb zu modernisieren und zu automatisieren, Software schneller und sicherer bereitzustellen und makellose digitale Erlebnisse zu gewährleisten.


Passende Artikel zum Thema

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

Studie: SOC-Teams haben wenig Zutrauen in ihre Sicherheitstools

Ein führender Anbieter von KI-gestützter erweiterter Erkennung und Reaktion (XDR), hat die Ergebnisse seines neuen Forschungsberichts "2024 State of Threat ➡ Weiterlesen

Geräte und Nutzerkonten – darauf zielen Cyberangreifer

Der neue Cyber Risk Report zeigt die kritischen Schwachstellen in Unternehmen auf und bietet somit aber auch neue Möglichkeiten der ➡ Weiterlesen