Cybersecurity: Mangelnde Abstimmung zwischen CEOs und CISOs

10. Juni 2024
| Keine Kommentare
87 Prozent der befragten CISOs gaben im Dynatrace CISO-Report 2024 an, dass CEOs für Anwendersicherheit blind seien. 70 Prozent der CEOs sind der Meinung, dass die Kommunikation mit CISO zu technisch sei.

Beitrag teilen

87 Prozent der befragten CISOs gaben im Dynatrace CISO-Report 2024 an, dass CEOs für Anwendersicherheit blind seien. 70 Prozent der CEOs sind der Meinung, dass die Kommunikation mit CISO zu technisch sei.

Cybersicherheit hat mittlerweile die Vorstandsetagen erreicht. Dennoch hindern interne Kommunikationshemmnisse Chief Information Security Officer (CISO) sehr häufig daran, sich effektiv um Cyberbedrohung kümmern zu können. Dies zeigt die jährliche, aktuelle Umfrage „The state of application security in 2024“, die Dynatrace, führender Anbieter von Unified Observability und Security, weltweit unter 1.300 CISOs (darunter 100 aus Deutschland) durchführen ließ. Für die Führungskräfte der Informationssicherheit ist es schwierig, die Abstimmung zwischen den Security-Teams und der Führungsebene zu forcieren, was das Verständnis innerhalb des Unternehmens für Cyberrisiken lückenhaft macht. Infolgedessen sind sie – vor dem Hintergrund steigender KI-gesteuerter Angriffe – fortschrittlichen Cyber-Bedrohungen stärker ausgesetzt.

Die Studie untersucht diese Kommunikationslücken, und zeigt auf, wie ein einheitlicher Ansatz für Observability und Security Teams unterstützen kann, effektiver zusammenzuarbeiten und Risiken zu reduzieren.

Wichtige Ergebnisse der Studie:

  • Mangelnde Abstimmung auf Vorstands- und Aufsichtsratsebene führt zu Cyberrisiken: Die Abstimmung zwischen Sicherheitsteams und der Führungsebene zu fördern, stellt für CISOs eine große Herausforderung dar 87 Prozent geben an, dass Anwendungssicherheit ein blinder Fleck auf CEO- und Vorstandsebene ist.
  • Sicherheitsteams sind zu technisch: Sieben von zehn der befragten C-Level sind der Meinung, dass Sicherheitsteams in technischen Begriffen sprechen, ohne den geschäftlichen Kontext zu vermitteln. 75 Prozent der CISOs betonen jedoch, dass das Problem in den Securitytools begründet ist, da diese keine Erkenntnisse darüber liefern können, wie Führungskräfte und Vorstände sie nutzen können, um Geschäftsrisiken zu verstehen und Bedrohungen zu verhindern.
  • KI treibt fortschrittlichere Cyber-Bedrohungen voran: Die Behebung dieser Technologie- und Kommunikationslücke wird immer wichtiger, da die Zunahme von KI-gesteuerten Angriffen und Cyber-Bedrohungen das Geschäftsrisiko deutlich erhöht.

Vor diesem Hintergrund äußersten fast drei Viertel (72 Prozent) der CISOs, dass ihr Unternehmen in den letzten zwei Jahren einen Vorfall in der Anwendungssicherheit erlebt hat – mit schwerwiegenden Folgen: Umsatzeinbußen erlitten 47 Prozent, Geldstrafen erhielten 36 Prozent und verlorene Marktanteile beklagten 28 Prozent.

Weitere Ergebnisse aus deutscher Sicht:

  • 9 Prozent der CISOs sind der Meinung, dass ihre Organisation über ausgereifte DevSecOps-Automatisierungsverfahren verfüge.
  • 71 Prozent der deutschen CISOs berichten, dass es eine regelmäßige Verpflichtung gibt, dem CEO und dem Vorstand über Cybersicherheitsrisiken und die Einhaltung von Vorschriften zu berichten.
  • 76 Prozent der CISOs sagen, dass ihre Sicherheitstools nur eingeschränkt in der Lage sind, Erkenntnisse zu liefern, die CEO und Vorstand nutzen können, um Geschäftsrisiken zu verstehen und Bedrohungen zu verhindern.
  • 79 Prozent der Unternehmen haben in den letzten zwei Jahren einen Vorfall im Bereich der Anwendungssicherheit erlebt.
  • 90 Prozent der CISOs erwähnen, dass Anwendungssicherheit ein blinder Fleck auf CEO- und Vorstandsebene ist.
  • 84 Prozent der CISOs sind der Meinung, dass DevSecOps-Automatisierung eine wesentliche Voraussetzung dafür ist, dass sie aufkommende Vorschriften wie das SEC-Cybersicherheitsmandat, NIS2 und DORA einhalten können.
  • 93 Prozent der CISOs sagen, dass DevSecOps-Automatisierung sogar noch wichtiger ist, um das Risiko von Schwachstellen, die durch KI entstehen, zu bewältigen.
  • 83 Prozent der CISOs haben Schwierigkeiten, die DevSecOps-Automatisierung voranzutreiben, weil sie auf mehrere Tools für Application Security angewiesen seien.

Deutsche CISOs stufen die wichtigsten Prioritäten ihrer Unternehmen für das Cybersecurity-Management wie folgt ein:

1. Internes Risikomanagement/Monitoring (z. B. Benutzen von Mobilgeräten)
2. Anwendungssicherheit (z. B. Schwachstellenmanagement)
3. Betriebsunterbrechung (z. B. Denial-of-Service oder Systemausfall)

Zusammenarbeit und DevSecOps-Automatisierung gegen KI-basierte Schwachstellen

Die Notwendigkeit einer engeren Zusammenarbeit zwischen den Sicherheitsteams und der Führungsebene wird zusehends wichtiger, da KI Unternehmen einem zusätzlichen Risiko aussetzt. Weltweit sind CISOs besorgt über das Potenzial von KI, Cyberkriminelle in die Lage zu versetzen, neue Exploits schneller zu entwickeln und in größerem Umfang auszuführen (52 Prozent). Sie sind auch besorgt über das Potenzial von KI, Entwicklern eine schnellere Softwarebereitstellung mit weniger Aufsicht zu ermöglichen, was zu mehr Sicherheitslücken führen könnte (45 Prozent).

83 Prozent der CISOs sehen in DevSecOps-Automatisierung eine wichtige Lösung, um das Risiko von Schwachstellen, die durch KI entstehen, im Griff zu behalten. 71 Prozent sagen, dass DevSecOps-Automatisierung entscheidend ist, um sicherzustellen, dass adäquate Maßnahmen zur Risiko-Minimierung der Application Security getroffen wurden.

Weitere 77 Prozent der CISOs meinen, dass XDR- und SIEM-Lösungen die Komplexität der Cloud nicht bewältigen können, da diesen Tools die Intelligenz fehlt, die eine weitreichende Automatisierung erfordert. Weitere 70 Prozent der CISOs sind der Meinung, dass der Einsatz mehrerer Tools für die Anwendungssicherheit zu betrieblicher Ineffizienz führt, da der Aufwand für die Auswertung der unterschiedlichen Datenquellen zu hoch ist.

Abstimmung zwischen CEOs und CISOs

„Cybersecurity-Vorfälle können verheerende Folgen für Unternehmen und ihre Kunden haben, daher steht das Thema zu Recht oben auf der Agenda der Vorstandsebene“, sagt Bernd Greifeneder, Chief Technology Officer bei Dynatrace. „Die Abstimmung zwischen Sicherheitsteams und Führungskräften voranzutreiben, stellt jedoch eine große Herausforderung dar. weil es schwierig ist, das Gespräch von Bits und Bytes auf konkrete Geschäftsrisiken zu lenken. CISOs müssen dringend einen Weg finden, diese Hürde zu überwinden und eine Kultur der gemeinsamen Verantwortung für die Cybersicherheit schaffen. Dies wird von entscheidender Bedeutung sein, um ihre Fähigkeit zur effektiveren Reaktion auf Sicherheitsvorfälle zu verbessern und ihr Risiko zu minimieren.“

„Der zunehmende Einsatz von KI ist ein zweischneidiges Schwert, das sowohl für digitale Innovatoren als auch für Angreifer Effizienzgewinne bringt“, so Greifeneder weiter. „Einerseits besteht ein größeres Risiko, dass Entwickler Schwachstellen durch KI-generierten Code einschleusen, der nicht ausreichend getestet wurde, und andererseits können Cyberkriminelle automatisierte und ausgefeilte Angriffe entwickeln, um diese auszunutzen.“

Laut Greifeneder müssten Unternehmen dringend ihre Sicherheitstools und -praktiken modernisieren, um ihre Anwendungen und Daten vor modernen, fortschrittlichen Cyber-Bedrohungen schützen zu können. Die effektivsten Ansätze würden auf einer einheitlichen Plattform aufbauen, die eine ausgereifte DevSecOps-Automatisierung forciere und KI nutze, um mit verteilten Daten in beliebigem Umfang umzugehen. Diese Plattformen würden die Erkenntnisse liefern, hinter denen sich das gesamte Unternehmen positionieren und mit denen es die Einhaltung strenger Vorschriften nachweisen könne, prognostiziert Greifeneder.

Mehr bei Dynatrace.com

 

Über Dynatrace

Dynatrace sorgt dafür, dass Software weltweit perfekt funktioniert. Unsere einheitliche Software-Intelligence-Plattform kombiniert breite und tiefe Observability und kontinuierliche Run-Time Application-Security mit den fortschrittlichsten AIOps, um Antworten und intelligente Automatisierung aus Daten in bemerkenswertem Umfang zu liefern. Dies ermöglicht es Unternehmen, den Cloud-Betrieb zu modernisieren und zu automatisieren, Software schneller und sicherer bereitzustellen und makellose digitale Erlebnisse zu gewährleisten.

Passende Artikel zum Thema

NIS2-Direktive: 6 Tipps zur Umsetzung in Unternehmen

Die EU-NIS2-Direktive verpflichtet bald viele Unternehmen dazu, höhere Cybersicherheitsstandards zu erfüllen - im Oktober 2024 soll das Gesetz schon fertig ➡ Weiterlesen

Cybersecurity: Mangelnde Abstimmung zwischen CEOs und CISOs

87 Prozent der befragten CISOs gaben im Dynatrace CISO-Report 2024 an, dass CEOs für Anwendersicherheit blind seien. 70 Prozent der ➡ Weiterlesen

Cyberversicherungen: Was hilft gegen steigende Kosten?

Cyberversicherungen sichern Unternehmen finanziell bei Cyberangriffen ab. Mit der Zunahme der Bedrohungslage erhöhen die Versicherungen die Kosten für Jahresprämien. Unternehmen, ➡ Weiterlesen

IT-Sicherheit: Mangelnde Kenntnisse in deutschen Unternehmen

Rund 25 Prozent aller Geschäftsleitungen wissen zu wenig über IT-Sicherheit und 42 Prozent der Arbeitnehmenden informieren sich nicht regelmäßig über ➡ Weiterlesen

Unternehmen entdecken Cyberangreifer schneller

Cyberangreifer nutzen bevorzugt Zero-Day-Schwachstellen aus, so der M-Trends Report 2024. Die durchschnittliche Verweildauer bis zu ihrer Entdeckung ist aber deutlich ➡ Weiterlesen

Überwachung dank Abschnitt 702

Das in den USA verabschiedete Gesetz zur Wiederzulassung von Abschnitt 702 bewirkt eine erhebliche Ausweitung der inländischen Überwachung, die die ➡ Weiterlesen

Phishing-Angriffe: Weltweite Zunahme um 60 Prozent

2023 war die Finanzbranche am häufigsten von Phishing-Angriffen betroffen. Kriminelle nutzen für Voice-Phishing (Vishing) und Deepfake-Phishing zunehmend generative KI um ➡ Weiterlesen

Ransomware: der Hauptbedrohungstrend 2023

Im Jahr 2023 wurde die Bedrohungslandschaft von Big-Game-Ransomware und Zero-Day-Ransomware geprägt. Auch Mac-Systeme geraten zunehmend ins Visier der Angreifer, so ➡ Weiterlesen

 

Storys
, , , , , ,