Eine neue Studie belegt, dass Führungskräfte die Cybersicherheit des Unternehmens zuversichtlicher beurteilen als ihre IT-Sicherheitsexperten. Häufig gibt es in der Chefetage Wissenslücken was das Schwachstellenmanagement angeht.
C-Level-Entscheider außerhalb der IT haben teils deutliche Wissenslücken und ein mangelndes Bewusstsein, wenn es um Cyberrisiken geht. Aber auch CISOs neigen dazu, diese Risiken erstaunlich einseitig zu betrachten. Das zeigt eine aktuelle Studie des Technologieunternehmens Ivanti zum Cyber-Risikomanagement in Unternehmen.
Blickwinkel Risikobewusstsein
🔎 Die Führung in Unternehmen ist wesentlich sicherer als die IT-Sicherheit einen Vorfall stoppen zu können (Bild: Ivanti).
Technologische Entwicklungen, die zunehmende Raffinesse von Cyberkriminellen und die Zunahme der Angriffsflächen durch miteinander verbundene Systeme verstärken die Bedrohungslage von Unternehmen. Eine Entwicklung, die sich im firmenweiten Risikomanagement widerspiegeln sollte. Allerdings scheinen Führungskräfte außerhalb der IT in kritischen Bereichen auffallend zuversichtlich zu sein – deutlich stärker als ihre IT-/Sicherheitsexperten es sind. Die Situation stellt sich wie folgt dar:
60 % der Führungskräfte außerhalb des IT-Bereichs geben an, dass sie „sehr” oder „äußerst zuversichtlich“ sind, dass ihr Unternehmen einen zerstörerischen Sicherheitsvorfall in den nächsten 12 Monaten verhindern oder stoppen kann. Nur 46 % der IT-Fachleute teilen dieses Vertrauen. Diese Diskrepanz deutet darauf hin, dass sich Führungskräfte außerhalb der IT-Abteilung der finanziellen und betrieblichen Risiken, die von den Sicherheitsbedrohungen ausgehen, nur unzureichend bewusst sind.
Blickwinkel Schwachstellenmanagement
🔎Verantwortliche sehen ihr Fachverständnis teils zu positiv (Bild: Ivanti).
Diese Unterschiede lassen sich auch beim Thema Schwachstellenmanagement beobachten: Die Mehrheit (55 %) der Sicherheitsexperten gibt an, dass ihre Führungskräfte außerhalb der IT dieses Thema nicht vollständig überblicken. Diese Einschätzung teilt auch die Leitungsebene: 47 % der Führungskräfte ohne IT-Verantwortung sagen selbst, dass sie mit dem Konzept nicht besonders vertraut sind.
Schwachstellenmanagement ist eine unerlässliche Voraussetzung moderner Cybersicherheitsstrategien. Sicherheitsteams müssen ihre Maßnahmen und Ressourcen klar priorisieren und dabei die Bereiche absichern, die den größten Business-Impact haben.
Ohne ein klares Verständnis des Begriffs auf Führungsebene kann es zu einer falschen Einschätzung der Effektivität des CISO und seines Sicherheitsteams kommen. Führungskräfte außerhalb der IT neigen beispielsweise dazu, einen erfolgreichen Cyberangriff als Versagen seitens der IT zu betrachten, selbst wenn diese Bedrohung schnell eingedämmt und neutralisiert wird. Ein Zeichen dieses mangelnden Verständnisses: Jeder vierte IT-Experte gibt an, dass das Patch-Management durch wechselnde Prioritäten seines C-Levels untergraben wird.
Blickwinkel Bedrohungserkennung
🔎Die Budgets werden zwar steigen, aber die Ziele sind sehr unterschiedlich (Bild: Ivanti).
Die Studie von Ivanti bestätigt, dass die Budgets für Cybersicherheit grundsätzlich steigen werden (71 % Zustimmung). Allerdings halten die Sicherheitsstrategien und Investitionen häufig nicht mit der zunehmenden Verbreitung und Schwere von Bedrohungen Schritt: 95 % der IT- und Sicherheitsexperten wissen, dass Angriffe durch KI gefährlicher werden. Trotz dieses erhöhten Risikos besitzt fast jeder dritte Sicherheits- und IT-Experte keine dokumentierte Strategie, um Gefahren durch generative KI zu begegnen.
Investitionsimpulse fehlen auch für moderne Tools zur Bedrohungserkennung und -abwehr: Fast zwei von drei befragten Unternehmen investieren noch nicht in relevante Bereiche wie externes Surface Attack Management, digitale Forensik oder Incident Response (DFIR). Der aktuelle Ivanti Report betont, wie entscheidend es ist, dass CISOs die Notwendigkeit solcher Cybersecurity-Maßnahmen gerade auf Führungsebene verdeutlichen.
Blickwinkel Risikoeinschätzung
🔎Die Führungsebene schätzt die Auswirkungen einer Attacke wesentlich höher ein (Bild: Ivanti).
Cyberbedrohungen sind längst nicht mehr nur ein reines Sicherheitsproblem. Die Anzahl an Insolvenzen nach großen Angriffen zeigt, dass sie sich schnell zu Unternehmenskrisen entwickeln können. Krisen, die sich auf alle unternehmensrelevanten Bereiche auswirken, vom Aktienkurs bis hin zur regulatorischen Stellung.
Sicherheitsteams und Führungskräfte außerhalb der IT haben unterschiedliche Ansichten über die potenziellen Auswirkungen von Cyberrisiken – einschließlich der möglichen Schäden und der Unternehmensbereiche, die am ehesten von den Folgen betroffen sind. Führungskräfte außerhalb der IT konzentrieren sich dabei stark auf finanzielle und rechtliche Auswirkungen eines Angriffs. CISOs wiederum nehmen diese Risiken deutlich geringer wahr und blicken auf Attacken tendenziell einseitig aus dem operativen Blickwinkel.
Übersehen gegebenenfalls das große Ganze
Während beispielsweise Reputationsschäden für 24 % der Führungsebene außerhalb der IT für die Quantifizierung des Cyberrisikos herangezogen werden, ist Reputation für gerade einmal 15 % der CISOs ein relevanter Faktor in der Gleichung. Gleiches gilt auch für die Bereiche „Rechtliche Auswirkungen“ (Führungsebene: 24%, CISOS: 13%) und „Finanzielle Auswirkungen“ (Führungsebene: 26%, CISOS: 17%).
„Die Rolle des CISOs besteht darin, das tatsächliche Risiko, dem das Unternehmen ausgesetzt ist, deutlich zu kommunizieren. Es geht für Unternehmen darum, zu wissen, wie sich verschiedene Arten von Sicherheitsvorfällen auswirken“, so Mike Riemer, Field CISO bei Ivanti. „Cybersicherheit muss auf Vorstandsebene diskutiert und verstanden werden. Als strategischer Berater der Führungsspitze für eine Vielzahl von Themen, von der Einführung von KI bis zum Management von Risiken in der Lieferkette, müssen CISOs beginnen, ähnlich zu denken wie ihre CEOs und Vorstände – indem sie technisches Know-how in geschäftliche Prioritäten übersetzen.“
Mehr bei Ivanti.com
Über Ivanti Die Stärke der Unified IT. Ivanti verbindet die IT mit dem Sicherheitsbetrieb im Unternehmen, um den digitalen Arbeitsplatz besser zu steuern und abzusichern. Auf PCs, mobilen Geräten, virtualisierten Infrastrukturen oder im Rechenzentrum identifizieren wir IT-Assets – ganz gleich, ob sie sich On-Premise oder in der Cloud verbergen. Ivanti verbessert die Bereitstellung des IT-Services und senkt Risiken im Unternehmen auf Basis von Fachwissen und automatisierten Abläufen. Durch den Einsatz moderner Technologien im Lager und über die gesamte Supply Chain hinweg hilft Ivanti dabei, die Lieferfähigkeit von Firmen zu verbessern – und das, ohne eine Änderung der Backend-Systeme.