Lagebericht Security 2023: Resilienz entsteht in Zusammenarbeit

Sicherheit ist und war immer schon ein harter Job. Die Teams werden weiterhin mit immer heftigeren Cyberangriffen konfrontiert, während zugleich Fehlalarme auf sie einprasseln. Und am Ende kommen immer zu viele Stunden zusammen, weil die Personaldecke einfach zu dünn ist. Security-Verantwortliche und -Mitarbeiter gleichermaßen wissen jedoch gut, dass diese Krisensituationen letztlich unvermeidlich sind – und sie konzentrieren sich darauf, dass sich der Betrieb im Ernstfall so rasch und effizient wie möglich wieder stabilisieren kann.

Diese Entwicklung ist – neben weiteren interessanten Erkenntnissen – eines der Kernergebnisse des Lageberichts Security 2023, den wir heute der Öffentlichkeit vorstellen. Der jährliche Report, der in Zusammenarbeit mit der Enterprise Strategy Group (ESG) erarbeitet wird, untersucht aktuelle sowie absehbare Herausforderungen und Chancen für Sicherheitsverantwortliche und -teams. Befragt wurden diesmal mehr als 1.500 Führungskräfte, die überwiegend mit Sicherheitsfragen befasst sind, aus zehn Ländern und 15 Branchen.

Im Wettlauf mit dem Tagesgeschäft 🏃‍♀

Ein erster, erfreulicher Befund ist, dass das Jahr 2022 relativ ruhig war – es gab keine globalen Katastrophen, die mit SolarWinds oder Log4j vergleichbar wären. Eine weitere Erkenntnis, die Grund zur Zuversicht gibt, ist, dass die Zahl der Befragten, die es schwieriger finden, mit den Anforderungen Schritt zu halten, etwas gesunken ist: Im Vorjahr waren es noch 66 %, diesmal sind es weltweit 53 %, in Deutschland sogar nur 38 %. Dennoch bleiben die meisten Sicherheitsteams im Dauermodus „Reaktion“ gefangen und finden kaum genug Zeit und Nerven, um das Unternehmen vorausschauend und effektiv gegen immer raffiniertere Ransomware und andere fortschrittliche, aber unbemerkte Bedrohungen zu schützen.

Aus diesem reaktiven Modus herauszukommen, wird in Zukunft noch schwieriger werden. Strengere Vorgaben zu Datenschutz und Datensicherheit machen Compliance weltweit zu einer immer anspruchsvolleren Aufgabe, insbesondere mit Blick auf die Sicherheit der Software-Lieferketten. Und da immer mehr Technologieunternehmen Personal entlassen, um Betriebsabläufe zu rationalisieren und zu verschlanken, müssen Sicherheitsteams mit weniger Ressourcen noch mehr erreichen.

Am Ende werden diejenigen Unternehmen den andauernden Druck disruptiver Zeiten überleben, denen es gelingt, operationale Resilienz zu schaffen, sodass sie im Ernstfall schneller wieder auf die Beine kommen und den Geschäftsbetrieb eher wieder aufnehmen können.

Resilienz wird K.o.-Kriterium 🥊

„Resilienz“ ist ein Begriff, der nicht zum klassischen Vokabular der Sicherheitsteams gehört. Aber dass ein Unternehmen in der Lage sein muss, Rückschläge und Hindernisse zu überstehen, ist für Security-Verantwortliche nichts Neues – daran werden sowieso nahezu täglich von akuten Lieferkettenrisiken, Ransomware-Angriffen und anderen Bedrohungen erinnert.

Weltweit hat die Anzahl der Security-Incidents zugenommen, und Angreifer bleiben länger unentdeckt im System – im weltweiten Durchschnitt neun Wochen. Deutschland erscheint hier als unrühmliche Ausnahme: Die Verweildauer liegt hierzulande bei fast drei Monaten (siehe „Highlights aus Deutschland“). Und die Folgen davon sind durchaus real. Nur 4 % der Befragten können sagen, dass es bei ihnen Zwischenfälle gab, dass diese aber ohne nennenswerte Auswirkungen blieben. Die überwiegende Mehrheit musste die Konsequenzen tragen, die vom Diebstahl vertraulicher Daten über Produktivitätseinbußen bis zum Reputationsverlust und zur Abwertung des gesamten Unternehmens reichen.

Angesichts dieser Herausforderungen herrscht dringender Bedarf an Resilienz. Fast alle Befragten der Führungsebene (91 %) sagen, dass ihre CISOs in puncto Cyberresilienz-Strategien und -Investitionen mit anderen Geschäftsbereichsleitungen zusammenarbeiten. Eine große Mehrheit der Sicherheitsteams sagt, dass das Risiko einer erheblichen Geschäftsunterbrechung zugenommen hat (83 %) und dass Ausfallzeiten Kundschaft kosten können (78 %).

Resilienzrelevante Metriken wie die MTTR (Mean Time to Recover), die seit der Vorjahresstudie von 21,4 Stunden auf 15,5 Stunden gesunken ist, haben sich zwar verbessert, aber es bleibt noch eine Menge zu tun. Weniger als ein Drittel der Unternehmen (31 %) verfolgt einen unternehmensweiten Cyberresilienz-Ansatz. Immerhin ein weiteres gutes Drittel (38 %) hat eine Resilienzstrategie für bestimmte Unternehmensbereiche umgesetzt, doch das letzte Drittel (31 %) noch gar keine.

Resilienz aufzubauen, ist also eine dringende Aufgabe. Den Sicherheitsteams ist aber klar, dass sie die Kultur ihres Unternehmens nicht von heute auf morgen ändern können – und schon gar nicht im Alleingang. Der Aufbau und die Aufrechterhaltung von Resilienz braucht das Verständnis und den Einsatz der Teams und Führungskräfte im gesamten Unternehmen.

Highlights aus Deutschland 🇩🇪

Interessante Ergebnisse unserer Studie in Bezug auf deutsche Unternehmen und Organisationen sind folgende:

• Die Befragten in Deutschland sind im Allgemeinen zuversichtlicher, mit den Sicherheitsanforderungen und der steigenden Bedrohungslage Schritt halten zu können (38 % geben an, dass es in den letzten zwei Jahren schwieriger geworden ist, mit den Sicherheitsanforderungen Schritt zu halten, im Vergleich zu 61 % der Befragten in anderen europäischen Ländern und 54 % im Rest der Welt).
• Grund für diese Zuversicht könnte der Fortschritt sein, den die deutschen Befragten in Bezug auf die Widerstandsfähigkeit ihrer Unternehmen erzielt haben: 27 % der Befragten gaben an, dass ihr Unternehmen einen formellen Cyberresilienz-Ansatz verfolgt, der unternehmensweit für alle kritischen Systeme eingeführt wurde (im Vergleich zu nur 18 % der Befragten in anderen europäischen Ländern). Hierbei ist aber zu beachten, dass deutsche Unternehmen in Bezug auf ihre Resilienz eher der Norm entsprechen als ihr voraus zu sein.
• Wie bereits erwähnt sagen deutsche Befragte, dass ihre Unternehmen im Falle eines Vorfalls behäbiger sind als ihre Kollegen im übrigen Europa: Analysen nach einem Vorfall zeigen, dass in Deutschland böswillige Akteure fast drei Monate lang Zugang zu Systemen haben, bevor das Unternehmen davon erfährt (gegenüber weniger als zwei Monaten bei anderen Befragten aus Europa).
• Deutsche Befragten geben häufiger an, dass es für sie schwieriger geworden ist, qualifiziertes Sicherheitspersonal zu finden (33 % gegenüber 18 % in anderen europäischen Ländern).
• Befragte aus Deutschland sind zudem zögerlich in Bezug auf KI. So sagen beispielsweise nur 30 %, dass KI in der Lage ist, Analysten bei der Erkennung von Anomalien zu übertreffen (im Vergleich zu 53 % der anderen Befragten aus Europa).
• Auch bei der Automatisierung und Orchestrierung von Sicherheitsabläufen haben deutsche Befragte weniger Fortschritte gemacht: nur 29 % berichten hierzulande von umfangreichen Fortschritten, gegenüber 40 % ihrer Kollegen aus Europa.

Zusammen betrachtet können der Mangel an Nachwuchskräften in Kombination mit geringeren Investitionen in KI und Automatisierung Sicherheitsteams in deutschen Unternehmen schnell an die Überlastungsgrenze führen.

Zukünftige Sicherheit nur durch übergreifende Zusammenarbeit 🤝

Eine gute Nachricht ist, dass dem Lagebericht Security 2023 zufolge die überwiegende Mehrheit (95 %) der Sicherheitsteams in den nächsten zwei Jahren mit einer Budget-Aufstockung rechnen kann. Insgesamt sollen mit diesen Mitteln schnellere, effektivere SOCs geschaffen werden. Konkret gesagt: Ein Großteil wird in Tools investiert, mit denen sich die Security Operations automatisieren und orchestrieren lassen. Diese Vorhaben stehen im Einklang mit den als vordringlich eingestuften Maßnahmen, namentlich dem Aufbau einer integrierten Softwarearchitektur, die auch Sicherheitsbetrieb und -analysen umfasst. Sie passen auch zum erklärten Ziel, in den Security Operations mehr förmliche Prozesse zu etablieren und zu dokumentieren.

Um erfolgreich bleiben, werden Unternehmen jedoch mehr als ein effizientes, gut organisiertes SOC brauchen. Die diesjährige Studie macht deutlich, dass Zusammenarbeit ein ganz wesentlicher Bestandteil von Resilienz ist, insbesondere die Zusammenarbeit von Sicherheitsteams und den übrigen Geschäftsbereichen. Diese Konvergenz dürfte insgesamt zu einer besseren Risikowahrnehmung führen und gleichzeitig die Prozesse von Bedrohungserkennung und Reaktion optimieren.

Schon länger arbeiten Security- und IT-Operations-Teams relativ eng zusammen. 2023 beobachten wir aber eine verstärkte Konvergenz mit anderen benachbarten Bereichen wie Digital Experience, Anwendungsentwicklung und Observability. Manchmal wird auf gemeinsame Datennutzung und Informationsaustausch gesetzt, manchmal werden hybride Rollen geschaffen, deren Aufgaben sich über mehrere Bereiche erstrecken – in jedem Fall führt partnerschaftliche Zusammenarbeit dazu, dass Unternehmen ihre Anstrengungen konzertiert und effektiv darauf richten können, den Schaden zu minimieren, den Incidents und andere disruptive Ereignisse anrichten. So schützen sie ihre Daten, ihre Marke und letztlich den Wert des gesamten Unternehmens.

Es dürfte also kein Zufall sein, dass von den 8 datengestützten Empfehlungen, die der Lagebericht Security 2023 ausspricht, 4 unmittelbar mit dem Wert einer unternehmensweiten Partnerschaft zu tun haben. Dieser verschränkte, einheitliche Ansatz ist ziemlich spannend und gibt Hoffnung für die Zukunft der Security-Branche: Diejenigen Sicherheitsteams, die funktionsübergreifend zusammenarbeiten, werden nicht nur die Sicherheitslage verbessern. Sie werden vor allem dazu beitragen, dass ihr Unternehmen resilienter wird, sodass es auch künftig in disruptiven Zeiten sicher und im Geschäft bleibt.

Den vollständigen Lagebericht Security 2023 gibt es jetzt kostenfrei zum Download. Dort erfahrt ihr mehr über die derzeitige Sicherheitslandschaft und darüber, welche Strategien erfolgreiche Teams auszeichnen.