Zentrale Strategien und Konzepte, welche die Cyber-Sicherheit in den Fokus nehmen, sind in vielen Unternehmen noch nicht vollständig ausgearbeitet. Zwar besitzen 78 % der im Rahmen der Studie „Cyber-Security 2022“ von CIO, CSO und Computerwoche befragten Unternehmen eine Gesamtstrategie für IT-Sicherheit. Allerdings bezeichnen nur 28 % von ihnen die Strategie als umfassend und detailliert. Die Gefahr dabei: Wenn Unternehmen auf vorhandene Konzepte und Strategien setzen, die nicht vollständig sind, wiegen sie sich möglicherweise in einer Scheinsicherheit und unterschätzen das tatsächliche Risiko, das mit einem erfolgreichen Cyber-Angriff einhergeht.
Schützen Sie Ihre IT-Landschaft vor unberechtigten Zugriffen
Zahl der Cyber-Vorfälle nimmt zu
Dass die Cyber-Attacken ein noch nie dagewesenes Niveau erreicht haben, bestätigt eine deutliche Mehrheit der Unternehmen. 77 % geben an, dass die Zahl der Cyber-Vorfälle 2022 im Vergleich zum Vorjahr gestiegen ist. Die Unternehmen sind sich der wachsenden Gefahr, die von Cyber-Angriffen ausgeht, durchaus bewusst. Darauf lässt zumindest die Tatsache schließen, dass 65 % ihr Security-Budget im vergangenen Jahr erhöht haben. Bei 21 % ist es etwa gleichgeblieben, während 5 % ihre Ausgaben für IT-Sicherheit gesenkt haben. Allerdings stellt sich die Frage, ob ein höheres Budget für IT-Security automatisch auch einen besseren Schutz bedeutet. Das wird nur der Fall sein, wenn auch die richtigen Themen adressiert und bisherige Schwachstellen behoben werden.
Gefahren von innen und außen
Nach wie vor unterschätzen Unternehmen das Gefahrenpotenzial, das von Innentätern ausgeht. 56 % der Unternehmen berichten, dass es in der Vergangenheit bereits Sicherheitsvorfälle mit aktuellen oder ehemaligen Mitarbeitern gegeben habe. Dabei handeln die Mitarbeiter in den meisten Fällen nicht in böser Absicht; vielmehr geben sie Geschäfts- oder Zugangsdaten unbewusst an Unbefugte weiter. Im festen Glauben, das Richtige zu tun, merken sie nicht, dass sie auf raffinierte Social-Engineering-Methoden hereingefallen sind.
Trotz dieser Erfahrungen betrachten nur 18 % der Befragten interne Bedrohungen als größte Herausforderung für die IT-Sicherheit. Bedrohungen von außen finden mit 40 % deutlich mehr Beachtung im Gefahrenbewusstsein der IT-Security-Verantwortlichen. In Bezug auf interne Sicherheitsvorfälle lässt sich also eine erhebliche Diskrepanz zwischen der allgemeinen Risikowahrnehmung, der Einschätzung des eigenen Risikos und den tatsächlich eingetretenen Vorfällen feststellen.
Nachholbedarf bei Zero Trust
Objektiv betrachtet ist Zero Trust in Zeiten von hybriden Arbeitsmodellen mit einem Mix aus klassischer Bürotätigkeit, Homeoffice und mobilem Arbeiten ein zeitgemäßes Schutzkonzept. In vielen Unternehmen spielt Zero Trust hingegen (noch) keine Rolle. Entsprechende Konzepte existieren in weniger als der Hälfte der Unternehmen (46 %). Der Anteil der Unternehmen, bei denen der Auf- oder Ausbau von Zero Trust zu den relevanten IT-Security-Investitionen gehört, liegt bei unter 10 %.
Cyber Security als permanente Aufgabe
85 % der Unternehmen sehen sich in Sachen Cyber Security gut aufgestellt. Lediglich 15 % bewerten ihre Fachkompetenz und Ressourcen als unzureichend, wenn es darum geht, selbstständig Sicherheitsvorfälle zu erkennen und entsprechende Gegenmaßnahmen einzuleiten. Ob inhouse oder mithilfe eines externen Partners – um Schaden vom Unternehmen abzuwenden, bleibt es auch in Zukunft unerlässlich, kontinuierlich Zeit und Ressourcen in die IT-Sicherheit zu investieren. Unternehmen sollten ihre Konzepte und Maßnahmen immer wieder hinterfragen und auf den Prüfstand stellen, um das größtmögliche Maß an Cyber Security sicherzustellen.