Cyber Security steht ganz oben auf der CIO-Agenda
Durch den zunehmenden Digitalisierungsgrad und den steigenden Einsatz softwarebasierter Lösungen – sei es für die Unternehmens-IT selbst, in Form smarter Produkte oder in Maschinen und Fahrzeugen (Embedded Systems) – entstehen neue potenzielle Angriffsflächen und Einfallstore für Hacking. Folglich muss die Cyber Security an Bedeutung gewinnen. Bereits in der Lünendonk®-Studie „Der Markt für IT-Beratung und IT-Service in Deutschland“ aus dem Sommer 2021 gaben 78 Prozent der befragten CIOs, CTOs und IT-Managerinnen und -Manager an, dass sie sich 2022 und 2023 intensiv mit der Cyber Security und Informationssicherheit beschäftigen werden. Kein anderes Thema, wie etwa der Digital Workplace oder Data Analytics, wurde höher gewichtet. Dieser Wert dürfte in diesem Jahr sogar noch weiter steigen, denn auch Analysen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) und des Bundeskriminalamtes (BKA) zeigen, dass die Risiken weiter zunehmen. So bewertet das BSI die IT-Sicherheitslage für das Jahr 2021 als „angespannt bis kritisch“ – eine Einschätzung, die man sehr ernst nehmen sollte.
Cyber Security ist mehr als nur ein notwendiges Übel
Sichere IT-Anwendungen, Systeme und Produkte lassen sich als Selbstverständlichkeit betrachten – sie sind es aber nicht. In vielen Gesprächen mit IT-Verantwortlichen stellt Lünendonk fest, dass sich das Bild der IT-Security wandelt – weg von einem Kostenfaktor hin zum Wertschöpfungstreiber und festen Bestandteil der digitalen Transformation an. Ohne IT-Sicherheit keine erfolgreiche Digitalisierung, so lautet vielerorts das Credo.
Reichen die aktuellen Abwehrmaßnahmen aus?
Laut BSI wurden 2021 144 Millionen neue Schadprogramm-Varianten registriert – ein Plus von 22 Prozent im Vergleich zu 2020. Doch nicht nur die Quantität, auch die Qualität der Angriffe und der Erfindungsreichtum der Cyber-Erpresser nahmen zu. Trotz dieser beachtlichen Entwicklung sehen 33 Prozent der Unternehmen laut Lünendonk-Analyse keine Notwendigkeit, Maßnahmen zu ergreifen, um das IT-Security-Niveau zu erhöhen, da bereits ein ausreichender Schutz vorhanden ist. Cyber-Risiken sind schließlich keine gänzliche Neuheit. Jedoch entwickelt sich der Bereich schnell weiter, sodass infolge der stärkeren Digitalisierung ein größeres Schadensausmaß möglich ist als früher.
Die Hälfte der befragten CIOs, CISOs und IT-Mangerinnen und -Manager sieht immerhin einen geringen Handlungsbedarf, um sich besser vor Cyber-Attacken zu schützen, aber nur 8 Prozent haben große Lücken in der IT-Security ausgemacht. Ebenfalls 8 Prozent können ihr Cyber-Security-Niveau nicht beurteilen. Letztere beiden sollten dringend Maßnahmen ergreifen, um ein Bild der Ist-Situation zu erhalten und Verbesserungen einzuleiten.
Zur Diskussion bleibt die Frage, wie diese doch recht positive Selbsteinschätzung der Unternehmen einzuordnen sind. Einige Unternehmen scheinen sich in falscher Sicherheit zu wiegen – oft auch unter dem Gedanken, dass sich ein externer IT-Dienstleister, an den die IT ausgelagert ist, auch um deren Sicherheit kümmert. Dies ist jedoch zu kurz gedacht, denn durch die Digitalisierungsbestrebungen der Fachbereiche – auf die die IT oft gar keinen Einfluss mehr hat, bietet die Absicherung der IT-Infrastruktur nur einen Teilschutz. Vielmehr sind Security-by-Design-Konzepte gefragt, also die Berücksichtigung von Security-Aspekten direkt bei der Entwicklung digitaler Produkte und der Prozess-Digitalisierung. Externe IT-Dienstleister und -Beratungen können bei der Bestandsaufnahme und Entwicklung umfassender IT-Security-Lösungen helfen.
Auswirkungen der Cloud-Transformation vielen noch unklar
Großer Handlungsdruck besteht auch, weil die Cloud im Zuge der Digitalisierung enorm an Relevanz gewonnen hat. Gerade Konzerne, aber auch mittelständische Unternehmen arbeiten seit einigen Jahren mit den Hyperscalern AWS, Microsoft Azure und Google Cloud intensiver zusammen und verlagern immer mehr Teile der IT-Landschaft und der Prozesse in die Cloud. Dabei werden nicht mehr nur Infrastrukturen und Anwendungen via Lift & Shift in die Cloud verlagert, sondern es erfolgt vielmehr ein Umbau zu einer (hybriden) Cloud-Architektur oder ein kompletter Neubau (Cloud-native), um die Möglichkeiten der Skalierbarkeit, der Innovationsförderung und der Agilität optimal zu nutzen.
Die IT-Security muss sich entsprechend anpassen. Viele Unternehmen (34 %) sind sich heute jedoch noch nicht darüber im Klaren, was die Cloud-Transformation für ihre IT-Security bedeutet – etwa aufgrund fehlender Erfahrungen. Aber immerhin ein Viertel (26 %) geht bereits davon aus, dass die Cloud zu einer Erhöhung des IT-Sicherheitsniveaus führt. 40 Prozent sind jedoch der Meinung, dass dies nicht der Fall ist.
Die Ambivalenz der Antworten zeigt, dass noch ein gewisser Aufklärungs- und Beratungsbedarf besteht. Aus Sicht von Lünendonk hat die Cloud-Nutzung positive Effekte auf die IT-Security, da gerade die Hyperscaler massiv in ihre IT-Security und Technologien wie KI-gestützte Cyberabwehr investieren – auch durch Übernahmen. So hat Google vor Kurzem für 5 Milliarden Euro das Cyber-Security-Unternehmen Mandiant übernommen und dabei Microsoft ausgestochen – die Freigabe der US-Wettbewerbsbehörde vorausgesetzt. Microsoft akquirierte 2020 bereits CyberX und im letzten Jahr RiskIQ. Insgesamt investieren alle Hyperscaler pro Jahr mehrere Milliarden US-Dollar in die Absicherung ihrer Cloud-Rechenzentren – beispielsweise im Bereich der Anomalieerkennung durch Künstliche Intelligenz. In solche Innovationsthemen zu investieren ist für die Vielzahl mittelständischer Unternehmen beispielsweise gar nicht möglich.
Investitionen in Cyber Security steigen
86 Prozent der CIOs und IT-Verantwortlichen werden laut der Lünendonk®-IT-Marktstudie in den kommenden Jahren ihr Budget für die IT-Security erhöhen. Dabei geht es sowohl um die Absicherung der Produktion – insbesondere der Operational Technology (OT) bzw. der Verknüpfung der OT und IT – als auch um den Schutz der Kundenschnittstellen. Dabei wollen die CIOs auch stärker mit externen IT-Dienstleistern zusammenarbeiten – beispielsweise im Bereich von Managed Security Services. Vor allem in Themenfeldern wie E-Mail-Security, IAM (Identity & Access Management) oder Endpoint Security besteht laut Lünendonk hoher Bedarf an entsprechenden externen Services.
Alles neu oder doch nur neuer Wein in alten Schläuchen?
Ändert sich die Security-Welt nun wirklich so stark oder handelt es bei einigen Themen doch nur um kurzfristige Trenderscheinungen aufgrund der aktuellen Brisanz? Die Antwort ist nicht eindimensional. Schließlich findet Digitalisierung nicht erst seit gestern statt. Auch vor 20 Jahren galt es, die IT zu schützen. Doch Digitalisierung ist als kontinuierlicher Prozess zu verstehen – genauso wie Cyber Security. Es geht um die Weiterentwicklung von Security-Architekturen und -Anwendungen, die den heutigen Anforderungen gerecht werden. Im Vergleich zu den 2000er-Jahren ist der Digitalisierungsreifegrad aber stark fortgeschritten und es bestehen deutlich mehr Digitale Assets, die es zu schützen gilt. Ebenso haben die regulatorischen Anforderungen zugenommen. Wird die Cyber Security vernachlässigt, ist das Schadenspotenzial heutzutage deutlich größer als es früher.