IDG-Studie Cyber Security 2020

Die IT-Sicherheit braucht eine Neuorientierung

08.10.2020 von Oliver Schonschek
Homeoffice ist nur eine Herausforderung von vielen für die IT-Sicherheit. Unternehmen wollen mehr in Security investieren, doch ihre Konzepte sind noch nicht stimmig.
Für den Schutz vor dem "Cyber-Unwetter" investieren viele Unternehmen verstärkt in die IT-Sicherheit. Doch noch nicht alle Konzepte greifen.
Foto: Stockphoto Graf - www.shutterstock.com

Keine Frage, die Unternehmen in Deutschland müssen mehr für ihre IT-Sicherheit tun, viele erleiden erfolgreiche Cyberattacken und müssen hohe Schäden dadurch verzeichnen. Der höhere Bedarf für Cyber Security liegt erst recht auf der Hand, wenn man an den Digitalisierungsschub in Zeiten der Corona-Pandemie und an die erhöhten Risiken im Homeoffice denkt. Doch können und werden die Unternehmen ihre Security-Investitionen steigern, wenn die wirtschaftliche Lage eher als unsicher empfunden wird und viele Unternehmen Umsatzeinbußen erlitten haben?

Wunsch trifft Wirklichkeit

Wie die aktuelle Studie "Cyber Security 2020" von COMPUTERWOCHE und CIO in Kooperation mit Microsoft, Cisco Secure, DriveLock, F-Secure, Infinigate, McAfee, Micro Focus, Trend Micro und Airlock zeigt, wird zumindest an der Security in den nächsten Monaten und Jahren nicht gespart werden.

Zur Studie "Cyber Security 2020" im Studienshop

Mehr als Dreiviertel der Unternehmen wollen stärker in Security investieren. Doch es gibt ein Problem: Die Security-Vorhaben entsprechen nicht immer den Herausforderungen, denen sich die Unternehmen nach eigener Aussage stellen müssen. Man wünscht sich das eine, aber man investiert in einen anderen Security-Bereich.

So sind viele Unternehmen von den Vorteilen eines Zero-Trust-Konzeptes überzeugt, immerhin hilft ein solches Modell auch gerade bei der Absicherung von Remote Work. Doch nur fünf Prozent planen entsprechende Investitionen, wie die aktuelle Studie ergab.

Endpoints statt Cloud

Offensichtlich gibt es eine Diskrepanz zwischen dem Wollen und dem Tun. In der öffentlichen Diskussion steht zusätzliche Sicherheit im Homeoffice hoch im Kurs. Befragt nach den größten Herausforderungen in der Security, nennen aber nur vier Prozent der Vorstände und Geschäftsführer die gestiegene Nutzung von Homeoffices. Auch die Absicherung von Cloud-Diensten, die bei Remote Work besonders wichtig ist, gehört nach Ansicht der befragten Unternehmen nicht zu den größten Security-Aufgaben. Es sind die Endpoints, die den Unternehmen das größte Kopfzerbrechen bereiten. Nun sind Endgeräte tatsächlich von entscheidender Bedeutung, im Homeoffice genauso wie als Zugang zu den Cloud-Services.

Die allgemeine Bedrohungslage von außen, gefährdete Endpoints und das zu niedrige IT-Security-Budgets bereiten den Entscheidern in den Unternehmen die größten Sorgen.
Foto: IDG Research Services / Patrick Birnbreier

Doch reicht weder die Endpoint Security aus, um Heimarbeitsplätze abzusichern, noch wird die Endgeräte-Sicherheit von den Unternehmen in der Security-Praxis richtig eingeplant und umgesetzt. Wie die Studie zeigt, fehlen bei vielen Unternehmen noch die entsprechende Sicherheitsrichtlinien für Endpoints. Ebenso sind die geplanten Investitionen für Endpoint Security eher gering.

Diskussion zentraler Ergebnisse der Studie "Cyber Security 2020" auf der it-sa 365

Security braucht Offenheit

Man kann diese Diskrepanzen am besten verstehen, wenn man sich die Umbruchsituation vergegenwärtigt, in der sich die Unternehmen und ihre Security-Konzepte befinden. Alles scheint im Fluss zu sein, am beständigsten ist die Veränderung.

Da ist es nur schlüssig, wenn sich die Unternehmen offenhalten wollen, wie sie ihre Security genau umsetzen. Nur vier Prozent der Unternehmen halten es für unwichtig, ob ihre Security-Systeme offen sind, um Lösungen anderer Anbieter integrieren zu können. Vorständen und Geschäftsführern ist die Offenheit sogar noch wichtiger als der IT-Leitung.

Offene Sicherheitsinfrastrukturen genießen zumeist eine wichtige Priorität in deutschen Unternehmen.
Foto: IDG Research Servcies / Patrick Birnbreier

Die sich dynamisch ändernde Lage erfordert eine flexible, offene Sicherheitsarchitektur. Mit der gewünschten Offenheit geht der Bedarf an Integration der Security-Lösungen einher.

Im Idealfall würden die verschiedenen Security-Lösungen automatisch in der Identifizierung der Risiken, der Erkennung von Bedrohungen und der Abwehr von Angriffen zusammenarbeiten. 51 Prozent der befragten Unternehmen automatisieren auch bereits Teile ihrer Security. Dabei wird zum Beispiel die Abwehr automatisiert, nicht aber die Erkennung der Angriffe. Manuelle Vorarbeiten können aber zu einem Engpass für die nachfolgende Automatisierung werden. Auch hier zeigt sich die notwendige Neuorientierung der Cybersicherheit hin zu einem tatsächlich umfassenden Schutz.

KI ja, Outsourcing nein

Auch wenn sehr viel über den Fachkräftemangel in der Security diskutiert wird, halten nur 19 Prozent der befragten Unternehmen die (zu geringe) Zahl an Security-Personal im Unternehmen für eine der größten Herausforderungen.

Entsprechend wird das Outsourcing von Security-Funktionen auch nur von einer Minderheit favorisiert. 55 Prozent der Unternehmen sagen sogar, dass das Outsourcen der Security für ihr Unternehmen nicht in Frage kommt.

Scheinbar verspricht man sich wenig von Outsourcing, aber viel von der Künstlichen Intelligenz (KI) in der Security. 48 Prozent der Unternehmen nutzen bereits KI in ihren Security-Konzepten. Weitere 25 Prozent planen dies in den kommenden zwölf Monaten.

KI in der IT-Security - eine aufstrebende Technologie.
Foto: IDG Research Services / Patrick Birnbreier

Was Security by Design braucht

Vieles in den Security-Konzepten erscheint noch als Stückwerk, während die Digitalisierung weiter beschleunigt. Auch die zunehmend komplexe Bedrohungslage im Internet und die fortschrittlichen, intelligenten Attacken fordern die Cybersicherheit heraus. Security muss nicht nur Schritt halten, sondern eigentlich immer schon da sein, wenn die Digitalisierung kommt. Will man kurzfristig Remote Work aus dem Homeoffice ermöglichen können, gibt es kaum Zeit dafür, langwierig die Security-Maßnahmen zu planen und die notwendige Cyber-Sicherheit herzustellen.

Es wird sehr deutlich, dass Security by Design nicht nur ein Wunschkonzept in vielen Compliance-Vorgaben ist, sondern eine ideale und notwendige Grundlage der Cyber Security, da sich die Anwenderunternehmen dann weniger um die Sicherheit ihrer Endgeräte, den richtigen Schutz im Homeoffice und die Absicherung der Cloud-Dienste kümmern müssten, sondern "nur noch" um die Einrichtung digitaler Arbeitsplätze.

Die Wirklichkeit in der Security sieht bekanntlich anders aus, denn Security by Design ist noch lange keine Selbstverständlichkeit. Auch dazu gibt die aktuelle Studie spannende Einblicke. So sind nicht nur die IT-Hersteller gefordert, sondern auch die Anwenderunternehmen selbst. Der Grund: Die meisten Anwenderunternehmen sind auch selbst Hersteller von IT-Lösungen. Nur sieben Prozent der befragten Unternehmen entwickelt keine eigene Software.

Die Sicherheit bei den Eigenentwicklungen stellt bei 34 Prozent die Projektentwicklung selbst sicher, sie tauscht sich nur mit der Security-Abteilung aus. Elf Prozent der Entwicklungsabteilungen machen nicht nur ihre eigene Security, sie arbeiten auch nicht mit der Security-Abteilung zusammen.

Bei der Komplexität der IT-Lösungen und IT-Risiken ist es erstaunlich, dass sich viele Unternehmen nicht ihrer Security-Ressourcen bedienen, wenn es um die Sicherheit in der Softwareentwicklung geht. Nicht ohne Grund ist Security-Expertise stark gefragt, und man kann nicht davon ausgehen, dass dieses Know-how in den Entwicklungsabteilungen im benötigten Umfang vorhanden ist.

Diskussion zentraler Ergebnisse der Studie "Cyber Security 2020" auf der it-sa 365

Sicherheit auch im Unternehmensdesign

Auch hier ist dringend eine Neuorientierung in der Cyber-Sicherheit erforderlich: Die Security ist keine Abteilung, die eine andere Abteilung zu Rate ziehen kann oder eben nicht. Die Cyber-Sicherheit ist die Basis jeder Entwicklung und der gesamten Digitalisierung. Die Unternehmen haben die Cyber-Bedrohungen in der aktuellen Befragung "Cyber Security 2020" als das größte Betriebsrisiko eingestuft, sie erhöhen auch mehrheitlich ihre Security-Investitionen.

Doch es müssen auch die richtigen Schlüsse und Taten folgen: So hilft eine offene, integrierte Security, wie sie gewünscht wird, nur dann, wenn die Security wirklich durchgehend organisiert und wo möglich automatisiert wird. Insellösungen für die Security in der Entwicklungsabteilung sind ebenso kein sinnvoller Weg wie eine Automatisierung bestimmter Teilfunktionen, die von manuell erbrachten Security-Leistungen abhängen.

Die von der Security geforderte Offenheit bei den Lösungen muss auch in der Risikowahrnehmung der Unternehmen und in den Unternehmen selbst herrschen. Nur so können die Investitionen und Maßnahmen zu den erkannten Herausforderungen passen, und nur dann kann es wirklich zu Security by Design kommen, wenn Security auch im "Unternehmensdesign" verankert ist.

Ergebnisdiskussion auf der it-sa 365

Im Rahmen der "Launch Days" der IT-Security-Plattform "it-sa 365" wurden die Ergebnisse der Studie vorgestellt und gemeinsam mit Vertretern der Studienpartner diskutiert. Eine Aufzeichnung der Session steht hier zur Verfügung. Eine kostenlose Registrierung auf der Plattform ist für den Abruf notwendig.

Jetzt erhältlich: die Studie "Cyber Security 2020"
Foto: stockphoto-graf - www.shutterstock.com

Zur Studie "Cyber Security 2020" im Studienshop

Studiensteckbrief

Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner

Platin-Partner: Microsoft Deutschland GmbH

Gold-Partner: Cisco Secure; DriveLock SE; F-Secure GmbH; McAfee Germany GmbH; Micro Focus GmbH; TrendMicro Deutschland GmbH

Silber-Partner: Ergon Informatik AG (Airlock)

Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Spezialisten aus dem IT-Bereich

Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media; persönliche E-Mail-Einladungen zur Umfrage

Gesamtstichprobe: 655 abgeschlossene und qualifizierte Interviews; Stichprobe 1: 318; Stichprobe 2: 337

Untersuchungszeitraum: 20. bis 28. Juli 2020

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern

Durchführung: IDG Research Services