Wie sehen Sicherheitsexperten von Unternehmen verschiedener Größe ihre Sicherheit? Können und müssen sie noch mehr tun und wenn ja, worauf kommt es dabei besonders an? Natürlich hängt es auch am Geld, aber es gibt noch weitere wichtige Faktoren.
Wieviel Sicherheit ist genug?
Dies ist die grundlegende Frage, der Cisco für den Cybersecurity Bottom Line Report nachgegangen ist. Dazu wurden 80 Unternehmen und deren Sicherheitsverantwortliche befragt. Grundlegend für die Antwort ist natürlich auch die Selbsteinschätzung, ob sie bereits genügend tun und ob sie im vergangenen Jahr einen ernsten Sicherheitsvorfall zu behandeln hatten.
Interessanterweise gaben 56% der Unternehmen an, ein akutes Sicherheitsproblem gehabt zu haben. Bei diesen Fällen mussten 43% radikale Maßnahmen ergreifen, um dem Problem Herr zu werden. Insgesamt gaben 94% Prozent der befragten Sicherheitsverantwortlichen an, dass sie mehr tun müssen, um eine effektive Sicherheit gewährleisten zu können.
Das Budget spielt eine Rolle, aber nur eine
Die Frage ist daher: Reicht das aktuelle finanzielle Engagement überhaupt aus, um ein Mindestmaß an Sicherheit im eigenen Unternehmen sicherstellen zu können. Die Antworten aus der Studie beruhigen kaum: Insgesamt nur 16% der Unternehmen können es sich leisten, das notwendige Mindestmaß in die Sicherheit zu investieren. Für 84% reicht es nicht aus.
Dabei gibt es je nach Unternehmensgröße noch deutliche Unterschiede: Kleine mittelständische Firmen mit 250 bis 999 Mitarbeitern und Konzerne mit mehr als 10.000 Mitarbeitern schaffen es zu 19% bzw. 18%, das Geld für ein Minimum an Sicherheit aufzubringen; bei Unternehmen mit 1000 bis 9999 Mitarbeitern sind es nur 7%.
Die vier wichtigsten Faktoren
Wendy Nather, Leiterin des Advisory CISO bei Cisco, erklärt in der Studie: „Neben der Budget-Frage gibt es etliche sehr dynamische Sicherheitsherausforderungen.“ Diese sind:
- Budget
- Know-how
- Fähigkeiten
- Einflussmöglichkeiten
Unternehmen müssen sicherstellen, dass ihre internen Mitarbeiter sich kontinuierlich Know-how aneignen. Das gilt für die allgemeine Sicherheit, bezieht sich aber auch auf die konkrete Umgebung und das Risikoprofil des eigenen Unternehmens. Es gibt dabei einige Sicherheitsaspekte, für die nur Insider gerüstet sind.
Die richtigen Fähigkeiten der mit der Sicherheit betrauten Mitarbeiter und der eingesetzten Software spielen ebenso eine wichtige Rolle. Haben die Sicherheitsverantwortlichen die Kontrolle über wichtige Ressourcen oder fehlt es an Zugriffsmöglichkeiten oder schlicht der notwendigen Technologie? Mangelt es hier, lässt sich die richtige Verteidigungsstrategie eventuell nicht umsetzen – selbst wenn das erforderliche Budget und Know-how vorhanden sind.
Nutzen Sie Ihre Einflussmöglichkeiten auf externe Anbieter von Produkten und Service-Leistungen, um die Sicherheit zu verbessern. Naturgemäß fällt es größeren Unternehmen leichter, diesen Einfluss bei Dienstleistern geltend zu machen. Kleine Unternehmen können sich über Verbände und Zusammenschlüsse mehr Gehör verschaffen und ihren Einfluss vergrößern.
Empfehlungen für bessere Sicherheit
Aus den Ergebnissen der Studie lassen sich sechs praktische Empfehlungen ableiten, um die Sicherheit Ihres Unternehmens zu erhöhen:
Finden Sie heraus, was für Ihr Unternehmen das Richtige ist: Es gibt keine allgemeingültige Sicherheitslösung, die für alle Unternehmen passt. Welche Bedrohungen sind bei Ihnen wahrscheinlich und welches Know-how und Fähigkeiten hat Ihre Firma? Stimmen Sie darauf die notwendigen Lösungen ab.
1.) Holen Sie mehr aus Ihren Investitionen heraus
Zu vielen Lösungen, die nicht zueinander passen, erzeugen ein komplexes Geflecht, das sich nicht mehr verwalten lässt. Setzen Sie auf einen Plattform-basierten Sicherheitsansatz, der die vorhandenen Tools optimal einsetzt und vernetzt.
2.) Wählen Sie einen Zero-Trust-Ansatz
Über Zero-Trust erhöhen Sie die Transparenz über das gesamte Netzwerk, können gezielt kontrollieren, welche Personen, Geräte und Anwendungen Zugriffe erhalten, und können verdächtiges Verhalten effektiv blockieren sowie Angriffe verhindern.
3.) Weiten Sie Ihre Schulungen aus
Verbessern Sie kontinuierlich das Know-how und die Fähigkeiten ihrer Sicherheitsfachkräfte durch Schulungen und Teilnahme an Konferenzen und Workshops. Nutzen Sie auch kostenlose Angebote wie den Cisco Security Blog und Talos Threat Intelligence.
4.) Lagern Sie Anwendungen aus
Alle Aufgaben, die nicht zu Ihrem Kerngeschäft gehören, können Sie in die Cloud auslagern (SaaS). Damit entlasten Sie Ihr IT-Team, das sich auf die Sicherheit der wichtigen Ressourcen und Prozesse konzentrieren kann.
5.) Stärken Sie Ihren Einfluss
Nutzen Sie professionelle Netzwerke und Branchenverbände, um mehr Einfluss auf externe Partner auszuüben, um die Sicherheit zu verbessern. So können Fehler schneller behoben und Updates zeitnah eingespielt werden.
Der Cybersecurity Bottom Line Report zeigt aus der Befragung von 80 Unternehmen, dass neben dem Budget vor allem auch Know-how, Fähigkeiten und Einflussmöglichkeiten über die Sicherheit Ihres Unternehmens entscheiden. Die ausführlichen Ergebnisse des Reports zeigen dabei im Detail, wie es aktuell in diesen Bereichen um die befragten Unternehmen steht und was sich daraus ableiten lässt.