Gartner: Cybersecurity wird menschlicher
Gartner hat für 2023 im Bereich Cybersecurity neun wichtige Trends identifiziert. Allen gemeinsam ist, dass es zunehmend mehr um die Menschen vor den Bildschirmen geht als die an die Monitore angeschlossenen Geräte und angesichts des Fachkräftemangels auch mehr um die für IT-Sicherheit zuständigen Mitarbeiter.
Die Beziehung zwischen IT-Administratoren und Anwendern ist in Firmen nicht immer die beste. Beredtes Zeugnis sind Bezeichnungen wie »Dümmster anzunehmender User« (DAU), »ERROR-40« respektive »Fehler 40« (als Umschreibung dafür, dass der Fehler 40 cm vor dem Monitor sitzt). Auch die Anspielung auf das siebenstufige OSI-Schichtenmodell mit dem »Error in Layer 8« für die Diagnose, dass es wieder einmal nicht die Technik war, die nicht funktioniert hat, sondern der Anwender, der Mist gebaut hat, ist Ausdruck dafür.
Geht es nach den Analysten von Gartner, muss sich das aber dringend ändern. Schließlich ist IT als Werkzeug für die Benutzer gedacht, nicht als eine gigantische Art Ersatz-Modelleisenbahn für die IT-Abteilung, die kein anderer anfassen und mit der niemand spielen darf. Ausgangspunkt dieser Erkenntnis ist, dass Cybersecurity nicht geht, wenn der Mensch nicht mitmacht.
Ganz neu ist die nicht. Zum Beispiel zeigte der kürzlich von Barracuda Networks veröffentlichte Report »Ransomware Insights 2023«, dass bei 69 Prozent der Unternehmen, die von einer Ransomware-Attacke betroffen waren, der erste Schritt der Angreifer eine E-Mail (oft eine Phishing-E-Mail) war. Ziel war es, Zugangsdaten zu bekommen, um im Firmennetzwerk einen Fuß in die Tür zu bekommen und dann nach Servern, Datenpannen und Backups zu suchen, bevor die eigentliche Attacke gestartet wird.
»Ein auf den Menschen ausgerichteter Cybersicherheitsansatz ist entscheidend, um Sicherheitslücken zu reduzieren«, erklärt Richard Addiscott, Senior Director Analyst bei Gartner. Die Konzentration auf den Menschen bei der Entwicklung und Umsetzung von Kontrollen, der Unternehmenskommunikation und dem Management von Cybersecurity-Mitarbeitern könne Addiscott zufolge dazu beitragen, »Entscheidungen über Geschäftsrisiken zu verbessern und die Mitarbeiterbindung in der Cybersicherheit zu erhöhen.« Verantwortlichen empfiehlt er, sich auf drei Schlüsselbereiche zu konzentrieren:
- die Rolle der Mitarbeiter für den Erfolg und die Nachhaltigkeit der Sicherheitsbemühungen
- technische Sicherheitsfunktionen, die mehr Transparenz und Reaktionsfähigkeit im gesamten digitalen Ökosystem des Unternehmens bieten
- die Arbeitsweise der Sicherheitsfunktion so umzustrukturieren, dass Agilität möglich wird, ohne dabei die Sicherheit zu gefährden
Diese drei Schlüsselbereiche ziehen sich durch alle neun wichtigen Security-Trends, die Gartner für 2023 identifiziert hat. Dabei geht es nicht nur darum, die Anwender und deren Verhalten oder Unzulänglichkeiten zu akzeptieren und einzuplanen, sondern auch die Arbeitsbedingungen und -möglichkeiten für die für IT-Sicherheit Verantwortlichen in den Unternehmen zu verbessern. Denn wie ein aktueller Bericht von Sophos zeigt, kommen die mit ihrer Arbeit in den allermeisten Firmen kaum noch nach bzw. räumen sogar offen ein, dass sie überfordert sind.
Human-centric Security
»Herkömmliche Security Awareness Programme haben es nicht geschafft, das unsichere Verhalten der Mitarbeiter zu reduzieren«, sagt Addiscott. »CISOs müssen frühere Cybersicherheitsvorfälle überprüfen, um die Hauptursachen für Reibungsverluste durch Cybersicherheit zu identifizieren und festzustellen, wo sie die Belastung der Mitarbeiter durch stärker auf den Menschen ausgerichtete Kontrollen verringern oder Kontrollen zurückziehen können, die Reibungsverluste verursachen, ohne das Risiko nennenswert zu verringern.«
Gartner spricht hier von »Human-centric security«. Die Analysten gehen davon aus, dass bis 2027 die Hälfte der großen Konzerne dieses Konzept umgesetzt haben werden.
Besseres Personalmanagement für nachhaltigere Sicherheit
Traditionell haben sich Cybersicherheits-Verantwortliche darauf konzentriert, Technologien und Prozessen zu verbessern. Die Menschen, die die benutzen sollten, spielten nur eine untergeordnete Rolle. Gartner hat jedoch beobachtet, dass CISOs, die einen auf den Menschen ausgerichteten Talentmanagement-Ansatz verfolgen, Verbesserungen in der funktionalen und technischen Reife ihrer Bemühungen festgestellt.
Daher prognostizieren die Analysten, dass bis 2026 rund 60 Prozent der Unternehmen von der externen Suche nach Experten auf die interne Rekrutierung umstellen werden, um die Probleme zu reduzieren, die bei der Beschaffung geeigneter Cybersicherheitsspezialisten bestehen.
Cybersecurity muss die Wertschöpfung unterstützen
»Inzwischen ist beim Top-Management weitgehend akzeptiert, dass das Cybersicherheitsrisiko eines der wichtigsten Unternehmensrisiken ist und nicht nur ein zu lösendes technologisches Problem«, sagt Addiscott. »Geschäftliche Ziele zu unterstützen und schneller zu erreichen, ist eine Kernpriorität von Cybersicherheit, bleibt aber eine der größten Herausforderungen.«
CISOs empfiehlt Addiscott daher, bei ihrem Betriebsmodell für Cybersicherheit zu berücksichtigen, wie die Arbeit erledigt wird. Mitarbeiter müssten wissen, wie sie unterschiedliche Risiken abwägen können, darunter Cybersicherheits-, Finanz-, Reputations-, Wettbewerbs- und Rechtsrisiken.
Cybersicherheit müsse zwingend auch mit dem Geschäftsnutzen verbunden sein, indem der Erfolg anhand von Geschäftsergebnissen und Prioritäten gemessen und dargestellt wird. Künftig ist es also nicht mehr sinnvoll, dem Management darzulegen, wie viele Viren auf den Endgeräten gefunden wurden. Stattdessen sollte vielleicht lieber dargestellt werden, wie hoch der Anteil, der durch Sicherheitsprobleme auf dem Endgerät ausgefallenen Arbeitsstunden der Mitarbeiter war und versucht werden, diesen Wert zu reduzieren.
Threat Exposure Management
CISOs rät Addiscott auch, die Methoden weiterzuentwickeln, mit denen sie ihre Angriffsfläche kontrollieren und versuchen sollten zu verstehen, welchen Gefahren ihr Unternehmen überhaupt ausgesetzt ist, statt in erster Linie nur technologische Schwachstellen zu bewerten.
Diesbezüglich sieht Gartner großes Interesse am Thema Continuous Threat Exposure Management (CTEM). Gartner prognostiziert, dass Unternehmen, die ihre Sicherheitsinvestitionen auf der Grundlage eines CTEM-Programms priorisieren, bis 2026 die Anzahl der Sicherheitsverletzungen um bis zu zwei Drittel reduzieren können.
Identity-Management in den Griff bekommen
Bei der zunehmend komplexer werdenden Verwaltung der Benutzeridentitäten spricht von der Notwendigkeit, das Gewebe der Identitäten zu immunisieren oder auf Englisch etwas griffiger einer »Identity Fabric Immunity«.
Hier sieht Gartner unvollständige Ansätze, angreifbare Komponenten oder Fehlkonfigurationen als größte Probleme. Wer sie in den Griff bekomme, etwa indem er IAM (Identity and Access Management) um ein System für Identity Threat and Detection Response (ITDR) ergänze, habe den meisten Gefahren bereits die Spitze genommen. Bis 2027 geht Gartner davon aus, dass sich so 85 Prozent der neuen Attacken blockieren und die finanziellen Auswirkungen um 80 Prozent reduzieren lassen.
Cybersecurity-Validation und Cybersecurity-Konsolidierung
Bei Techniken, Prozessen und Tools, mit denen Firmen validieren, wie potenzielle Angreifer eine identifizierte Bedrohung ausnutzen können, sieht Gartner erhebliche Fortschritte in Bezug auf die Automatisierung. Das ermögliche zunehmend regelmäßige Benchmarks von Angriffstechniken, Sicherheitskontrollen und -prozessen. »Bis 2026 werden sich mehr als 40 Prozent der Unternehmen, darunter zwei Drittel der mittelständischen Unternehmen, auf konsolidierte Plattformen verlassen, um Bewertungen zur Cybersicherheitsvalidierung durchzuführen«, erklärt Gartner-Analyst Addiscott.
Die Konsolidierung beschleunigt sich auch bei den Cybersecurity-Angeboten. Etablierte Hersteller von Cisco Systems über Microsoft und Sophos zu Trend Micro bieten immer weitreichendere und umfassendere Security-Plattformen an. »Führungskräfte müssen Sicherheitskontrollen kontinuierlich inventarisieren, um zu verstehen, wo Überschneidungen bestehen, und die Redundanz durch konsolidierte Plattformen zu reduzieren«, stellt Addiscott daher fest.
Gleichzeitig lassen sich »Best-of-Breed«-Strategien angesichts der Dynamik der Branche, dem Fachkräftemangel und den steigenden Sicherheitsanforderungen kaum noch umsetzen. Allerdings bieten die zunehmend Integrationsmöglichkeiten in die entstehenden Plattformen. Die sind dann sinnvoll zu nutzen.
Composable-Security und mehr Cybersecurity-Kompetenz
»2027 werden mehr als 50 Prozent der wichtigsten Geschäftsanwendungen auf einer Composable Architecture basieren, was einen neuen Ansatz zur Sicherung dieser Anwendungen erfordert«, erklärt Addiscott.
Als Composable Security definieren die Analysten einen Ansatz, »bei dem Cybersicherheitskontrollen in Architekturmuster integriert und dann auf modularer Ebene in Composable-Technology-Implementierungen angewendet werden.« Denn die Nutzung von »Composable«-Komponenten führen zu ungewollten und vielleicht unsichtbaren Abhängigkeiten. Daher seien Privacy by Design und Security by Design in solchen Szenarien wichtig. Anders gesagt: Cybersicherheit wird nicht erst am Ende dem Gesamtkonstrukt übergestülpt, sondern muss schon in seinen Bestandteilen fest enthalten sein.
Schließlich benötigten Unternehmen auch in der obersten Führungsebene mehr Cybersecurity-Kompetenz. Denn nur, wenn deren Mitglieder verstehen, wie Cybersecurity funktioniert, welchen Cyberrisiken das Unternehmen ausgesetzt ist und wie sich Cybersecurity-Maßnahmen auf andere Ziele des Unternehmens auswirken oder diese unterstützen, könne die erforderliche Transformation erfolgreich bewältigt werden.
Weiterführende Links: