Trend Micro hat heute neue Studienergebnisse zum Umgang mit Cyberrisiken in Unternehmen veröffentlicht. Die Studie zeigt: Fast alle Schweizer IT-Sicherheitsverantwortlichen fühlen sich von der Geschäftsleitung unter Druck gesetzt, Cyberrisiken im Unternehmen herunterzuspielen.
Warum finden CISOs kein Gehör? 58 Prozent der Befragten in der Schweiz (42 Prozent weltweit) glauben, dass sie als zu negativ wahrgenommen werden. 48 Prozent (weltweit 43 Prozent) sagen, dass sie als Wiederholungstäter und Nörgler wahrgenommen werden. Fast die Hälfte der Befragten (49 Prozent, weltweit 33 Prozent) gibt an, dass sie von der Geschäftsleitung einfach abgewiesen werden. Diese Ergebnisse deuten auf ein gravierendes Kommunikationsproblem hin: Offensichtlich gelingt es den Sicherheitsverantwortlichen nicht, dem Management den Zusammenhang zwischen Cyber-Risiken und den daraus resultierenden Geschäftsrisiken zu verdeutlichen. Umgekehrt berichten alle, dass sich ihre interne Situation verbessert hat, nachdem sie den geschäftlichen Nutzen ihrer Cybersicherheitsstrategie messen konnten:
- 61 Prozent (weltweit 46 Prozent) fühlen sich glaubwürdiger wahrgenommen.
- 59 Prozent (weltweit 41 Prozent) sind in Entscheidungsprozesse auf höherer Ebene eingebunden.
- 55 Prozent (weltweit 44 Prozent) haben das Gefühl, dass ihre Rolle im Unternehmen als wertvoller angesehen wird.
- 46 Prozent (weltweit 43 Prozent) haben mehr Budget erhalten.
- 45 Prozent (weltweit 45 Prozent) haben mehr Verantwortung erhalten.
Doch es gibt noch zahlreiche weitere Punkte, die es zu erledigen gilt. In einem Drittel der Schweizer Unternehmen (33 Prozent, weltweit 34 Prozent) wird Cybersicherheit nach wie vor lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt. Ein weiteres Drittel der Unternehmen behandelt Cyberrisiken vollumfänglich als Geschäftsrisiken. Dennoch zeigt sich, dass immerhin 59 Prozent (weltweit 54 Prozent) der Befragten davon ausgehen, dass ihre Führungsebene die Cyberrisiken, denen das Unternehmen ausgesetzt ist, vollständig versteht. Da sich diese Zahl seit 2021 nur geringfügig verändert hat, ist zu hinterfragen, ob den berichteten Zahlen tatsächlich die korrekten Kennzahlen zu Grunde liegen. Verfügen sie über die erforderlichen Kompetenzen, um Cyberrisiken effektiv in geschäftlichen Begriffen zu kommunizieren? Eine wesentliche Herausforderung stellt dabei die heterogene Security-Landschaft dar. Die Vielzahl an isolierten Einzellösungen führt zu inkonsistenten Datenpunkten, was es den Security-Verantwortlichen erschwert, klare Aussagen zu Cyberrisiken zu treffen.
„Mehr als die Hälfte der Security-Verantwortlichen in der Schweiz (55 Prozent) sagen, dass Cyberrisiken ihr grösstes Geschäftsrisiko sind. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht. Infolgedessen werden sie ignoriert, herabgesetzt und der Nörgelei bezichtigt“, so Richard Werner, Security Advisor bei Trend Micro.
Fast zwei Drittel der Befragten (65 Prozent, weltweit 58 Prozent) glauben, dass sie mehr in ihre Kommunikationsfähigkeiten investieren müssen. Eine Plattform zum Management der Angriffsoberfläche (ASRM) kann dabei helfen, indem sie Risiken besser sichtbar macht. ASRM sammelt Daten zu Sicherheit und Risiko. Diese werden analysiert und miteinander verglichen. So kann man sehen, wo es Probleme gibt. CISOs bekommen alle Informationen, die sie brauchen, um der Geschäftsleitung zu zeigen, wo es Risiken und Probleme gibt.