Proofpoint-Studie

CISOs wiegen sich in falscher Sicherheit

CISOs haben derzeit weniger Angst vor größeren Sicherheitsvorfällen. Sie sehen menschliches Fehlverhalten als größte Schwachstelle, investieren dafür aber erstaunlich zurückhaltend in Cybersicherheits-Schulungen.
Von 
CSO | 19. Mai 2022 05:37 Uhr
Laut einer Proofpoint-Umfrage ist die Angst vor größeren Sicherheitsvorfällen bei vielen CISOs gesunken.
Laut einer Proofpoint-Umfrage ist die Angst vor größeren Sicherheitsvorfällen bei vielen CISOs gesunken.
Foto: Gorodenkoff - shutterstock.com

Im vergangenen Jahr waren IT-Sicherheitsverantwortliche vor allem mit der Absicherung der Remote-Arbeitsplätze im Zuge der Pandemie beschäftigt. Zudem gab es weltweit verheerende Cyberangriffe auf Unternehmen. So legte beispielsweise eine Ransomware-Attacke auf Colonial Pipeline die Treibstoffversorgung in weiten Teilen der USA lahm.

Eine weltweite Befragung unter 1.400 CISOs im Auftrag von Proofpoint zeigt nun, dass viele von ihnen denken, ihre Umgebung besser im Griff zu haben. Demnach sind in diesem Jahr nur noch 48 Prozent der Security-Entscheider der Meinung, dass ihr Unternehmen in den kommenden zwölf Monaten dem Risiko eines schwerwiegenden Cyberangriffs ausgesetzt sein könnte. Im Vorjahr teilten noch 64 Prozent diese Ansicht. Im Rahmen des "Voice of the CISO"-Report 2022 wurden jeweils hundert CISOs aus 14 Ländern befragt: USA, Kanada, Großbritannien, Frankreich, Deutschland, Italien, Spanien, Schweden, die Niederlande, die Vereinigten Arabischen Emirate, Saudi-Arabien, Australien, Japan und Singapur.

"Sich für einen Cyberangriff gewappnet zu fühlen und im Detail darauf vorbereitet zu sein, sind allerdings zwei Paar Schuhe", betonen die Autoren der Studie. Die wachsende Zuversicht vieler CISOs habe wahrscheinlich eher mit der erfolgreichen Überwindung einer Ausnahmesituation - der Pandemie - zu tun als mit einer tatsächlichen Veränderung des Risikoniveaus beziehungsweise der Sicherheitsmaßnahmen. Rund die Hälfte der Befragten glaubt, dass ihre Organisation nicht ausreichend auf einen Cyberangriff vorbereitet sei.

Von den befragten deutschen CISOs halten 58 Prozent menschliches Versagen immer noch für die größte Cyberschwachstelle ihres Unternehmens. Interessanterweise hat aber nur die Hälfte von ihnen im vergangenen Jahr die Frequenz ihrer Cybersicherheits-Schulungen für Mitarbeiter erhöht.

"Voice of the CISO"-Report 2022: Viele Sicherheitsverantwortliche halten menschliche Fehler für die größte Cyberschwachstelle.
"Voice of the CISO"-Report 2022: Viele Sicherheitsverantwortliche halten menschliche Fehler für die größte Cyberschwachstelle.
Foto: Proofpoint

Veränderung der Arbeitswelt erschwert den Schutz von Daten

Andrew Rose, Resident CISO EMEA bei Proofpoint, hält die Lage für bedrohlich: "Weil Arbeitnehmer häufiger ihren Arbeitsplatz wechseln oder sich für einen alternativen beruflichen Lebensweg entscheiden, müssen die Security-Teams nun einer Vielzahl von Schwachstellen in den Bereichen Datensicherheit und Insider-Bedrohungen begegnen." Dies bestätigen auch die Studienergebnisse: 55 Prozent der deutschen CISOs wollen in den vergangenen zwölf Monaten eine Zunahme gezielter Angriffe beobachtet haben.

Zudem geben 47 Prozent an, dass die Zunahme der Mitarbeiterfluktuation den Schutz der Daten zu einer größeren Herausforderung mache. Nach Einschätzung der CISOs kommen Datenschutzverletzungen durch Mitarbeitende vor allem durch böswillige Insider zustande, die mutwillig Informationen entwenden. "Auch darum stehen Investitionen in den Schutz vor Insider-Bedrohungen ganz oben auf der Prioritätenliste für die kommenden zwei Jahre", erklären die Studienautoren.

CISOs sind sich über die größten Cyberbedrohungen uneinig

Die Liste der häufigsten Bedrohungen führen in diesem Jahr neben Ransomware-Attacken auch Cloud Account Compromise (Microsoft 365, G Suite oder andere) an. Jeweils 34 Prozent der deutschen CISOs sehen hier die größte Herausforderung. Es folgen DDoS-Attacken (33 Prozent) und Insider-Bedrohungen (fahrlässig, versehentlich oder kriminell) mit 31 Prozent.

"Voice of the CISO"-Report 2022: Die größten Cyberbedrohungen.
"Voice of the CISO"-Report 2022: Die größten Cyberbedrohungen.
Foto: Proofpoint

Weiterhin zeigt die Studie, dass die jüngste Serie von Ransomware-Angriffen das Sicherheitsbedürfnis in den Unternehmen erhöht hat: 59 Prozent der deutschen CISOs gaben an, dass sie eine Cyberversicherung abgeschlossen haben und sich mehr auf Prävention als auf Erkennung und Reaktion konzentrieren. 41 Prozent geben indes zu, dass in ihren Unternehmen nicht einmal Richtlinien für die Zahlung von Lösegeldern existieren.

Lesetipp: Ranomware-Attacken - 42 Prozent der deutschen Unternehmen zahlen Lösegeld

Fazit

Miro Mitrovic, Area Vice President, DACH, bei Proofpoint, stellt fest: „Nachdem sie zwei Jahre damit zugebracht haben, ihre Sicherheitsmaßnahmen zu verstärken, um hybrides Arbeiten zu ermöglichen, mussten CISOs nun ihre Anstrengungen priorisieren, um Cyber-Bedrohungen zu begegnen, die auf hybrid arbeitende, von der Cloud abhängige Mitarbeiter abzielen. Infolgedessen hat sich ihr Fokus auf die Verhinderung der wahrscheinlichsten Angriffsszenarien wie Business E-Mail Compromise (BEC), Ransomware, Insider-Bedrohungen und DDoS verlagert.”

Mitrovic warnt die CISOs davor, sich nach einem unruhigen Jahr 2021 nun in vermeintlicher Sicherheit zu wiegen. Angesichts steigender geopolitischer Spannungen und zunehmender Cyberangriffe, die sich auf den Menschen konzentrierten, müssen Unternehmen ihre Mitarbeiter sensibilisieren und in die Prävention investieren. Es werde bald schon wieder ein rauerer Wind im Bereich der Cybersicherheit wehen.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.