Studie zu den internen Kommunikationsproblemen
Palo Alto Networks befragt europaweit IT-Sicherheitsverantwortliche – Kommunikation innerhalb der Unternehmen erweist sich oft als große Hürde
Studie im Auftrag von Palo Alto Networks zeigt, dass IT-Sicherheitsverantwortliche die neue EU-Gesetzgebung zur Cybersicherheit begrüßen. Sie sind aber besorgt wegen den Kosten und den Belastungen im Arbeitsalltag und haben Kommunikationsprobleme mit Kollegen und Chefs.
München, den 14. Oktober 2016 – IT-Sicherheitsverantwortliche in europäischen Unternehmen stehen unter zunehmendem Druck wenn es darum geht, die Cybersicherheit aufrechtzuerhalten. Doch eine neue, unabhängige Studie für Palo Alto Networks belegt, dass die Sicherheitsprofis sich weitaus entschlossener und zuversichtlicher zeigen, als weitläufig vermutet wird.
Die wirklich schwierigen Situationen für IT-Sicherheitsverantwortliche sind demnach die Gespräche mit der Geschäftsführung, wenn es zu Angriffen gekommen ist. Ebenso hervorgehoben wird in der Studie, dass Sicherheitssysteme und Prozesse modernisiert werden müssen. Grund dafür ist, dass die Allgemeine Datenschutzverordnung GDPR/EU-DSGVO und die Richtlinie zur Netz- und Informationssicherheit (NIS) eine umfassende Berichterstattung zu Sicherheitsverletzungen fordern – und dies erfordert die entsprechenden Technologien, die oft noch nicht vorhanden ist.
Nach vielen Jahren zunehmender Cyberangriffe sind die Sicherheitsverantwortlichen erfahren und agieren mit dem Ziel, Angriffe zu verhindern. Auf die Frage zu den Auswirkungen eines Sicherheitsvorfalls, gab die Mehrheit (60 Prozent) an, dass sie dadurch die Möglichkeit hatten, daraus zu lernen, um künftig stärker zurückzuschlagen; nur 9 Prozent sagten, dass dies zu einer Kündigung führen würde. Eine starke präventive Haltung einzunehmen, ist die wichtigste Strategie. Dafür werden durchschnittlich 65 Prozent des IT-Sicherheitsbudgets in den europäischen Ländern, in denen die Studie durchgeführt wurde, ausgegeben.
Weniger souverän zeigen sich die IT-Sicherheitsverantwortlichen bei den Beziehungen mit der Geschäftsleitung:
Sicherheitsverantwortliche sind irritiert: Fast ein Drittel (32 Prozent) der IT-Sicherheitsexperten berichteten, dass nach einer Sicherheitsverletzung ihre Führungskräfte sich irritiert darüber zeigten, warum dies überhaupt geschehen konnte. Fast ein Fünftel der Befragten sagte, das höhere Management tadelte das Team und einer von zehn Befragten wurde sogar persönlich getadelt.
Sicherheit ist ein schwieriges Gesprächsthema: Die Hälfte der IT-Sicherheitsexperten (51 Prozent) erachtet es als schwierig, mögliche Sicherheitsschwachstellen im System an die Geschäftsleitung zu kommunizieren. Der Rest (49 Prozent) findet es schwierig, zuzugeben, dass etwas schief gegangen ist und es zu einer Sicherheitsverletzung gekommen ist. Das schwierigste Gespräch steht an, wenn menschliches Versagen ein Faktor ist (28 Prozent), ein Lieferant (23 Prozent) verantwortlich ist und es die Notwendigkeit für mehr Investitionen gibt, um künftige Risiken zu verhindern (21 Prozent).
Einbeziehung der Geschäftsleitung schlägt fehl: Ein Drittel der IT-Experten ist der Ansicht, dass die Einbindung der Geschäftsleitung die Angelegenheiten erschwert. Bemerkenswert ist der dritthäufigste Grund, über einen Vorfall nicht zu berichten: wenn die Person, die den Vorfall verursacht hat, Mitglied der Geschäftsführung ist.
Die EU-Gesetzgebung wird Konflikte in den Unternehmen erhöhen: Etwa die Hälfte der IT-Experten (47 Prozent) geht von schwierigen Gesprächen mit der Geschäftsleitung über die neuen Meldepflichten bei Sicherheitsvorfällen aus. Obwohl eine Mehrheit (63 Prozent) den Auswirkungen der Gesetzgebung positiv entgegensieht, zeigen sich die Befragten besorgt wegen unnötiger Kosten, Schwierigkeiten und operativer Belastungen (56 Prozent). Mit der häufigste Grund, über einen Sicherheitsvorfall nicht zu berichten ist, dass dieser zu gering war (30 Prozent) oder der IT-Profi zu beschäftigt war (27 Prozent). Folglich gibt es nach wie vor große Herausforderungen zu meistern.
„Die Spannungen und der Mangel an Verständnis, die in dieser Studie dargestellt werden, sind offensichtlich. Ich habe viel Zeit damit verbracht, Unternehmen in der EMEA-Region aufzuzeigen, wie die IT-Sicherheitsexperten und der Rest des Senior-Management-Team bei Cybersicherheitsfragen, die so ernst und strategisch sind, besser zusammenarbeiten können“, erklärt Greg Day, Vice President und Regional Chief Security Officer EMEA von Palo Alto Networks. „Technologie kann bei der Vereinfachung der Prozesse helfen, indem Vorfälle verhindert werden und eine effektive Reaktion auf Vorfälle automatisiert wird. Aber es ist klar, dass es mehr offenen Dialog innerhalb des Senior-Management-Teams geben muss, Präventionsstrategien gegen Cyberangriffe stets umzusetzen und zu verbessern“.
Es gibt eine Reihe von praktischen Strategien, die ergriffen werden können, um diese Kommunikationslücke zu überbrücken, und die Spannungen zu beheben, die in dieser Studie aufgezeigt werden. Zum Beispiel sollten die Geschäftsführer in Sicherheitsfragen von vornherein besser unterrichtet werden. Eine empfehlenswerte kostenlose, unabhängige Ressource ist der Leitfaden „Navigating the Digital Age“ auf www.securityroundtable.org.
Eine gemeinsame Sprache finden
Viele Geschäftsführer und Entscheider tun sich schwer damit, die Risiken zu verstehen. Palo Alto Networks empfiehlt deshalb:
Das Einbinden der leitenden Führungskräfte im Rahmen der Präventionsstrategie, um die Bereitschaft zu Cybersicherheitsprozessen zu testen, damit sie diese verstehen können und sich mit den Fragen und Risiken beschäftigen.
Betonung, wie neue Regelungen wie die EU-DSGVO die Messlatte für Corporate Responsibility erhöhen. Die Notwendigkeit für Cybersicherheit auf dem Stand der Technik („State of the Art“) war noch nie größer. Die Führungsetage muss verstehen, dass dies ein laufender, evolutionärer Prozess ist.
Vorfälle passieren. Deshalb gilt es bereit zu sein, darauf zu reagieren. Viele Vorfälle können aber vermieden werden, wenn man sich auf die richtigen Schlüsselprinzipien konzentriert, Automatisierung nutzt, eine bessere Informationspolitik betreibt und den Fokus auf Prävention legt.
Anmerkungen des Herausgebers:
Die Studie wurde vom Marktforscher Morar für Palo Alto Networks im August 2016 durchgeführt. Dabei wurden mehr als 1.000 IT-Experten in Deutschland, Frankreich, den Niederlanden, Schweden und Großbritannien befragt.