CISO-Report 2024 bemängelt Kommunikation und Tool-VielfaltHindernisse für den Kampf gegen Cyber-Bedrohungen

14. Mai 2024

Cyber-Sicherheit hat mittlerweile die Vorstandsetagen erreicht. Doch nur 9 Prozent der in Deutschland befragten CISOs bestätigten, ausgereifte DevSecOps-Automatisierungsverfahren zu nutzen. Das ist ein Ergebnis des aktuellen CISO-Reports von Dynatrace.

Interne Kommunikationshemmnisse hindern die Chief Information Security Officers (CISOs) sehr häufig daran, sich effektiv um Cyber-Bedrohung kümmern zu können. Dies zeigt die aktuelle Umfrage „The state of application security in 2024“, die Dynatrace weltweit unter 1.300 CISOs (darunter 100 aus Deutschland) durchführen ließ.

Für die Führungskräfte der Informationssicherheit ist es schwierig, die Abstimmung zwischen den Security-Teams und der Führungsebene zu forcieren, was das Verständnis innerhalb des Unternehmens für Cyber-Risiken lückenhaft macht. Infolgedessen sind sie – vor dem Hintergrund steigender KI-gesteuerter Angriffe – fortschrittlichen Cyber-Bedrohungen stärker ausgesetzt.

Die Studie untersucht diese Kommunikationslücken, und zeigt auf, wie ein einheitlicher Ansatz für Observability und Security Teams unterstützen kann, effektiver zusammenzuarbeiten und Risiken zu reduzieren. Wichtige Ergebnisse der Studie lauten:

  • Mangelnde Abstimmung auf Vorstands- und Aufsichtsratsebene führt zu Cyber-Risiken: Die Abstimmung zwischen Sicherheitsteams und der Führungsebene zu fördern, stellt für CISOs eine große Herausforderung dar 87 Prozent geben an, dass Anwendungssicherheit ein blinder Fleck auf CEO- und Vorstandsebene ist.
  • Sicherheitsteams sind zu technisch: Sieben von zehn der befragten C-Level sind der Meinung, dass Sicherheitsteams in technischen Begriffen sprechen, ohne den geschäftlichen Kontext zu vermitteln. 75 Prozent der CISOs betonen jedoch, dass das Problem in den Security-Tools begründet ist, da diese keine Erkenntnisse darüber liefern können, wie Führungskräfte und Vorstände sie nutzen können, um Geschäftsrisiken zu verstehen und Bedrohungen zu verhindern.
  • KI treibt fortschrittlichere Cyber-Bedrohungen voran: Die Behebung dieser Technologie- und Kommunikationslücke wird immer wichtiger, da die Zunahme von KI-gesteuerten Angriffen und Cyber-Bedrohungen das Geschäftsrisiko deutlich erhöht.

Vor diesem Hintergrund äußersten fast drei Viertel (72 Prozent) der CISOs, dass ihr Unternehmen in den letzten zwei Jahren einen Vorfall in der Anwendungssicherheit erlebt hat – mit schwerwiegenden Folgen: Umsatzeinbußen erlitten 47 Prozent, Geldstrafen erhielten 36 Prozent und verlorene Marktanteile beklagten 28 Prozent.

Weitere Ergebnisse aus deutscher Sicht sind:

  • 9 Prozent der CISOs sind der Meinung, dass ihre Organisation über ausgereifte DevSecOps-Automatisierungsverfahren verfüge.
  • 71 Prozent der deutschen CISOs berichten, dass es eine regelmäßige Verpflichtung gibt, dem CEO und dem Vorstand über Cybersicherheitsrisiken und die Einhaltung von Vorschriften zu berichten.
  • 76 Prozent der CISOs sagen, dass ihre Sicherheitstools nur eingeschränkt in der Lage sind, Erkenntnisse zu liefern, die CEO und Vorstand nutzen können, um Geschäftsrisiken zu verstehen und Bedrohungen zu verhindern.
  • 79 Prozent der Unternehmen haben in den letzten zwei Jahren einen Vorfall im Bereich der Anwendungssicherheit erlebt.
  • 90 Prozent der CISOs erwähnen, dass Anwendungssicherheit ein blinder Fleck auf CEO- und Vorstandsebene ist.
  • 84 Prozent der CISOs sind der Meinung, dass DevSecOps-Automatisierung eine wesentliche Voraussetzung dafür ist, dass sie aufkommende Vorschriften wie das SEC-Cybersicherheitsmandat, NIS2 und DORA einhalten können.
  • 93 Prozent der CISOs sagen, dass DevSecOps-Automatisierung sogar noch wichtiger ist, um das Risiko von Schwachstellen, die durch KI entstehen, zu bewältigen.
  • 83 Prozent der CISOs haben Schwierigkeiten, die DevSecOps-Automatisierung voranzutreiben, weil sie auf mehrere Tools für Application Security angewiesen seien.

Die Notwendigkeit einer engeren Zusammenarbeit zwischen den Sicherheitsteams und der Führungsebene wird zusehends wichtiger, da KI Unternehmen einem zusätzlichen Risiko aussetzt. Weltweit sind CISOs besorgt über das Potenzial von KI, Cyber-Kriminelle in die Lage zu versetzen, neue Exploits schneller zu entwickeln und in größerem Umfang auszuführen (52 Prozent). Sie sind auch besorgt über das Potenzial von KI, Entwicklern eine schnellere Softwarebereitstellung mit weniger Aufsicht zu ermöglichen, was zu mehr Sicherheitslücken führen könnte (45 Prozent).

83 Prozent der CISOs sehen in DevSecOps-Automatisierung eine wichtige Lösung, um das Risiko von Schwachstellen, die durch KI entstehen, im Griff zu behalten. 71 Prozent sagen, dass DevSecOps-Automatisierung entscheidend ist, um sicherzustellen, dass adäquate Maßnahmen zur Risiko-Minimierung der Application Security getroffen wurden.

Weitere 77 Prozent der CISOs meinen, dass XDR- und SIEM-Lösungen die Komplexität der Cloud nicht bewältigen können, da diesen Tools die Intelligenz fehlt, die eine weitreichende Automatisierung erfordert. Weitere 70 Prozent der CISOs sind der Meinung, dass der Einsatz mehrerer Tools für die Anwendungssicherheit zu betrieblicher Ineffizienz führt, da der Aufwand für die Auswertung der unterschiedlichen Datenquellen zu hoch ist. (rhh)

Dynatrace

Lesen Sie auch