Wie Herausforderungen in Zusammenhang mit Mitarbeitern, Prozessen und Technologien Cybersecurity-Teams behindern

In einer 2023 von Forrester Consulting im Auftrag von Tenable durchgeführten Studie gehen wir der Frage nach, welche realen Herausforderungen effektiven Verfahren der Risikoreduzierung im Wege stehen. Die Ergebnisse werden im Anschluss vorgestellt.

In einer Zeit, in der Cybersecurity-Programme von Regierungsstellen, Versicherungsunternehmen und Investoren in noch nie dagewesenem Maße unter die Lupe genommen werden, erweist sich eine effektive Risikoberichterstattung und -kommunikation für viele Unternehmen als schwierig. Sie werden durch eine Reihe von personellen, prozessbezogenen und technologischen Herausforderungen eingeschränkt, die es zusammengenommen extrem schwierig machen, eine präventive Cybersicherheit zu praktizieren, obwohl die Angriffsoberfläche unaufhörlich an Komplexität gewinnt.

Ein neues Whitepaper mit dem Titel Old Habits Die Hard: How People, Process and Technology Challenges Are Hurting Cybersecurity Teams zeigt, dass ein durchschnittliches Unternehmen in den vergangenen zwei Jahren ausreichend vorbereitet war, um 57 % der verzeichneten Cyberangriffe präventiv abzuwehren. Doch angesichts einer solch geringen Abdeckung blieben diese Unternehmen gegenüber 43 % der Angriffe weiterhin anfällig, welche sie dann reaktiv eindämmen mussten, anstatt sie gänzlich zu unterbinden. Nahezu drei Viertel der Sicherheits- und IT-Verantwortlichen (74 %) sind der Ansicht, dass ihr Unternehmen bei der Abwehr von Cyberangriffen erfolgreicher wäre, wenn es mehr Ressourcen für präventive Cybersecurity aufbringen würde. Das Whitepaper basiert auf einer Studie unter 825 Cybersecurity- und IT-Führungskräften, die Forrester Consulting 2023 im Auftrag von Tenable durchgeführt hat.

Die Komplexität von Infrastruktur – und die damit verbundene Abhängigkeit von mehreren Cloud-Systemen, zahlreichen Tools zur Verwaltung von Identitäten und Berechtigungen sowie etlichen Assets mit Internetanbindung – hat zur Folge, dass es an diversen Stellen zu Fehlkonfigurationen und übersehenen Assets kommen kann. Präventive Cybersecurity setzt die Fähigkeit voraus, Schwachstellen und Fehlkonfigurationen im Kontext von Benutzerdaten und Asset-Priorisierung zu bewerten und entsprechend zu priorisieren, sodass IT- und Cybersecurity-Mitarbeiter die richtigen Entscheidungen darüber treffen können, welche Systeme oder Benutzer- und Asset-Klassen zuerst Behebungsmaßnahmen erfordern. Doch bedingt durch die silohaften Strukturen der Tausenden von Punktlösungen von Cybersecurity-Anbietern ist es für Sicherheits- und IT-Verantwortliche nahezu unmöglich, die Exposure eines Unternehmens in ihrer gesamten Breite und Tiefe nachzuvollziehen. 

Viele Unternehmen tun sich immer noch mit dem Patchen von Software-Schwachstellen schwer – und bei diesen Sicherheitsmängeln handelt es sich lediglich um einen Teilaspekt der jeweiligen Gesamtexposition. Die präventive Behebung von Fehlkonfigurationen in Systemen geht mit einer Reihe eigener Herausforderungen einher. Erschwerend kommt hinzu, dass Unternehmen Schwierigkeiten haben, sich ein genaues Bild von ihrer Angriffsoberfläche zu machen, inklusive Einblick in unbekannte Assets, Cloud-Ressourcen, Code-Schwachstellen und Systeme für Benutzerberechtigungen.

Alles beginnt mit den Mitarbeitern 

Interne Prozesse und Haltungen können Konflikte hervorrufen, die letztendlich dazu führen, dass Bemühungen zur Implementierung von präventiven Cybersecurity-Strategien scheitern. Cybersecurity- und IT-Teams arbeiten häufig in Silos und ihre Performance wird anhand separater und widersprüchlicher Kriterien und Ziele bewertet. Unterschiedliche Standpunkte tragen ebenfalls dazu bei, dass sich die Koordination zwischen IT- und Sicherheitsteams komplex und zeitaufwendig gestaltet. 

Die Folge dieser Diskrepanz? Fast sechs von zehn Befragten (58 %) geben an, dass das Cybersecurity-Team zu sehr mit der Bekämpfung kritischer Vorfälle beschäftigt ist, als dass es einen präventiven Ansatz verfolgen könnte, um die Exposure des Unternehmens zu reduzieren. Vier von zehn Befragten (40 %) bezeichnen die Koordination zwischen IT- und Cybersecurity-Teams als komplex und zeitaufwendig und fast zwei Drittel (65 %) geben an, dass Verfügbarkeit (Uptime) für die IT-Abteilung eine wichtigere Rolle spielt als Patching- und Behebungsmaßnahmen. 

Isolierte Systeme binden nicht nur Personalressourcen, sondern erschweren auch die Erstellung aussagekräftiger Berichte zu Risiken aus unterschiedlichen Datenquellen. Sieben von zehn Befragten (71 %) beschäftigen mindestens 25 Mitarbeiter, die sich im Kontext der genutzten präventiven Cybersecurity-Tools mit Bereitstellungs-, Support- sowie Wartungsaufgaben und/oder den entsprechenden Beziehungen zu Anbietern befassen. Und Unternehmen verbringen im Durchschnitt 15 Stunden pro Monat damit, Sicherheitsberichte für Geschäftsverantwortliche zu erstellen. 

Personelle Probleme führen zu Prozessproblemen

Organisatorische Silos stehen einer effektiven Zusammenarbeit im Weg. Obwohl beispielsweise die Mehrheit der Befragten (53 %) Cloud-Infrastruktur (speziell Public Cloud-, Multi-Cloud- und/oder Hybrid Cloud-Umgebungen) als größte Exposure-Quelle in ihrem Unternehmen anführt, bleibt Cybersecurity bei der Entscheidungsfindung zur Cloud-Bereitstellung häufig außen vor. 

Mehr als ein Drittel der IT- und Cybersecurity-Verantwortlichen sind sich einig, dass das Cybersecurity-Team nicht früh genug in den Auswahl- und Bereitstellungsprozess von Cloud-Services einbezogen wird. Zugleich kaufen Business- und Engineering-Teams laut 31 % der Befragten Cloud-Services ein und stellen diese bereit, ohne das Cybersecurity-Team zu informieren.

Häufige Meetings und Gespräche über die geschäftliche Kritikalität von Systemen sind zur Reduzierung von Risiken unerlässlich. Doch solche Besprechungen finden (bestenfalls!) in monatlichen Abständen statt – und über 20 % der Unternehmen führen Meetings nur einmal im Jahr (oder noch seltener) durch. 

Technologie verschärft die Herausforderungen für Cybersecurity-Teams

Ein Flickenteppich aus isolierten Cybersecurity-Tools erschwert es Cybersecurity- und IT-Führungskräften, aussagekräftige Erkenntnisse über das Ausmaß ihrer Exposure zu gewinnen. Fachkräfte, die isolierte Tools einsetzen, sind nicht in der Lage, die gegenseitigen Beziehungen zwischen Benutzern, Systemen und Software zu ermitteln. Und durch die unterschiedlichen Messgrößen der verschiedenen Tools ist es schwierig, Risiken genau einzuschätzen. Erschwerend kommt hinzu, dass drei der vier am häufigsten genutzten Cybersecurity-Tools reaktiv wirken und nicht präventiv, wodurch proaktive Cybersecurity-Maßnahmen nur schwer umsetzbar sind. Noch besorgniserregender ist, dass es IT- und Sicherheitsexperten aufgrund der silohaften Strukturen von Cybersecurity-Tools schwerfällt, der Geschäftsleitung umfassende und leicht verständliche Kennzahlen für das Risikomanagement vorzulegen. Dadurch ist es für die Führungsebene wiederum eine Herausforderung, die Risikolage des Unternehmens genau nachzuvollziehen, Budgetmittel entsprechend zuzuweisen und gesetzliche sowie industrielle Standards zur Risikoberichterstattung einzuhalten. 

Wichtiger Kontext zu Benutzern und Zugriffsrechten ist ebenfalls schwer zu finden: Laut sieben von zehn Befragten (70 %) erweisen sich ihre isolierten Systeme bei der Beschaffung von Benutzerdaten als Hindernis. Die meisten Befragten (75 %) geben zwar an, Benutzeridentitäten und Zugriffsrechte zu berücksichtigen, wenn sie Schwachstellen für Behebungsmaßnahmen priorisieren. Doch die Hälfte der Befragten erklärt, dass es ihrem Team an einer effektiven Möglichkeit fehlt, solche Daten in ihre präventiven Cybersecurity- und Exposure-Management-Verfahren einzubinden. 

Wenn Sie bereit sind, mehr über diese Herausforderungen zu erfahren, gewinnen Sie einen Einblick, wie die ausgereiftesten Unternehmen sie angehen, und erhalten Sie Empfehlungen für die nächsten Schritte:

• Nehmen Sie am 14. Dezember 2023 um 14:00 Uhr ET an einem Webinar mit dem CIO, dem CSO und dem CTO von Tenable teil. – Hier mehr erfahren und anmelden

• Lesen Sie das Whitepaper: „Alte Gewohnheiten sitzen tief: Wie Menschen, Prozesse und Technologien Cybersecurity-Teams Probleme bereiten