IT-Prioritäten 2023: Das planen Security-Teams

Cloud-Sicherheit und sichere Identitäten

Geht es um das Thema Anwendungen und Cloud steht das Thema E-Mail-Sicherheit bei Unternehmen ganz oben auf der Agenda. Dafür gibt es viele gute Gründe, schließlich haben auch viel spektakuläre Sicherheitsvorfälle mit einer einfachen E-Mail-Nachricht begonnen. Wenn in den Medien häufig von einem „Hackerangriff“ die Rede ist, heißt dies ja meist nicht, dass sich ein Krimineller im Kapuzenpulli durch Sicherheitssysteme gehackt hat, sondern, dass eine präparierte E-Mail ihr Ziel erreicht hat. Abseits von Ransomware-Angriffen per E-Mail, geht es oft darum Benutzerdaten per Phishing zu erbeuten. Mit diesen Anmeldedaten können die Angreifer dann weitere Aktionen vorbereiten.

Kein Wunder also, dass eine Vielzahl von Unternehmen auch in dem Bereich des Identitätsmanagement und der Sicherung von Identitäten Investitionen planen. Oftmals genügen Benutzername und Passwort immer noch, um Zugang zu Diensten zu erlangen. Das ist alles andere als zeitgemäß, Multifaktor-Authentifizierung ist daher für viele IT-Teams eines der wichtigsten Vorhaben in diesem Segment. Und auch das Umdenken in Richtung identitätsbasierter Sicherheit mit einer Umsetzung von Zero Trust hat für viele Unternehmen eine hohe Priorität. (siehe auch Kostenloses E-Handbook: Zero Trust richtig umsetzen). Mit dieser Entwicklung zollt man auch dem Umstand Tribut, dass sich die Arbeitsweisen nachhaltig verändert haben. Da Mitarbeiter in zunehmendem Maße und weit höherer Anzahl als in der Vergangenheit von verschiedensten Orten aus agieren, führt kein Weg an einer Sicherheit mit Ausrichtung auf die Identität statt perimeterbasierter Konzepte vorbei.

Gegenüber dem Jahr 2022 verzeichnet das noch junge Thema CSPM (Cloud Security Posture Management) eine höhere Priorität, womit Unternehmen die Absicherung von Cloud-Umgebungen leichter gelingen soll. Das Thema Schwachstellenmanagement inklusive Penetrationstest bekommt von Organisationen im Jahr 2023 eine ganz besonders ohne Aufmerksamkeit.

Investitionen in Menschen

Der Faktor Mensch ist in der IT-Sicherheit abseits aller technischen Lösungen von entscheidender Bedeutung. So sind gut geschulte und aufmerksame Anwender eine wichtige Säule in der Gesamtsicherheit von Unternehmen. Das sehen die Teilnehmer der Befragung entsprechend und so haben Schulungen zum Sicherheitsbewusstsein (Security Awareness Training) eine sehr hohe Priorität. Die Rolle jedes einzelnen Mitarbeiters ist wichtig (siehe auch Kostenloser E-Guide: Eine menschliche Firewall bilden).

Für die Weiterbildung des Security-Teams haben die Befragten ebenfalls mehr Budget als zuvor vorgesehen. Schließlich verändern sich nicht nur die Herausforderungen durch neue Bedrohungen stetig, sondern auch die technischen Lösungen zur Absicherung sowie die eigenen IT-Umgebungen.

Apropos Security-Teams, Unternehmen planen zusätzliche Mitarbeiter in dem Bereich Sicherheit. Da der hiesige Arbeitsmarkt jedoch auch bei vorhandenen Budgets seine Grenzen hat, Stichwort Fachkräftemangel, kommt hier ein weiterer Aspekt zu tragen. Das Auslagern von Funktionen an Dienstleister, sprich das Buchen von Diensten als Managed Services. Hierauf legen die befragten Unternehmen eine hohe Priorität. Oftmals lassen sich hierdurch auch Lücken schließen, die sich auch am besten Willen nicht mit der internen Belegschaft bewältigen lassen.

Mit dem Faktor Mensch ist auch die Etablierung eine ausgeprägten Sicherheitskultur verbunden, wo vielerorts noch Nachholbedarf besteht. Dazu gehört unter anderem auch eine Risikobewertung, denen die Unternehmen die höchste Priorität einräumen. Ebenso sehen die Unternehmen die Notwendigkeit der Geschäftsführung die Bedeutung der IT-Sicherheit für den Geschäftsbetrieb einer Organisation besser zu vermitteln.

In der Umfrage wurde auch berücksichtigt, wie sich die IT-Entscheider dem Aspekt der Prozesse im Kontext der Security widmen wollen. Tatsächlich herrscht hier offensichtlich großer Handlungsbedarf. Oberste Priorität erhält da bei den Befragten, das Thema Transparenz. Dies umfasst das klassische Monitoring, wie auch das etwas jüngere Thema Observability (siehe auch Security Observability: Sicherheit in komplexen Umgebungen). Security-Probleme bleiben oftmals unentdeckt, weil Unternehmen nicht wirklich sehen, was in ihren Umgebungen passiert. Auf Rang 2 der Prioritäten in Sachen Abläufen und Prozessen landet im weiteren Sinne das Thema Vorfallreaktion (Incident Response), beziehungsweise die Fähigkeit die Systeme wieder ordnungsgemäß in Betrieb nehmen zu können. Und hier liegt hierzulande einiges im Argen: Nach Angaben des Bitkom verfügt in Deutschland nur rund jedes zweite Unternehmen über einen Notfallplan für Cyberattacken. Da ist es nicht verwunderlich, dass Firmen nach einem Sicherheitsvorfall oftmals wirtschaftlich erheblich ins Trudeln geraten. Zu den Top-3-Prioräten in diesem Bereich gehört auch eine nähere Betrachtung der Risiken, denen man durch Dritte unterliegt, dazu gehört unter anderem der Aspekt der Lieferketten. Hier haben in der jüngeren Vergangenheit Vorfälle gezeigt, dass dem Thema offenbar nur begrenzt Aufmerksamkeit geschenkt wurde.

Betrachtet man alle geplanten Aktivitäten von Security-Teams, dann bleibt der Eindruck, dass sich die Entwicklung hin zu einer ganzheitlichen Betrachtung von Sicherheit und Resilienz verstärkt hat.