Studie: In mehr als ein Drittel der Unternehmen muss für Cyberattacken niemand Rechenschaft ablegen

Die globale Untersuchung offenbart, welche Kluft zwischen den Unternehmensentscheidern und den Sicherheitsteams besteht – und das vor dem Hintergrund wachsender neuer Risiken durch Remote-Arbeit und Ransomware

LogRhythm, hat eine neue Studie zur Priorität der Cybersicherheit in Unternehmen veröffentlicht. Der Untersuchung zufolge hatten in den letzten zwei Jahren 60 % der Unternehmen einen Cyberangriff erlitten, und in 35 % der Fälle musste dafür niemand Rechenschaft ablegen. Die Studie Security and the C-Suite: Making Security Priorities Business Priorities beleuchtet die Kluft zwischen Business-Entscheidern und IT-Sicherheitsteams und ihre Auswirkungen auf Budgets, Strategien und Geschäftsergebnisse.

Wie aus der Untersuchung hervorgeht, berichten 93 % der IT-Sicherheitsverantwortlichen nicht direkt an den CEO. Im Durchschnitt sind die Befragten drei Ebenen vom CEO getrennt, was es sehr schwierig macht, der Unternehmensleitung ein genaues und vollständiges Bild von den Sicherheitsrisiken zu vermitteln. 60 % der Befragten meinen, dass IT-Sicherheitsverantwortliche direkt an den CEO berichten sollten, weil sich dadurch das Bewusstsein für Sicherheitsfragen im gesamten Unternehmen verbessern würde.

„IT-Sicherheitsverantwortliche sollten unbedingt Einfluss auf Ressourcen, Budgets und strategische Prioritäten haben. In den letzten 12 bis 18 Monaten hat sich die Bedrohungslandschaft rasant weiterentwickelt. Die Unternehmensleitungen müssen die veränderten Risikoprofile kennen und verstehen und die IT-Sicherheitsverantwortlichen in die Lage versetzen, entsprechend zu reagieren. Die Auswirkungen, die die Lockdowns auf die Cybersicherheit hatten, sollten ein Weckruf sein und dazu führen, dass bei Cyberattacken eine Rechenschaftspflicht etabliert wird, die von den Sicherheitsteams bis hin zum CEO reicht“, betont Andrew Hollister, Deputy CSO und VP Labs, LogRhythm. „Wenn Sicherheitsrisiken bestehen, die nicht angegangen werden, sollten die IT-Sicherheitsverantwortlichen Empfehlungen geben und konkrete Maßnahmen benennen können, die der CEO und die Unternehmensleitung dann genehmigen oder ablehnen.“

Weniger als die Hälfte der Befragten (46 %) geben an, dass ihre Unternehmensführung darauf vertraut, dass die IT-Sicherheitsverantwortlichen die Geschäftsziele verstehen. Nur 43 % der Befragten sagen, dass ihr Unternehmen die Fachkompetenz der IT-Sicherheitsverantwortlichen zu schätzen weiß und effektiv nutzt.

„Der schnelle Umstieg auf Remote-Arbeit hat für die IT-Sicherheitsteams eine ganze Reihe von Risiken geschaffen. Die Studie zeigt, dass diese mittlerweile die größten Cybersecurity-Herausforderungen für Unternehmen sind. ‚Work from anywhere‘-Szenarien müssen die Sicherheitsstrategien prägen, und für ihre Bewältigung sind neue Budgets und Ressourcen erforderlich. Bei jeder größeren Veränderung im Nutzerverhalten müssen die Sicherheitsteams und das gesamte Unternehmen ihre Sicherheitsaufstellung überprüfen, überarbeiten und verstärken. Das macht die Zusammenarbeit und Kommunikation zwischen Unternehmensleitung und Sicherheitsteam unerlässlich“, so Kev Eley, VP Sales Europe bei LogRhythm.

Zu ihren Top-Risiken befragt, nannten 63 % der Untersuchungsteilnehmer Phishing-/Social-Engineering-Angriffe und 60 % der Teilnehmer die Sicherheit der Endgeräte von Remote-Mitarbeitern sowie Ransomware. Die Remote-Arbeit schafft neue Sicherheitsherausforderungen, weil sie die Angriffsfläche vergrößert und die Mitarbeiter außerhalb der vertrauten Unternehmensumgebung möglicherweise eher zu riskantem Nutzerverhalten neigen:

• 73 % der Befragten geben an, dass Mitarbeiter ihres Unternehmens weniger sichere Heimnetzwerke verwenden.
• Laut 68 % der Befragten glauben Mitarbeiter und Dienstleister, das Unternehmen würde ihre Aktivitäten nicht überwachen.
• 67 % sagen, dass ein Familienmitglied ein dienstliches Gerät nutzt.

Vor dem Hintergrund all dieser Herausforderungen machen sich 54 % der Befragten auch Sorgen um die Beschäftigungssicherheit, und 63 % sehen das Hauptproblem darin, dass das Budget nicht ausreicht, um in die richtigen Technologien zu investieren. Zudem sind mehr als die Hälfte (53 %) der Teilnehmer der Ansicht, dass ihre Aufgaben von der obersten Führungsebene nicht verstanden werden, und 51 % meinen, dass die Geschäftsleitung sie nicht ausreichend unterstützt.

Für die Studie befragte das Ponemon Institute im Auftrag von LogRhythm 1.426 IT-Sicherheitsverantwortliche im asiatisch-pazifischen Raum, in der EMEA-Region und in den USA. Bitte besuchen Sie unsere Website für weitere Informationen über LogRhythm und laden Sie die vollständige Studie Security and the C-Suite: Making Security Priorities Business Priorities herunter.