Security-Professionals unter Druck
Bei der Cybersicherheit steht heutzutage viel auf dem Spiel und die Erwartungen an CISOs, Sicherheitsverantwortliche und ihre Teams sind hoch. Nicht immer gelingt es ihnen, diesen Druck ausgleichen, und so ist Burnout unter Cybersecurity-Professionals keine Seltenheit. Das hat auch massive Auswirkungen auf die Sicherheitslage der Unternehmen.
Der Arbeitsalltag von CISOs und Sicherheitsteams hat sich in den letzten Jahren durch die verschärfte Bedrohungslage und die Vielzahl neuer Vorschriften stark verändert. Die Abwehr einer zunehmenden Zahl von Cyberrisiken ist nicht nur zeit- und ressourcenaufwendig, sondern setzt die Sicherheitsverantwortlichen auch zunehmend unter Druck. Die Folgen sind Stress, viele Überstunden und Mitarbeitende, die sich psychisch und physisch zunehmend unwohl fühlen. Laut dem Voice of the CISO Report 2023 waren 54 Prozent der deutschen CISOs in den letzten 12 Monaten von einem Burnout betroffen.
Das ist auch darauf zurückzuführen, dass den Sicherheitsteams ein immer höheres Maß an Verantwortung auferlegt wird, was bei den Betroffenen zu zusätzlichem Stress führt. So sehen sich 55 Prozent der deutschen CISOs Berichten zufolge etwa mit unangemessenen Erwartungen konfrontiert. Aber auch die persönliche Haftung bereitet den IT-Sicherheitsverantwortlichen vermehrt Sorge, wie 52 Prozent der Befragten bestätigen. Was es bedeutet, wenn Sicherheitsmitarbeiter zur Rechenschaft gezogen werden, zeigt ein Fall aus den USA. Im Jahr 2022 befand ein US-Bundesgericht den ehemaligen CSO von Uber für schuldig, einen massiven Datendiebstahl verschleiert zu haben, nachdem er es versäumt hatte, den staatlichen Aufsichtsbehörden eine Sicherheitsverletzung mitzuteilen, von der die persönlichen Daten von mehr als 57 Millionen Uber-Mitarbeitern und -Kunden betroffen waren.
Abwärtsspirale
Dabei trägt all der arbeitsbedingte Stress in der Cybersicherheitsbranche letztlich dazu bei, dass das Risiko für Unternehmen weiter steigt. Denn viele Cybersicherheitsexperten überdenken ihre Position und ihre Karriere und wechseln in andere Bereiche, wodurch sich der Fachkräftemangel nochmals verstärkt und die Sicherheitslage der Unternehmen nochmals verschlechtert. Wie eine Befragung von 3.200 Cybersecurity-Professionals offenbart hat, sehen 51 Prozent der CISOs ihr Unternehmen durch den Mangel an qualifizierten Cybersecurity-Mitarbeitern einem mäßigen bis extremen Risiko ausgesetzt.
Schritte für mehr Entlastung
Auch wenn es keine magische Formel gibt, mit der die Sicherheitsteams die vielfältigen Herausforderungen und Belastungen einfach wegzaubern können, so können sie doch verschiedene Maßnahmen umsetzen, um den Stress und die Ermüdung, die der permanente Kampf gegen die Cyberbedrohungen mit sich bringt, nachhaltig zu verringern. Dazu gehören unter anderem:
- Die Automatisierung von Sicherheit: Das wohl wichtigste Instrument im Kampf gegen den Burnout ist eine flächendeckende Automatisierung. Denn indem Routinearbeiten und sich wiederholenden Aktionen automatisiert werden, fällt ein Großteil der zeitraubenden und mühsamen Aufgaben der Security-Teams weg. Dies kann auch helfen, den Fachkräftemangel zeitweise auszugleichen. Damit die gewünschte Entlastung eintritt, sollten die Verantwortlichen jedoch darauf achten, dass automatisierte Lösungen nahtlos in die Sicherheitsinfrastruktur eines Unternehmens integriert werden können und eine benutzerfreundliche Schnittstelle sowie hohe Skalierbarkeit bieten.
- Der Schutz der Benutzer vor sich selbst: Der hohe Grad der Zielgerichtetheit sowie die Raffinesse, die Cyber-Angreifer mittlerweile an den Tag legen, führt immer wieder dazu, dass selbst gut geschulte Mitarbeitende zu Aktionen verleitet werden, die die IT-Umgebung gefährden und Angreifern die Tür zu den Systemen öffnen. Die Implementierung einer mehrschichtigen Authentifizierung sowie die konsequente Eliminierung unbegrenzt gültiger Zugriffsrechte ist daher umso wichtiger. Nur so kann sichergestellt werden, dass Hacker keinen weitreichenden Schaden anrichten, sobald sie sich einmal Zugriff verschafft haben. Ein starkes erweitertes Privilege-Access-Management, das sämtliche Benutzer und Identitäten abdeckt, kann die Angriffsfläche eines Unternehmens nachhaltig minimieren.
- Der Abschluss einer Cyberversicherung: Um die finanziellen Auswirkungen eines Cybervorfalls besser steuern zu können und den Druck von den Mitarbeitende zu nehmen, sollten Unternehmen den Abschluss einer Cyberversicherung in Betracht ziehen. Wie eine Delinea-Studie aus dem Jahr 2022 gezeigt hat, haben fast 80 Prozent der Unternehmen, die eine Cyberversicherung abgeschlossen haben, bei ihrem Versicherer bereits Ansprüche geltend gemacht, mehr als die Hälfte davon mehrfach.
- Das Aufstellen der Cybersicherheit als eine gemeinsame Verantwortung: Die Zeiten, in denen der Schutz eines Unternehmens ausschließlich in der Verantwortung des Sicherheitsteams lag, sind längst vorbei. Mit der veränderten Unternehmensdynamik und der Einführung von Cloud- und SaaS-Technologien ist jeder Mitarbeitende ein Ziel für Cyberkriminelle und damit ein potenzieller Einstiegspunkt. Die Einführung eines Least-Privilege-Ansatzes, bei der jeder nur so viel Zugriff hat, wie er tatsächlich braucht, und die Schaffung einer Umgebung, in der die gesamte Belegschaft mit den grundlegenden Kenntnissen, Fähigkeiten und Technologien ausgestattet ist, macht hier den Unterschied. Ist sich jeder seiner Verantwortung bewusst und handelt entsprechend, können bösartige Aktivitäten nachhaltig verhindert werden.
Fazit
Angesichts der derzeitigen politischen Konflikte und des hohen Fachkräftemangels ist nicht mit einer Entspannung der Lage und damit einer Entlastung der IT- und Security-Teams zu rechnen – so viel steht fest. Um trotz dieser Umstände gut aufgestellt zu sein, muss die Unternehmensleitung gut mit den Verantwortlichen für Cybersicherheit zusammenarbeiten und gemeinsam die IT-Infrastruktur sorgfältig evaluieren. So können sie Budgets und Ausgaben anpassen, die Notwendigkeit eines Versicherungsschutzes diskutieren, Bereiche identifizieren, in denen Aufgaben automatisiert werden können, und eine Strategie entwickeln, die die gesamte Belegschaft umfasst.