News und Produkte
Business-Orientierung der Cybersecurity
Eine Studie der Enterprise Strategy Group (ESG) im Auftrag von Trend Micro zeigt, dass europäische Geschäfts- und IT-Leiter Cybersicherheit stärker als Business-Thema verstehen als ihre amerikanischen Pendants – wobei aber dennoch viel Raum für eine bessere Abstimmung bestehe. Immerhin betrachten aber 73 % der europäischen Befragten Cybersicherheit als geschäftsrelevantes Thema, während das in Nordamerika nur 58 % tun. Generell wird die Cybersicherheit den Umfrageergebnissen zufolge nur noch von einem relativ kleinen Teil der Führungskräfte als reines Technik-Thema angesehen – noch etwas weniger finden jedoch, dass Technik und Business hierbei gleichrangig sind, während über die Hälfte der Befragten eine Mischform unter der Federführung der Technik favorisiert (vgl. Abb. 1).
Außerdem gaben 80 % der europäischen Unternehmen an, dass die meisten (47 %) oder einige (32 %) ihrer Vorstandsmitglieder Wissen im Bereich Cybersicherheit haben. Die Tendenz ist dabei positiv: 82 % der Befragten gaben an, dass sich der Vorstand stärker mit dem Thema Sicherheit auseinandersetzt als noch vor zwei Jahren. Die Studie hebt dies als gute Voraussetzung hervor: Denn Vorstandsmitglieder sind nicht nur besser informiert und involviert, sondern stellen auch kritischere Fragen, setzen sich mit Herausforderungen auseinander und schlagen eine Brücke zwischen Cybersecurity und Business.
Darüber hinaus sind europäische Unternehmen ihren nordamerikanischen Pendants auch in Bezug auf hinreichende Reife im Bereich Governance, Risk und Compliance (GRC, EU: 29 % vs. US: 15 %) sowie Drittanbieter-Risikomanagement (22 % gegenüber 13 %) voraus. Allerdings investieren Unternehmen nur selten in Anwendungssicherheit (3 %), Security-Entwicklung beziehungsweise einen sicheren Software-Development-Life-Cycle (SDLC, 6 %) oder Endpunktsicherheit (5 %), obwohl diese Bereiche seit Beginn der Corona-Pandemie wieder verstärkt im Fokus stehen.
Auch sonst sieht Trend Micro noch erheblichen Verbesserungsbedarf: Denn weniger als die Hälfte der europäischen Befragten bewertete das Engagement ihrer Führungskräfte für Cybersicherheit (49 %) oder die Absicht ihres Unternehmens, Cybersicherheit in Geschäftsprozesse und IT-Projekte einzubinden (45 %), als ausreichend oder angemessen. Mehr als die Hälfte (56 %) beurteilte hingegen das Engagement um die Sicherheit in ihrem Unternehmen als angemessen, ausreichend oder schlecht.
Der Top-Treiber für Cybersicherheitsbewusstsein in den Chefetagen sind Compliance-Anforderungen – gefolgt von besserem Wissen zu Cyber-Risiken (vgl. Abb. 2). „Aus der Studie geht deutlich hervor, dass die Datenschutzgrundverordnung (DSGVO) europäische Unternehmen zu einer engeren Zusammenarbeit zwischen Cybersecurity und Business zwang“, kommentiert Richard Werner, Business Consultant bei Trend Micro. „Neben dieser aus Security-Sicht positiven Entwicklung ist es jedoch bedenklich zu sehen, dass Bereiche wie Anwendungssicherheit und die sichere Softwareentwicklung weiterhin vernachlässigt werden.“ Denn gerade diese seien für Unternehmen unerlässlich, um digitale Transformationsprojekte sicher umzusetzen. „Deswegen muss der erste Schritt darin bestehen, Business-Entscheider von der strategischen Relevanz von Cybersicherheit für den Geschäftserfolg zu überzeugen“, folgert Werner.
Trend Micro gibt im Rahmen der Studie drei Empfehlungen zur Verbesserung der Abstimmung zwischen IT und Business:
- Schaffung der zusätzlichen Rolle eines Business-Information-Security-Officers (BISO) im Unternehmen, um die Sicherheit von Geschäftsprozessen, kritischen Assets, sensiblen Daten und Aufgaben der Mitarbeiter zu erhöhen.
- Veränderung der Reporting-Strukturen, infolge derer der CISO direkt an den CEO berichtet, um eine höhere Sichtbarkeit und mehr Abstimmung zu erzielen.
- Ausarbeitung und Dokumentation eines Top-down-Konzepts für Cybersecurity, das durch Key-Performance-Indicators (KPIs) und etablierte Metriken untermauert wird, um eine stärkere Kommunikation zwischen CISOs und Geschäftsführern zu gewährleisten.
Der vollständige Bericht „Cybersecurity in the C-suite and Boardroom“ steht unter www.trendmicro.com/explore/cybersecurity_boardroom_eu als 26-seitiges E-Book in englischer Sprache kostenlos zum Lesen und Ausdrucken bereit. Grundlage der Erhebung sind die Antworten von 100 Führungskräften aus Business, Cybersicherheit und IT, die in europäischen Unternehmen (DE, FR und UK) mit überwiegend mehr als 1000 Mitarbeitern (87 %) tätig sind. Die Umfrage fand im Herbst 2020 statt. (www.trendmicro.com)
Mangelhafte Zusammenarbeit zwischen Sicherheits- und Netzwerk-Teams
Eine „feindliche und dysfunktionale“ Beziehung zwischen IT-Teams, die sich um Netzwerk und Sicherheit kümmern, bremst die digitale Transformation vieler Unternehmen und gefährdet so Projekte in Milliardenumfang, warnt eine aktuelle Untersuchung von Netskope. Während immerhin 45 % der europäischen Sicherheits- und Netzwerkteams Teil einer einheitlichen Gruppe mit demselben Vorgesetzten sind, arbeiten bei 43 % der Befragten diese Teams nicht wirklich viel gemeinsam. Zudem beschreiben rund zwei Fünftel der Befragten deren Beziehungen als problematisch, nämlich als irrelevant, frostig, dysfunktional oder sogar feindlich – nur rund jeder Zehnte nennt die beiden Teams, die doch an sich dieselben Geschäftsziele fördern sollten, „eng verbunden“ (siehe Abbildung).
Antworten der europäischen Studienteilnehmer auf die Frage, welches Wort die Beziehung zwischen Sicherheits- und Netzwerk-Teams am besten beschreibt.
Gleichzeitig sind 51 % der Befragten der Meinung, dass eine mangelnde Zusammenarbeit zwischen den bewussten Teams ihr Unternehmen daran hindert, die Vorteile der digitalen Transformation zu nutzen – von den befragten CIOs sind es sogar 54 %. Die Analysten von IDC schätzten kürzlich die weltweiten Ausgaben von Unternehmen für Projekte des digitalen Wandels zwischen 2020 und 2023 auf 6,8 Billionen US-Dollar – durch das aufgezeigte Konfliktpotenzial drohen also erhebliche Reibungsverluste und somit ein enormer finanzieller Schaden, folgert Netskope.
Neben problematischen Spannungen zwischen Sicherheits- und Netzwerkspezialisten haben sich jedoch auch deutliche Gemeinsamkeiten gezeigt. So besitzen beide Teams die gleichen Prioritäten für das Jahr 2021: die Unterstützung der Produktivitätssteigerung für das Unternehmen als Ganzes, Erhöhung der Transparenz und Kontrolle sowie Ausbau der Infrastruktur zur Unterstützung des Geschäftswachstums. Ebenso zählt die digitale Transformation zu den Hauptprojekten beider Gruppen: Insgesamt 85 % der Befragten arbeiten derzeit an einem entsprechenden Projekt oder haben gerade eines abgeschlossen. Gut die Hälfte dieser Projekte (56 %) umfasst dabei sowohl die Netzwerk- als auch die Sicherheitstransformation, bei ebenso vielen Projekten (56 %) sind beide Teams in verantwortlicher Stelle involviert.
Alle größeren Unternehmen haben spezifische Herangehensweisen und oft konkurrieren verschiedene Abteilungen um das Budget oder die strategische Bedeutung auf Vorstandsebene – aber die digitale Transformation findet gerade jetzt statt, mahnt Andre Stewart, VP and Managing Director EMEA von Netskope. Immer mehr verteilt arbeitende Mitarbeiter nutzen eine immer größere Anzahl von Apps für mehr Effizienz und schaffen damit sowohl ein exponentielles Datenwachstum als auch deutlich größere Angriffsflächen. Deshalb müssen die Netzwerk- und Sicherheitstransformation jetzt im Rahmen der digitalen Transformation umgesetzt werden, sagt Stewart. Angesichts der offensichtlichen Gräben zwischen Netzwerk- und Sicherheitsteams müssen sich CEOs und/oder CIOs hier engagieren – ansonsten bleiben Fortschritt und Wettbewerbsvorteile, die sich durch die digitale Transformation erzielen lassen, eher gering.
Die 11-seitige Zusammenfassung „Digital Transformation Needs a More Perfect Union“ ist über www.netskope.com/lp-digital-transformation-needs-a-more-perfect-union/ kostenlos abrufbar (Registrierung erforderlich). Grundlage der Studie, die im Februar und April 2021 von Censuswide im Auftrag von Netskope durchgeführt wurde, ist die Befragung von 2675 IT-Experten in Nordamerika, Europa und Lateinamerika. Die hier genannten und dargestellten Zahlen beziehen sich – anders als das Studien-PDF – ausschließlich auf die europäischen Ergebnisse von 1116 Teilnehmern, die zu etwa je einem Drittel aus Deutschland, Frankreich und Großbritannien stammen und als CIO/IT-Direktor, IT-Sicherheitsexperte oder Netzwerkarchitekt/Administrator in der IT von Unternehmen mit mehr als 5000 IT-Anwendern tätig sind. (www.netskope.com)
Firmen, Finanzen & Fusionen
Aryaka übernimmt Secucloud: Durch die erste Akquisition der Firmengeschichte im Bereich Sicherheit könne das Unternehmen nun gemanagte SD-WAN- und SASE-Lösungen mit hoher Flexibilität für Enterprise-Kunden anbieten. Die Übernahme der Hamburger Firma ergänze bestehende Netzwerksicherheitslösungen, die Aryaka zusammen mit Technologiepartnern wie Check Point Software, Palo Alto Networks, Zscaler und anderen bereitstelle. (www.aryaka.com / www.secucloud.com)
Beyond Identity expandiert: Neue Mitarbeiter und ein neues Rechenzentrum in Frankfurt sollen die Position des Silicon-Valley-Unternehmens in Europa stärken. Der im April 2020 gegründete Anbieter von passwortlosem Identitätsmanagement habe im ersten Quartal dieses Jahres bereits 16 regionale Arbeitsplätze in den Bereichen Vertrieb, Marketing und Technik besetzt und will diese Zahl bis zum Jahresende auf über 30 steigern. Zudem solle ein europäisches Entwicklungszentrum „hochwertigen, regionalen technischen Support“ sicherstellen. (www.beyondidentity.com)
Partnerschaft von CANCOM und WMC zu GRC, ISMS und Datenschutz: Die Kooperation ermögliche es Kunden von CANCOM, die workflowgestützte Lösung QSEC von WMC direkt dort zu beziehen und mit der Beratungsexpertise des Unternehmens einzuführen. Die WMC-Software ergänze CANCOMs Portfolio im Bereich Informationssicherheit nach ISO 27001, IT-Grundschutz sowie Datenschutz nach DSGVO. (https://wmc-direkt.de / www.cancom.de)
cybovate bringt britische Awarenesslösung in die DACH-Region: Mit der cloudbasierten Software von CybSafe sollen Unternehmen den Faktor Mensch effektiv in ein ganzheitliches Cyber-Security-Konzept einbeziehen können. Die Lösung arbeite verhaltensbasiert, um Sicherheitskontrollen und Awareness-Aktivitäten zu verbessern, und liefere sofortige, personalisierte Unterstützung für Benutzer. (www.cybovate.com / www.cybsafe.com)
Hornetsecurity wächst: Nach der Akquisition des Backup-Providers Altaro im Januar hat Hornetsecurity im März mit Zerospam einen Spezialisten für Cloud-E-Mail-Security mit Hauptsitz in Montreal, Kanada, übernommen. Zerospam bediene weltweit mehr als 4000 kleine, mittelständische und große Kunden über ein Netzwerk von über 400 Partnern, die vor allem in Kanada und den USA aktiv sind. So sei die Übernahme ein strategischer Schritt zur Erweiterung der nordamerikanischen Reichweite von Hornetsecurity. (www.hornetsecurity.com / www.altaro.com / www.zerospam.ca)
ICOS startet Aktivitäten im DACH-Markt: Der italienische Value-Added-Distributor (VAD) biete seit März auch in Deutschland Softwarelösungen sowie cloudbasierte Dienste (IaaS und SaaS) „für die aktuellen Herausforderungen im Bereich der IT- und Cyber-Security“ an. Erklärtes Ziel sei ein profitables Wachstum sowie der Ausbau des ICOS-Teams in den Bereichen Vertrieb, Technik und Business-Development, wozu die ICOS Deutschland GmbH mit ihrer neuen Präsenz in München gegründet worden sei. (www.icosvad.de)
Networkers erweitert Beratungsangebot: Das Unternehmen der Controlware-Gruppe unterstütze seine Kunden bei der zuverlässigen Absicherung hybrider Multi-Cloud-Umgebungen. Als Systemintegrator wolle man nun auch Wege aufzeigen, wie man schon heute von innovativen, SASE-basierten Security Architekturen profitieren und seine Anwender und Anwendungen unabhängig von Standort und Endgerät zuverlässig schützen könne. (www.networkers.de)
Jubiläum bei Secomba: Das Augsburger Unternehmen habe die Wandlung vom Start-up zu einem etablierten regionalen Arbeitgeber erfolgreich vollzogen und blicke stolz auf seine nunmehr 10-jährige Firmengeschichte zurück. Das erste Produkt Boxcryptor wurde ab Mai 2011 als Verschlüsselungslösung für Dropbox entwickelt und unterstütze mittlerweile über 30 verschiedene Clouddienste – nach Firmenangaben ist es heute in mehr als 190 Ländern für Daten von über einer halben Million Nutzer:innen im Einsatz. (https://boxcryptor.info)
secunet übernimmt stashcat: Mit dem hannoverschen Anbieter einer Messaginglösung mit integrierter Dateiablage und Videokonferenzfunktion erweitere secunet sein Portfolio im Bereich Cybersicherheit. Für Unternehmen und Behörden biete stashcat mit bereits über einer Million Nutzern eine echte, DSGVO-konforme Alternative zu etablierten Messengern und Dateiablagen wie WhatsApp oder Dropbox. (www.secunet.com / https://stashcat.com)
Strategische Partnerschaft von Tenable und HCL BigFix: Durch die Zusammenarbeit mit der Endpoint-Management-Plattform ermögliche Tenable zukünftig direkt in den Lösungen des Partners risikobasierte Einblicke in den Lebenszyklus von IT-Schwachstellen – von der Bewertung und Priorisierung bis hin zu deren Beseitigung. Die Kooperation starte mit einer neuen Integration zwischen Tenable.sc für das Schwachstellenmanagement vor Ort und der Anwendung Insights for Vulnerability Remediation von HCL BigFix. (https://de.tenable.com / www.hcltechsw.com)