Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

News und Produkte

News und Produkte
Lesezeit 7 Min.

Führungskräfte schätzen Sicherheitskultur – aber was ist das eigentlich?

94 % der Befragten gaben in der Studie „Rise of Security Culture“ an, dass eine Sicherheitskultur wichtig für den Geschäftserfolg ist – 69 % fanden sie sogar „sehr wichtig“. Für die im April erschienene Untersuchung hatte Forrester Consulting im Auftrag von KnowBe4 Ende 2019 eine Online-Umfrage mit 1161 Teilnehmern durchgeführt, die Führungsaufgaben im IT-, Sicherheits- oder Risikomanagement ausüben und Einfluss auf die Security-Policies ihrer Organisationen haben. Das Ergebnis fasst KnowBe4 so zusammen: Führungskräfte kennen den Wert einer starken Sicherheitskultur, haben aber mit der Geschwindigkeit der wirtschaftlichen Entwicklung sowie bei der Definition und Umsetzung Schwierigkeiten.

Dabei ist anscheinend nicht einmal die wachsende Zahl von Sicherheits-Problemen ausschlaggebend für das eindeutige Votum pro Sicherheits-Kultur: Vielmehr nannten 49 % der Befragten den Geschäftserfolg, 43 % die Integrität des Business und 41 % die Sicherheit von Kunden als Hauptmotivation (Mehrfachnennungen). Die notwendige Compliance zu Regulierungen war für 30 % bedeutsam. Nur weniger als ein Viertel (23 %) sahen jedoch in Sicherheitsbrüchen, die sie bei anderen Unternehmen beobachtet hatten, einen wesentlichen Grund – und nur 18 % haben eigene Sicherheitsprobleme in der Vergangenheit zu ihrer Aussage bewogen.

Bei der Frage, was denn eine Sicherheitskultur überhaupt ausmacht, gingen die Meinungen weit auseinander. Die Marktforscher haben dazu 758 einzigartige Definitionen erhalten, die sie in fünf Kategorien zusammengefasst haben:

  • Compliance zu Security-Policies: 29 % der Befragten lieferten Erklärungen, bei denen die Einhaltung von Richtlinien der Organisation eine wesentliche Rolle spielte.
  • Bewusstsein und Verständnis für Sicherheit: Bei 24 % standen Awareness, Beobachtungsgabe und Training im Umgang mit sicherheitsrelevanten Vorkommnissen im Mittelpunkt.
  • Geteilte Verantwortlichkeit: 22 % nannten die Einsicht, dass Security nicht nur Sache einer Fachabteilung ist, als wesentliches Merkmal einer Sicherheitskultur.
  • Engagement und Unterstützung: Jeder siebte Teilnehmer (14 %) nutzte Definitionen, die auf die Einflussnahme zu sicherheitsrelevanten Entscheidungen abzielten.
  • „Eingebettete“ Sicherheit: 12 % stellten auf die Wertschätzung des Themas und generelle Unterstützung durch das gesamte Unternehmen ab.
Abbildung 1

Antworten auf die Frage nach dem Grad der Einbettung einer Sicherheitskultur im Unternehmen (Quelle: Forrester – The Rise Of Security Culture, April 2020)

92 % der Befragten gaben an, dass ihr Unternehmen eine Sicherheitskultur mehr oder minder stark verinnerlicht habe (vgl. Abb. links) – gleichzeitig kam es bei 72 % in den vorausgegangenen 12 Monaten zu mindestens einem Sicherheitsvorfall. Außerdem zeigten sich Diskrepanzen zwischen den von den Entscheidungsträgern als wesentlich angesehenen Verhaltensweisen und ihrer Umsetzung im Unternehmen (vgl. Abb. unten). Die Studie folgert daraus, dass die Entscheidungsträger in ihrer derzeitigen Sicherheitskultur zu selbstbewusst auftreten.

Abbildung 2

Antworten auf die Fragen nach den wichtigsten Zielen und Herausforderungen in Sachen Sicherheitskultur (Quelle: Forrester – The Rise Of Security Culture, April 2020)

Die Empfehlungen der Studienautoren lauten, eine Sicherheits-Kultur für das eigene Unternehmen klar zu definieren und auch messbar zu machen. Sie sollte durch die gesamte Organisation hindurch implementiert werden, weswegen die Zusammenarbeit mit allen relevanten Geschäftsfunktionen notwendig ist – es braucht eben mehr als nur die IT-Abteilung. Kai Roer, Geschäftsführer der KnowBe4-Company CLTRe, kommentierte: „Diese Studie hat uns gezeigt, dass eine starke Sicherheitskultur eine Geschäftspriorität ist, an deren genauer Definition die Führungskräfte noch arbeiten. Das vielleicht überraschendste Ergebnis der Studie war, dass Geschäftsprinzipien, nicht Risikominderung die Hauptmotivation für den Aufbau einer starken Sicherheitskultur war.“

Genauere Ergebnisse der Studie „The Rise of Security Culture“ können als 10-seitiges PDF in englischer Sprache über https://info.knowbe4.com/rise-of-security-culture kostenlos bezogen werden (Registrierung erforderlich). (www.knowbe4.de)

Zero Trust: Leichter als man denkt?

Die „Zero-Trust-Security“-Philosophie fußt auf der Idee: Vertraue niemandem, überprüfe alles! Das widerspricht grundlegend der Annahme irgendeiner Verlässlichkeit. Im Fokus steht der ausnahmslose Schutz der Ressourcen, egal ob physisch oder digital – nichts ist vertrauenswürdig, niemals. Sophos sieht das Thema derweil als von Mythen umgeben an – mitunter wirke es sperrig und mühsam, biete aber viele Vorteile. Daher will das Unternehmen mit einem kostenlosen (englischsprachigen) Whitepaper zur Aufklärung über „Zero Trust“ beitragen.

Abbildung 3

Drei Grundprinzipien der Zero-Trust-Philosophie (Quelle: Sophos Whitepaper Demystifying Zero Trust)

Da sich auch die Cyberkriminalität sehr kreativ weiterentwickelt, sei die Zero-Trust-Grundhaltung eine Möglichkeit, die Bedrohungslage zu minimieren, indem man quasi alles per se für unsicher hält. Zeitgleich bedeute das aber auch eine Aufforderung, neue Standards im Cybersicherheitsprotokoll zu entwickeln. Denn das Zeitalter von Corporate-Networking und einzelnen, abgekoppelten Netzwerken hat längst seine Halbwertszeit überschritten: Nutzer arbeiten (nicht nur zurzeit) immer mehr von Zuhause oder unterwegs und benötigen dafür öffentliche Netze. Da es beim Einsatz einer Zero-TrustSecurity Philosophie kein „Innerhalb“ gibt, fördert dies das Bewusstsein, dass man sich beziehungsweise jedes System selbst schützen muss. Angriffe sind jederzeit sowohl innerhalb als auch außerhalb der Firmennetze zu erwarten. Sicherheitsmaßnahmen müssen daher dynamisch und in Echtzeit ablaufen.

Abbildung 4

Fünf Schritte auf dem Weg zu „Zero Trust“ (Quelle: Sophos Whitepaper Demystifying Zero Trust)

Als Modus Operandi in einem Zero-Trust-Szenario empfiehlt Sophos: Identifizieren – Kontrollieren – Analysieren – Sichern:

  • Identifizierung eines jeden Users mit multiplen Faktoren
  • Zugangskontrolle mit Least-Privilege-Prinzip (Nutzer sollten nur Zugang zu den Bereichen haben, die sie wirklich benötigen)
  • Analyse sämtlicher Netzwerk- und Systemaktivitäten, um rechtzeitig Unregelmäßigkeiten zu erkennen – nützlich seien hier EndpointDetection & -Response (EDR), Managed Detection & Response (MDR) und Security-Information- und -Event-Management-(SIEM)-Systeme.
  • Sichern von innen heraus – mit den Kernfragen: Was sind die wichtigsten Daten? Welche möglichen Verletzbarkeiten existieren auf dem Weg dorthin?

Eine Zusammenfassung und das 10-seitige Whitepaper „Demystifying Zero Trust“ (Extended PDF Version) in englischer Sprache sind über https://secure2.sophos.com/en-us/security-news-trends/whitepapers/demystifyingzero-trust.aspx kostenlos und anmeldefrei erhältlich. (www.sophos.de)

Firmen, Finanzen & Fusionen

Baramundi feiert 20-jähriges Jubiläum: Die Geschichte des Augsburger Softwareherstellers begann 2000 als vierköpfiges Start-up mit dem Thema Softwareverteilung. Heute bedient das Unternehmen als Anbieter im Bereich UnifiedEndpoint-Management (UEM) mit mittlerweile 220 Mitarbeitern nach eigenen Angaben weltweit mehr als 3000 Unternehmenskunden. 2017 übernahm mit Wittenstein SE ein Spezialist für mechatronische Antriebstechnik Baramundi als Teil seiner strategischen Geschäftseinheiten, um „dessen großes Potenzial im Bereich Industrie 4.0 nutzen zu können“. (www.baramundi.de / www.wittenstein.de)

Deloitte kooperiert mit Palo Alto Networks zur Erweiterung seiner Cybersicherheitsdienste: Im Rahmen der Partnerschaft werde das EMEA Cybersphere Center von Deloitte die Lösungen Cortex XDR, Cortex XSOAR (ehemals Demisto) und Prisma Cloud in seinen Sicherheitskatalog integrieren. So könne man auf ein technologisches Setup zurückgreifen, um Aufgaben der Sicherheitsorchestrierung, Automatisierung, Überwachung und Reaktion auszuführen. (www.deloitte.com / www.paloaltonetworks.com)

genua kooperiert mit Enea: Das Unternehmen der Bundesdruckerei-Gruppe will mit der Qosmos ixEngine des schwedischen Anbieters Enea zukünftig den Netzwerkverkehr innerhalb seiner IT-Sicherheitsplattform cognitix Threat Defender klassifizieren. (www.genua.de / www.enea.com)

Hellman & Friedman (H&F) schließt Akquisition von Checkmarx ab: Mit dem Anbieter von Software-Security-Lösungen für DevOps stelle das Private-Equity-Unternehmen die Weichen für weiteres Wachstum und den Ausbau seiner Marktstellung im Software-Security-Markt. Mit von der Partie bei der Übernahme war die „Global Alternative Asset Firm“ TPG, die sich H&F als Partner angeschlossen habe und ebenso wie das Venture-Capital- und Private-Equity-Unternehmen Insight Partners als Minoritätsinhaber beteiligt sei. (www.checkmarx.com / www.hf.com / www.tpg.com / www.insightpartners.com)

Kudelski Security weitet Aktivitäten in Deutschland aus: Das global tätige Cybersecurity-Unternehmen mit Hauptsitz in der Schweiz stelle gezielt Mitarbeiter ein, um deutschen Unternehmen Managed-Security-Services (MSS) anzubieten. Die Expansion auf den deutschen Markt erfolge nach einer raschen dreijährigen Wachstumsphase in Europa. Kudelski Security plane, hierzu die Büros seiner Muttergesellschaft mit Sitz in München zu nutzen. (www.kudelskisecurity.com / www.nagra.com)

SentryOne verstärkt Aktivität in DACH: Der Lösungsanbieter im Bereich Database-Performance-Monitoring und DataOps will seine Präsenz auf dem deutschsprachigen Markt ausbauen und verstärke dazu sein Engagement mit einem eigenen zweiköpfigen Kundenteam in der DACH-Region. Darüber hinaus stünden Informationsmaterialien wie Anleitungen zur Cloud-Migration sowie der DSGVO ab sofort auch in deutscher Sprache zur Verfügung. (www.sentryone.de)

Strategische Partnerschaft von Palo Alto Networks und Telekom Security: Die Unternehmen wollen gemeinsam ein Portfolio an gemanagten Security-Services aufbauen, die unter anderem aus Sicherheitsdiensten für Clouds und Netzwerke bestehen. Die Angebote sollen „durchgängige IT-Sicherheit bieten und Unternehmen dabei helfen ihre Digitalisierungspläne mit einem Höchstmaß an Cybersicherheit umzusetzen“. (www.paloaltonetworks.com / www.t-systems.com/security/)

Verizon Business akquiriert BlueJeans Network: Mit der Plattform für Videokonferenzen und Events erweitere das Unternehmen sein Unified-Communications-Portfolio. Der cloudbasierte Videodienst von BlueJeans könne eine wichtige Rolle bei der Fortführung der Geschäftsabläufe mit einer steigenden Zahl von Mitarbeitern im Homeoffice spielen. (www.verizon.com / www.bluejeans.com)

Strategische Partnerschaft der WMC GmbH mit German Business Protection (GBP): Durch die Kooperation gewinne man einen Partner, der „als einziges Unternehmen in Deutschland Beratungsleistungen als integriertes Risikomanagement“ anbiete und durch die Einbindung in die Kötter Security Gruppe zusätzlich „die Leistungsstärke des größten Familienunternehmens der Sicherheitsbranche mit mehr als 85-jähriger Erfahrung“ mitbringe. (www.wmc-direkt.de / www.koetter.de)

Zscaler will Cloudneeti kaufen: Mit der Übernahme wolle der Anbieter einer Cloud-Security-Plattform sein Datenschutzangebot auf die Public Cloud ausweiten. Cloudneeti verhindere und behebe Fehlkonfigurationen von Applikationen in SaaS, IaaS und PaaS-Umgebungen, die eine der Hauptursachen für Datenschutzverstöße und Compliance-Verletzungen in Cloudanwendungen darstellen. (www.zscaler.com / www.cloudneeti.com)

Partnerschaft von Zyxel und McAfee: Ergebnis dieser Kooperation sei eine integrierte „One-Box-Sicherheitslösung“, die speziell für kleine und mittelständische Unternehmen (KMU) konzipiert sein soll. (www.zyxel.de / www.mcafee.com)

Diesen Beitrag teilen: