Kommunikationsprobleme bei Application-Security
Obwohl Cybersicherheit mittlerweile die Vorstandsetagen erreicht habe, behindern interne Kommunikationshemmnisse CISOs sehr häufig dabei, sich effektiv um Cyberbedrohungen kümmern zu können. Dies zeige die jährliche Umfrage „The state of application security in 2024“, die Coleman Parkes im März und April dieses Jahres für Dynatrace unter weltweit 1300 Chief-Information-Security-Officers (CISOs – darunter 100 aus DE) durchgeführt hat.
Für die Führungskräfte der Informationssicherheit sei es schwierig, die Abstimmung zwischen den Security-Teams und der Führungsebene zu forcieren, was das Verständnis innerhalb des Unternehmens für Cyberrisiken lückenhaft mache. Infolgedessen seien sie fortschrittlichen Cyber-Bedrohungen stärker ausgesetzt, folgert der Anbieter. Als weitere wichtige Ergebnisse der Studie nennt Dynatrace:
- Mangelnde Abstimmung auf Vorstands- und Aufsichtsratsebene führt zu Cyberrisiken: Die Abstimmung zwischen Sicherheitsteams und der Führungsebene zu fördern, stellt für CISOs eine große Herausforderung dar – 87 % gaben an, dass Anwendungssicherheit ein blinder Fleck auf CEO- und Vorstandsebene sei.
- Sicherheitsteams sind zu technisch: Sieben von zehn der befragten C-Level-Entscheider waren der Meinung, dass Sicherheitsteams in technischen Begriffen sprechen, ohne den geschäftlichen Kontext zu vermitteln. 75 % der CISOs betonen jedoch, dass das Problem in ihren Securitytools begründet liege, da diese nur eingeschränkt in der Lage seien, Erkenntnisse zu liefern, die CEO und Vorstand nutzen können, um Geschäftsrisiken zu verstehen und Bedrohungen zu verhindern.
Bernd Greifeneder, Chief-Technology-Officer bei Dynatrace, kommentierte: „Die Abstimmung zwischen Sicherheitsteams und Führungskräften voranzutreiben, stellt eine große Herausforderung dar, weil es schwierig ist, das Gespräch von Bits und Bytes auf konkrete Geschäftsrisiken zu lenken. CISOs müssen dringend einen Weg finden, diese Hürde zu überwinden und eine Kultur der gemeinsamen Verantwortung für die Cybersicherheit schaffen. Dies wird von entscheidender Bedeutung sein, um ihre Fähigkeit zur effektiveren Reaktion auf Sicherheitsvorfälle zu verbessern und ihr Risiko zu minimieren.“
Die Studie habe überdies zusätzliche Erkenntnisse speziell aus deutscher Sicht geliefert. Deutsche CISOs hätten demnach als wichtigste Priorität ihrer Unternehmen für das Cybersecurity-Management „internes Risikomanagement/ Monitoring“ auf Rang 1 vor Anwendungssicherheit und dem Schutz vor Betriebsunterbrechungen genannt. 71 % der deutschen CISOs hätten berichtet, dass es eine regelmäßige Verpflichtung gibt, gegenüber CEO und Vorstand über Cybersicherheitsrisiken und die Einhaltung von Vorschriften zu berichten.
Trotz des großen Stellenwerts der Anwendungssicherheit sowie dem Bericht von 79 % der Befragten, dass es in den letzten zwei Jahren einen entsprechenden Vorfall gegeben habe, bezeichneten 90 % der CISOs die Anwendungssicherheit als „blinden Fleck“ auf CEO- und Vorstandsebene. Und obwohl 84 % der CISOs eine DevSecOps-Automatisierung als wesentliche Voraussetzung dafür ansehen, um aufkommende Vorschriften (wie das SEC-Cybersicherheitsmandat, NIS-2 oder DORA) einhalten zu können, waren nur 9 % der Meinung, dass ihre Organisation bereits über ausgereifte DevSecOps- Automatisierungsverfahren verfüge. 83 % der CISOs hätten zudem Schwierigkeiten, diese Automatisierung voranzutreiben, weil sie auf mehrere Tools für Application-Security angewiesen seien.
Der vollständige Report „The state of application security in 2024: The imperative of driving closer alignment among the CISO, CEO, and board“ steht auf www.dynatrace.com/info/reports/ciso-report-state-of-application-security/ als 25-seitiges PDF in englischer Sprache kostenlos zum Download bereit (Registrierung erforderlich). (www.dynatrace.com)