Die Rolle der Cybersicherheit im geschäftlichen Kontext hat einen bedeutenden Wandel vollzogen: Einst als Verhinderer angesehen, wird sie zunehmend als Katalysator für Digitalisierung und Geschäftsentwicklung erkannt. Dies geht aus einer Studie hervor, die Trend Micro gemeinsam mit dem Brandenburgischen Institut für Gesellschaft und Sicherheit (BIGS) durchgeführt hat.
Obwohl Unternehmen demnach die Bedeutung der IT-Security für den Geschäftserfolg mittlerweile anerkennen, offenbart die Studie eine überraschende Diskrepanz: 56,9 Prozent der firmeneigenen IT-Teams halten es für notwendig, die Expertise externer Sicherheitsspezialisten heranzuziehen, aber lediglich 14,7 Prozent der IT-Security-Verantwortlichen teilen diese Ansicht.
Mögliche Gründe für die Ablehnung externer Security-Expertise
Die Hintergründe, warum der CISO externe Unterstützung ablehnt, sind für die Unternehmensleitung von großer Bedeutung. Denn überschätzen hauseigene Security-Verantwortliche ihre Fähigkeiten tatsächlich, ist die Gefahr hoch, dass Sicherheitslücken entstehen.
Eine mögliche Erklärung für die Skepsis gegenüber Managed Security Services sieht die Studie darin, dass die Inhouse-IT-Sicherheitschefs ungern Verantwortung abgeben oder Einflüsse von außen in ihrem Arbeitsbereich akzeptieren. Außerdem könnten negative Erfahrungen dafür verantwortlich sein und kostspielige externe Berater einen Cyberangriff in der Vergangenheit nicht verhindern konnten.
Einen weiteren Grund konstatiert das BIGS darin, dass, nach einem bekannt gewordenen Vorfall, Firmen mit Anfragen von IT-Sicherheitsdienstleistern überschwemmt werden und bei der Vielzahl an Angeboten den Überblick verlieren und entscheidungsmüde werden.
IT-Security-Teams sind überlastet
Die Anforderungen an ein umfassendes Sicherheitskonzept steigen stetig. Cyberkriminelle organisieren sich zunehmend unternehmerisch und verfolgen hochmoderne Angriffsstrategien, während IT-Infrastrukturen immer komplexer und schwerer zu überschauen werden.
Diese Entwicklungen erfordern einen ganzheitlichen Schutzansatz, dem nur komplex gestaltete Sicherheitstechnologien gerecht werden. Für Unternehmen reicht es nicht aus, in den Erwerb führender Cybersecurity-Lösungen zu investieren. Um diese in einen ganzheitlichen Sicherheitsansatz zu integrieren, müssen sie sorgfältig konfiguriert, professionell verwaltet und rund um die Uhr überwacht werden.
Für die IT-Teams bedeutet das eine hohe Belastung – nicht zuletzt auch mental. Der globale Fachkräftemangel, der laut einer aktuellen (ISC)2-Studie in der Cybersecurity mit 3,4 Millionen fehlenden Experten beziffert wird, verstärkt die Überlastung der Branche außerdem.
Wirtschaftliche Vernunft rät zu Security-Dienstleistern
Im Studienpapier warnt das BIGS vor den negativen Folgen einer Selbstüberschätzung. „Alle Unternehmensbereiche in der notwendigen Tiefe zu überblicken, fällt immer schwerer“, sagt Dr. Tim Stuchtey, Geschäftsführender Direktor des BIGS.
„Für mich ist es offensichtlich, dass mittelständische Unternehmen nicht in allen Eventualfällen die notwendige Expertise im Haus haben können. Sollten sie aus wirtschaftlicher Vernunft heraus auch nicht. Vielmehr ist es wichtig, die Expertise zu besitzen, die richtigen Dienstleister für die anstehenden Herausforderungen zu identifizieren.“
Vorteile von Managed Security Services
Könnten sich IT-Security-Verantwortliche dazu entschließen, der hauseigenen IT-Abteilung Managed Security Services zur Seite zu stellen, hätte dies nicht zu unterschätzende Vorteile: Das interne Team wird entlastet und kann sich wieder auf seine Kernaufgaben konzentrieren. Die Sicherheitsdienstleister stehen 24/7 zur Verfügung und kennen neueste Angriffsmuster, globale Zusammenhänge und sind in der Lage, über Unternehmensgrenzen hinweg Bedrohungen zu identifizieren.
„Um sich vor modernen Angriffen zu schützen, brauchen Unternehmen nicht nur eine erstklassige Detection und Response, sondern müssen sich bereits proaktiv so aufstellen, dass die Wahrscheinlichkeit für einen Angriff sinkt“, so Hannes Steiner, Vice President Germany bei Trend Micro. „Eine proaktive Security-Strategie beginnt mit einer kontinuierlichen Risikobewertung, die Ressourcen spart und genau dort einsetzt, wo sie auch gebraucht werden.“ (sg)
