Der Field CISO EMEA bei Check Point - Deryck Mitchelson - weist auf eine wenig beachtete Tatsache hin: Da viele Firmen derart miteinander vernetzt sind, dass die Systeme sich gegenseitig beeinflussen, kann eine Schwachstelle bei einer der Firmen, die anderen ebenfalls schädigen. Schuld sind die ungleichen Budgets. Diese Kluft muss überwunden werden.
Verschieden große Budgets für die Abwehr je Firma tragen erheblich zur Verschlechterung der Sicherheitslage bei. Es besteht eine große Kluft zwischen Unternehmen, die über die Finanzkraft verfügen, um fortschrittliche Sicherheitslösungen zu implementieren, und solchen, die sich dies nicht leisten können. Wenn dann finanziell gut ausgestattete Unternehmen mit Partnern und Zulieferern zusammenarbeiten, die über geringere Budgets verfügen, steigen die Risiken von Ausfallzeiten und Cyber-Attacken.
Stand der Dinge
Ein großes Unternehmen kann 12 bis 15 Prozent seines jährlichen IT-Budgets für die IT-Sicherheit ausgeben. Im Gegensatz dazu kann die durchschnittliche Gesundheits-Organisation beispielsweise nur 4 bis 7 Prozent ihres Budgets abzweigen. Insbesondere in Entwicklungsländern haben Betreiber von Krankenhäusern nicht einmal das Geld, um in zusätzliche Krankenschwestern oder Ärzte zu investieren und können sich kaum medizinische Anschaffungen leisten.
Die Vorstellung, dass sie überschüssige Ressourcen für die IT-Sicherheit hätten, ist geradezu lächerlich, obwohl das Gesundheitswesen laut Daten von Check Point, der am dritthäufigsten angegriffene Sektor weltweit ist.
Krankenhäuser werden mit jedem technologischen Sprung anfälliger
Bleiben Fortschritte in solchen Bereichen aus und hinken die Firmen dort hinterher, werden weiterhin weniger gut abgesicherte Einrichtungen und Unternehmen vorrangig angegriffen werden – mit Folgen für alle. Außerdem werden sie anfälliger mit jedem technologischen Sprung, den sie nicht mitspringen können. Innovationen könnten diese Ungleichheit verringern, aber ein Teil davon sollte in Form einer operativen Zusammenarbeit zwischen der öffentlichen Hand und der Privatwirtschaft erfolgen.
Der private Sektor kann dem öffentlichen Sektor wahrscheinlich mehr Fachwissen zur Verfügung stellen , wodurch der öffentliche Sektor seine IT-Abwehr modernisieren kann. Dies betrifft außerdem die Anbieter von Sicherheitslösungen, denn auch sie müssen innovativ bleiben. Sie müssen nämlich dafür sorgen, dass verschiedene Produktstufen zur Verfügung stehen.
Ein Ausweg aus der Misere
Lösungsansätze für diese Herausforderungen können wie folgt aussehen:
- CISOs oder Sicherheitsbeauftragte mit ähnlicher Verantwortung sollten wissen, welche Sicherheitslösungen sie einsetzen. Danach folgt die Bewertung der Sicherheitslage, um auch Überschneidungen zwischen Produkten zu erkennen.
- Die IT-Entscheider müssen verstehen, wie die vorhandenen Tools funktionieren: Wo liegen deren Schwächen und wo muss justiert werden?
- Konsolidierung der Sicherheitslösungen in Form einer IT-Sicherheitsarchitektur mit zentraler Plattform, statt eines Wildwuchses, lautet das Gebot der Stunde. Das reduziert die Arbeitsbelastung, erhöht die Sicherheit und verringert die Kosten. So werden Investitionen in andere Bereiche wirtschaftlich besser möglich.
- IT-Entscheider von Unternehmen mit begrenzten Budgets können in Erwägung ziehen, die IT-Sicherheit über Dienstleister, sozusagen zur Miete, zu erwerben. Dies ist oft günstiger, als alle Produkte zu kaufen und das Personal einzustellen, und führt zu höherer Sicherheit bei niedrigen Kosten.
Ein Trend, der beachtet werden muss, ist die Einführung von Tools mit künstlicher Intelligenz. Sie verändern die Bedrohungslandschaft stark, insbesondere in den Bereichen Phishing, Ransomware und Deepfakes. Grundlegende Schutzmaßnahmen reichen dagegen nicht mehr aus. Führungskräfte müssen dieses Hindernis trotz der begrenzten Ressourcen auf trickreiche Weise dennoch umgehen.
Fazit
Eine einzige Schwachstelle kann allen verbundenen Organisationen, wie Zulieferern, schaden, doch eine bessere Sicherheitslage bei einer Firma kann dagegen alle verbundenen Organisationen besser schützen. Aus diesem Grund schützt in der digitalisierten Wirtschaftswelt die Priorisierung der IT-Sicherheit nicht nur vor Risiken, sondern schafft auch die Grundlage für Fortschritt, Wohlstand und eine friedliche Gesellschaft.