Größere Sorgen, aber wachsende Zuversicht

_{VOICE OF THE CISO 2024}_\_BERICHT

Größere Sorgen, aber wachsende Zuversicht

CISOs stehen vor enormen Herausforderungen. Zu den Faktoren gehören: das nachlassende Interesse für Cybersicherheit nach dem Ende der Pandemie, das ständige Problem der Absicherung von remote und hybrid arbeitenden Belegschaften, die enorme Mitarbeiterfluktuation im Zuge der großen Kündigungswelle, der Entlassungswellen im Technologiesektor und der ständigen geschäftlichen Neustrukturierungen sowie die Zunahme schwer erkennbarer und gleichzeitig leicht ausführbarer Bedrohungen.

Unabhängig von der Ursache für die Herausforderungen wird eines deutlich: CISOs blicken nervös in die Zukunft.

Mehr als zwei Drittel (70 %) der Befragten gaben an, dass sie in den nächsten 12 Monaten mit einem größeren Cyberangriff rechnen. Dies ist nur ein leichter Anstieg gegenüber den 68 % des letzten Jahres. Doch verglichen mit den 48 % der Umfrageteilnehmer, die 2022 dieser Meinung waren, sind heutige CISOs auch weiterhin in höchster Alarmbereitschaft.

Die Tatsache, dass knapp ein Drittel (31 %) einen schwerwiegenden Angriff als „sehr wahrscheinlich“ einstuft, unterstreicht zusätzlich die kollektive Anspannung von CISOs, zumal der Anteil im Jahr 2023 noch bei 25 % lag.

70 %

der CISOs gaben an, dass sie in den nächsten 12 Monaten mit einem größeren Cyberangriff rechnen. 31 % schätzen das Risiko als sehr hoch ein.

_{VOICE OF THE CISO 2024}_\_BERICHT

Anteil der CISOs, die damit rechnen, dass ihr Unternehmen in den nächsten 12 Monaten einem schweren Cyberangriff ausgesetzt wird.

CISOs in Südkorea (91 %), Kanada (90 %) und den USA (87 %) machen sich am meisten Sorgen, Ziel eines schweren Cyberangriffs zu werden.

Sowohl CISOs (70 %) als auch Vorstandsmitglieder (73 %) gehen davon aus, dass ein schwerer Cyberangriff in den nächsten 12 Monaten wahrscheinlich ist.

Von allen untersuchten Branchen machen sich der Bildungsbereich (86 %), das Transportwesen (77 %) sowie Einzelhandel, Gesundheitswesen und der öffentliche Sektor (jeweils 74 %) am meisten Sorgen um einen möglichen Cyberangriff.

Von allen untersuchten Branchen machen sich der Bildungsbereich (86 %), das Transportwesen (77 %) sowie Einzelhandel, Gesundheitswesen und der öffentliche Sektor (jeweils 74 %) am meisten Sorgen um einen möglichen Cyberangriff.

_{Statistiken zu Vorstandsmitgliedern aus „}_{Cybersecurity: The 2023 Board Perspective report}_{“ (Cybersicherheit aus Sicht der Vorstände 2023).}

_{VOICE OF THE CISO 2024}_\_BERICHT

Bewusstsein heißt nicht zwingend Bereitschaft

Die wachsende Sorge vor einem Cyberangriff klingt erst einmal wie eine schlechte Nachricht. Beruhigend ist jedoch, dass die meisten CISOs sich dieser potenziellen Risiken bewusst sind.

Einfach ausgedrückt, sind die Sorgen der CISOs berechtigt, da Cyberkriminelle ihre Taktiken verfeinern, Mitarbeiter angreifen und sich entlang der Angriffskette vorarbeiten, um maximale Wirkung zu erzielen.

Bei der Sicherheitsvorbereitung gibt es ebenfalls Grund zur Hoffnung. Etwas weniger als die Hälfte (43 %) der CISOs stimmt zu, dass ihr Unternehmen im Jahr 2024 nicht auf gezielte Angriffe vorbereitet ist. Das ist auf jeden Fall eine Verbesserung gegenüber 2023 (61 %) und 2022 (50 %).

Auch wenn es erfreulich ist, dass inzwischen mehr CISOs auf die kommenden Veränderungen vorbereitet sind, können wir auch nicht diejenigen ignorieren, die anderer Meinung sind.

Dass 70 % das Risiko eines Cyberangriffs sehen, sich gleichzeitig aber fast die Hälfte nicht darauf vorbereitet fühlt, ist beunruhigend und zeigt erneut die klaffende Lücke zwischen Cybersicherheitsbewusstsein und Vorbereitung.

43 %

der CISOs stimmen zu, dass ihr Unternehmen im Jahr 2024 nicht auf gezielte Angriffe vorbereitet ist.

Anteil der CISOs, die der Meinung sind, dass ihr Unternehmen im Jahr 2024 nicht auf gezielte Angriffe vorbereitet ist. Top 3 der Länder:

_{VOICE OF THE CISO 2024}_\_BERICHT

Die Bedrohungslandschaft aus Sicht der CISOs

Was lässt CISOs nachts nicht schlafen? Wenig überraschend betrachten 41 % der Befragten Ransomware als die größte Bedrohung für die nächste 12 Monate, gefolgt von Malware (38 %), E-Mail-Betrug (36 %), Cloud-Kontenkompromittierung (34 %), Insider-Bedrohungen (30 %) und DDoS-Attacken (30 %).

Mehrere dieser Probleme – E-Mail-Betrug, Insider-Bedrohungen, DDoS-Attacken und Cloud-Kontenkompromittierung – waren auch im vergangenen Jahr auf der Liste vertreten. Der Aufstieg von Ransomware an die Spitze der Liste ist eine interessante Entwicklung, die jedoch angesichts schlagzeilenträchtiger Attacken in den Jahren 2023 und 2024 wenig überraschend ist.

Die Angreifer haben den Einsatz mit doppelter und dreifacher Erpressung sowie ausgereifteren Ransomware-Ökosystemen erhöht. Daher müssen CISOs nach Möglichkeiten suchen, Angriffe in jeder Phase der Angriffskette zu unterbrechen – von der Initial-Kompromittierung über laterale Bewegungen innerhalb des Netzwerks und Erweiterung von Berechtigungen bis hin zu Datenexfiltration.

Was betrachten Sie als größte Cyberbedrohung für Ihr Unternehmen bzw. Ihre Branche in den nächsten 12 Monaten? (Wählen Sie bis zu drei Optionen aus.)

_{VOICE OF THE CISO 2024}_\_BERICHT

Eine positive Nachricht ist, dass Unternehmensführungen zunehmend auf die Einwände ihres CISO hören und Malware, Insider-Bedrohungen, Cloud-Kontenkompromittierung sowie Ransomware als größte Cybersicherheitsbedrohungen für ihre Unternehmen betrachten.

Ransomware ist die größte Sorge von CISOs in Japan (64 %), Großbritannien (51 %), Schweden (49 %) und den Niederlanden (49 %).

Bei den Branchen stimmen Fertigung und Produktion (54 %), Einzelhandel (46 %) und Gesundheitswesen (43 %) darin überein, dass E-Mail-Betrug in den kommenden 12 Monaten die größte Bedrohung darstellen wird.

Malware-Bedrohungen wurden am häufigsten genannt in Italien (53 %), Brasilien (46 %) und Singapur (45 %).

Seit dem ersten Voice of the CISO-Report aus dem Jahr 2021 gehört E-Mail-Betrug zu den drei größten Sorgen. In diesem Jahr wird diese Bedrohung von CISOs in Saudi-Arabien (50 %), Australien (46 %), Deutschland (46 %), Kanada (42 %), den Niederlanden (42 %) und Japan (42 %) am häufigsten genannt.

.E-Mail-Betrug wird von folgenden Branchen als größte Bedrohung für die nächsten 12 Monaten angesehen: öffentlicher Sektor (61 %), Transportwesen (58 %) und Finanzdienstleister (41 %).

_{In der aktuellen dynamischen Bedrohungslandschaft müssen CISOs mit den Nachwirkungen der Pandemie zurechtkommen, sich an den neuen Normalzustand des hybriden Arbeitsmodells anpassen und den tektonischen Veränderungen in der Tech-Branche Rechnung tragen. In diesen transformativen Zeiten ist das Aufkommen raffinierter Cyberbedrohungen, die menschliche Schwachstellen und Systeme ausnutzen, ein unbestreitbarer Faktor. Auch wenn die gestiegene Wahrscheinlichkeit von Cyberangriffen alarmierend erscheint, stimmt uns zuversichtlich, dass CISOs sich dessen bewusst sind und sich auf potenzielle Risiken vorbereiten. Die Sorgen der CISOs spiegeln jedoch auch ihre Wachsamkeit wider: Sie verstehen, dass Cyberkriminelle ständig ihre Strategien optimieren, um jede Lücke in unseren Sicherheitsketten auszunutzen.}

Brian Cox
Vice President und Chief Information Security Officer,
Cox Enterprises