Ich freue mich, Ihnen die Ergebnisse unserer jüngsten Bericht zum Stand der Informationssicherheit, durchgeführt in Zusammenarbeit mit dem unabhängigen Marktforschungsunternehmen Censuswide. In diesem Jahr haben wir unsere Umfrage auf Teilnehmer aus Großbritannien, den USA und Australien ausgeweitet und bieten damit einen wirklich umfassenden Überblick über die aktuelle Informationssicherheits- und Compliance-Landschaft.

Meiner Meinung nach unterstreicht der Bericht eine entscheidende Entwicklung in der Informationssicherheit. Angesichts der rasanten technologischen Fortschritte und Veränderungen im globalen Geschäftsumfeld unterstreichen unsere Erkenntnisse die tiefgreifenden Auswirkungen der Informationssicherheit auf die Widerstandsfähigkeit und den Erfolg von Unternehmen.

Robuste Informationssicherheitspraktiken haben sich von einer vorbeugenden Maßnahme zu einem grundlegenden Wachstumsmotor für Unternehmen gewandelt. Der Bericht zeigt, dass Unternehmen, die Informationssicherheit tief in ihre Geschäftsethik integrieren, ihre Abwehr gegen Cyberbedrohungen verbessern und ihre Marktposition stärken, was ihnen letztlich erhebliche Wettbewerbs- und Finanzvorteile verschafft.

Darstellung der heutigen Risikolandschaft

Wenn ich über die Herausforderungen der Branche nachdenke, ist klar, dass die heutigen IT-Führungskräfte Neuland betreten. Die Pandemie und die daraus resultierenden wirtschaftlichen Unsicherheiten haben die digitale Transformation beschleunigt, doch jede neue Investition und Partnerschaft vergrößert unsere digitale Angriffsfläche.

Da Lieferketten immer mehr zum Lebensnerv des globalen Handels werden, wird ihre Anfälligkeit für Cyberangriffe immer größer. Cyberkriminelle haben es oft auf kleinere Lieferanten abgesehen, um größere Organisationen zu infiltrieren. Unsere Umfrage zeigt, dass 64 % der Befragten häufiger Sicherheitsrisiken für die Lieferketten feststellen, wobei 79 % im vergangenen Jahr mindestens einen Vorfall erlebt haben.

Diese Tatsache unterstreicht, warum 38 % der Befragten das Management von Lieferanten- und Drittanbieterrisiken als größte Herausforderung für ihr Unternehmen bezeichneten und damit den ersten Platz belegten. Darüber hinaus zählte die Verwaltung und Sicherung von IoT- und BYOD-Geräten (30 %) ebenfalls zu den fünf größten Sorgen. Diese Investitionen haben einen erheblichen Geschäftswert, der jedoch nur realisiert werden kann, wenn die Risiken angemessen gemanagt werden.

Die zweitgrößte Herausforderung stellte die Einhaltung eines komplexen Geflechts internationaler und nationaler Vorschriften dar, die von 33 % der Führungskräfte im Bereich Informationssicherheit genannt wurde.

Effektives Risikomanagement und Compliance dienen nicht nur der Vermeidung von Strafen. Sie sind entscheidend, um die Integrität und Zuverlässigkeit des Geschäftsbetriebs zu gewährleisten, Wettbewerbsvorteile zu steigern und den Geschäftswert zu erhöhen. Um die Nase vorn zu behalten, ist die Optimierung von Compliance-Prozessen unerlässlich.

Die unerbittliche Bedrohung durch Cyber-Akteure

Während sich die Gefahrenlandschaft verschärft, erinnert uns die unermüdliche Innovationskraft der Cyberkriminellen ständig an die Schwachstellen, vor denen wir uns schützen müssen. Im vergangenen Jahr waren Malware-Infektionen die am häufigsten gemeldeten Vorfälle, insbesondere im Technologiesektor. Der Aufstieg von „as-a-service“-Malware-Paketen hat es Angreifern leichter gemacht, komplexe Angriffe auszuführen, was zu Datenlecks und Ransomware-Angriffen führt. Die Folgen reichen von Kryptowährungs-Mining und Netzwerkzugriff bis hin zu vollständiger Systemverschlüsselung und Diebstahl vertraulicher Daten oder Anmeldeinformationen.

Neben diesen wachsenden Risiken bleibt Social Engineering eine kritische Bedrohung. 32 % der Befragten meldeten Vorfälle. Besonders besorgniserregend ist auch die Raffinesse von KI-gestützten Deepfakes, da sie bei Business-E-Mail-Compromise-Schemata immer häufiger vorkommen. Mehr als 40 % der Unternehmen geben an, von Deepfakes betroffen zu sein, ein Anstieg gegenüber 0 % im Bericht von 2023.

Da Cyberbedrohungen immer ausgefeilter werden, ist es unerlässlich, wachsam zu bleiben und Ihre Sicherheitsstrategien kontinuierlich zu aktualisieren. Wenn Sie diese Bedrohungen nicht angehen, kann dies schwerwiegende Folgen haben, darunter erheblicher Datenverlust, Dienstausfälle sowie finanzielle Schäden und Schäden am Markenimage.

Die entscheidende Rolle des Datenschutzes

Daten bleiben wohl das wertvollste Gut eines Unternehmens. Dieser Wert ist der Grund, warum Vorschriften wie die DSGVO haben so hohe Standards gesetzt zum Schutz und zur sicheren Handhabung von Informationen. Aus diesem Grund sind Bedrohungsakteure hoch motiviert, auf diese Daten zuzugreifen – sei es für Betrug, Erpressung oder strategische Zwecke.

Am häufigsten werden Datenschutzverletzungen bei Partnern gemeldet. 41 % der Befragten gaben an, dass es in den letzten 12 Monaten zu solchen Vorfällen gekommen sei. Dies unterstreicht die anhaltenden Risiken, die von Lieferanten ausgehen, da diese Daten oft weniger gut geschützt sind. Auffällig ist, dass diese Verstöße im Technologiesektor (55 %) häufiger vorkommen als im Einzelhandel (27 %).

Finanzdaten waren mit 39 % der am zweithäufigsten gefährdete Datentyp, gefolgt von Vermögensdaten mit 34 %, Kundendaten mit 33 % und Produktdaten mit 32 %. Überraschenderweise gaben nur 27 % der Befragten an, dass personenbezogene Daten (PII) kompromittiert wurden, obwohl sie ein häufiges Ziel von Ransomware-Angriffen sind. Dieser Datentyp ist besonders in den Sektoren Energie und Versorgung (38 %) und Einzelhandel (35 %) gefährdet.

Der Bericht hob hervor, dass eine verbesserte Schulung und Sensibilisierung der Mitarbeiter positive Auswirkungen hat. Die dauerhafte Nutzung privater Geräte für die Arbeit ohne angemessene Sicherheitsmaßnahmen bleibt jedoch ein erhebliches Risiko. Unternehmen müssen ihre Mitarbeiter weiterhin schulen und strenge Sicherheitsprotokolle durchsetzen, um diese Bedrohungen einzudämmen.

Die Doppelrolle der KI in der Cybersicherheit

KI ist sowohl eine Herausforderung als auch eine Chance für die Cybersicherheit. 76 % der Sicherheitsexperten glauben, dass KI- und maschinelle Lerntechnologie (ML) die Informationssicherheit verbessern werden, und 64 % planen, ihre Budgets entsprechend zu erhöhen. Tatsächlich können diese Tools helfen, Qualifikationslücken zu schließen, die Bedrohungserkennung zu automatisieren und Reaktionszeiten zu verbessern, um nur einige Vorteile zu nennen.

Trotz des Hypes um generative KI (GenAI) gaben nur 26 % der Befragten an, im vergangenen Jahr neue Technologien wie KI, ML und Blockchain für die Sicherheit eingeführt zu haben. Dies ist überraschend, da KI-Anwendungen in der Cybersicherheit weit über GenAI hinausgehen und ML seit Jahren in Spam-Filtern und anderen Bereichen eingesetzt wird. Die Zurückhaltung bei der Teilnahme an neuen Projekten könnte erklären, warum nur 11 % die Verwaltung und Sicherung neuer Technologien als erhebliche Herausforderung betrachten.

Noch weniger Befragte (7 %) sind besorgt über Datenschutzverletzungen durch KI, die zu einem immer größeren Problem werden, da Unternehmen GenAI in ihre Betriebsabläufe integrieren. Aufsehenerregende Vorfälle wie der versehentliche Austausch vertraulicher Informationen durch Samsung-Mitarbeiter über GenAI-Eingabeaufforderungen verdeutlichen die Risiken. Forrester prognostiziert für 2024 erhebliche Datenschutzverletzungen und Bußgelder für GenAI-Benutzer. und betont die Gefahr des unsicheren Codes, der durch diese Tools erzeugt wird. Das National Cyber ​​Security Centre (NCSC) warnte zudem, dass GenAI die Bedrohung durch Ransomware verschärfen könnte. indem sie Überwachung und Social Engineering erleichtern.

Allerdings entwickelt sich die regulatorische Landschaft weiter. Das KI-Gesetz der EU nimmt alle KI-Anbieter in die Verantwortung, indem Konformitätsbewertungen für KI-Systeme mit hohem Risiko eingeführt werden. Die USA verlassen sich auf präsidiale Verordnungen, möglicherweise sollen Bundesgesetze erlassen werden. Auch Großbritannien signalisiert die Absicht, den Einsatz von KI zu regulieren. Standards wie ISO 42001 werden entscheidend sein für Organisationen, den Aufsichtsbehörden Zusicherungen zu geben.

Obwohl derzeit nur 13 % der Befragten Informationssicherheit und Compliance nutzen, um die sichere Einführung neuer Technologien zu fördern, dürfte diese Zahl mit zunehmenden Regulierungsmaßnahmen und einer weiteren Verbreitung der Technologie steigen.

Der geschäftliche Wert der Compliance

In der Vergangenheit wurde Compliance in den Vorstandsetagen als notwendiges Übel betrachtet – als Mittel, um Strafgelder und schlechte Publicity zu vermeiden. Unsere Untersuchungen zeigen jedoch eine deutliche Verschiebung dieser Wahrnehmung. In Großbritannien gibt es einen Anstieg der Geldbußen: 26 % der Befragten wurden mit Geldbußen zwischen 250 und 500 Pfund belegt (gegenüber 21 % im Jahr 2023) und 35 % mit Geldbußen zwischen 100 und 250 Pfund (gegenüber 18 %). Geldbußen sind zwar ein Faktor, aber sie sind nur ein Teil der Compliance-Geschichte.

Die Motivation für Compliance geht weit über die Vermeidung von Strafen hinaus. 34 % der Befragten betrachten Compliance als entscheidend für die Wahrung eines Wettbewerbsvorteils, und ein ebenso großer Prozentsatz sieht die steigende Nachfrage der Kunden nach robusten Sicherheitsmaßnahmen als Grund dafür. Der Schutz von Geschäfts- (30 %) und Kundeninformationen (29 %) ist ebenfalls ein wichtiger Motivator, und 27 % sehen Compliance als unverzichtbar für den Eintritt in neue Märkte und Lieferketten.

Investitionen in Compliance-Programme bringen greifbare Vorteile: 34 % der Befragten berichten von einem verbesserten Ruf als sichere und zuverlässige Unternehmen. 30 % konnten durch die Reduzierung von Cybersicherheitsvorfällen Kosten einsparen und 29 % konnten durch effizientere Sicherheitsprozesse Zeit einsparen. Compliance zieht auch Investoren an, die nach Unternehmen mit geringem Risiko suchen (28 %), und hilft bei der Rationalisierung der Sicherheitsinfrastruktur (28 %), wodurch deren Verwaltung einfacher und kostengünstiger wird. Darüber hinaus haben 26 % ihre Geschäftsentscheidungen durch sichere und zuverlässige Daten verbessert, während nur 19 % Compliance zur Vermeidung von Bußgeldern priorisieren.

Trotz der Vorteile bleiben Herausforderungen bestehen. Fast die Hälfte (46 %) der Befragten gab an, dass die Einhaltung der ISO 27001 zwischen sechs und zwölf Monaten gedauert habe. Weitere 12 % gaben an, dass sie 11 bis 12 Monate gebraucht hätten, und 18 % gaben an, dass sie mehr als anderthalb Jahre gebraucht hätten.

Dieser Zeitplan deutet auf die Notwendigkeit rationalisierter Prozesse und vertrauenswürdiger Compliance-Partner hin. Durch die Zusammenarbeit mit erfahrenen Partnern können Unternehmen ihre Compliance-Bemühungen beschleunigen, die damit verbundenen Kosten senken und robuste Sicherheitsmaßnahmen aufrechterhalten.

Wie geht es weiter mit der Informationssicherheit?

Klar ist, dass Unternehmen weiterhin unzählige Bedrohungen und regulatorische Anforderungen bewältigen müssen, während sie gleichzeitig bedeutende Veränderungsinitiativen vorantreiben, nicht zuletzt die zunehmende Rolle der KI. Bei der Einhaltung von Best-Practice-Frameworks und -Standards geht es nicht nur darum, regulatorische Anforderungen zu erfüllen, sondern auch darum, ein widerstandsfähiges und vertrauenswürdiges Unternehmen aufzubauen.

Bei ISMS.online Unser Anspruch ist es, unsere Kunden auf diesem Weg zu unterstützen und ihnen dabei zu helfen, Compliance-Prozesse zu optimieren und ihre digitale Zukunft zu sichern. Mit Blick auf die Zukunft bin ich überzeugt, dass die Integration robuster Informationssicherheitspraktiken für nachhaltiges Wachstum und nachhaltigen Erfolg von entscheidender Bedeutung sein wird.

Ich möchte allen Teilnehmern danken, die zu dieser wertvollen Untersuchung beigetragen haben. Wenn Sie den vollständigen Bericht lesen möchten, können Sie dies hier tun: https://de.isms.online/state-of-infosec-24/