it&d business Survey: Information Security in stürmischen Zeiten

– zwischen geopolitischen Verwerfungen, dem Streben nach Stabilität, Agilität und Handlungsfreiheit und KI als Bedrohung und Hoffnung. Der heimische Survey von it&d business und CIDO Guide.

Belastbare Zahlen und Orientierungshilfen dazu, wie Österreichs IT & Digital-Entscheider:innen mit den aktuellen, strategischen Themen in der Realität umgehen, sind zumeist allenfalls in DACH-Umfragen versteckt. Deshalb liefern die Magazine CIDO Guide und it&d business nun schon zum zweiten Mal den großen heimeischen Buisness Digitaliszation Survey – diesmal zum Thema Informationssicherheit. Über 100 heimische Technologie-Verantwortliche lieferten dazu Input und einen Reality Check.

Bei der Informationssicherheit prallt derzeit eine geballte Ladung an Herausforderungen auf – in einer Vielfalt, Intensität und Dimension, wie sie Security-Verantwortliche wohl kaum jemals zuvor erlebt haben. Die Palette an Fragestellungen ist breit. Sie beginnt bei: Wie lassen sich trotz unberechenbarer Auswirkungen der Geopolitik auf die wirtschaftlichen Rahmenbedingungen, auf Zölle und auf Lieferketten, digitale Souveränität und damit ein stabiler Betrieb und die Handlungsfreiheit für ein agiles  Business technisch und organisatorisch sicherstellen? Und sie reichen bis zum omnipräsenten Thema KI und den Fragen: Wie lassen sich die bislang nicht gekannten Bedrohungen, die KI generiert, meistern? Und welche Lösungen liefert gerade diese KI dafür?

Die Bestandsaufnahme: Security schon mittendrin oder noch nur dabei?

Die Selbsteinschätzung der Survey-Teilnehmenden, welchen Reifegrad die eigene Security hat, ergibt auf einer Bewertungsskala von 1 bis zur Höchstnote 10 eine solide 6 und zeigt eine durchaus beruhigende,  nüchtern-kritische Sicht der heimischen Security-Verantwortlichen. Die höchste vergebene Wertung ist eine 8. Immerhin 22 Prozent der Befragten ließen es bei maximal einer 4 oder einer noch niedrigeren Wertung bewenden.

Ähnliches zeigt sich bei der Frage, ob Information Security in den anderen Bereichen über die IT hinaus schon als Thema für das gesamte Unternehmen angekommen und verankert ist. Zwar bejahen das stolze 46 Prozent der Befragten, aber für 33 Prozent hat diese Verankerung nur in Teilbereichen stattgefunden und für immerhin 21 Prozent generell zu wenig.

Dieses ambivalente Bild festigt  sich bei der Frage, ob die Security-Organisation bei digitalen Projekten und Innovationen heute – endlich – vom Business frühzeitig genug eingebunden wird. Für die große Mehrheit, nämlich 62 Prozent, hängt das stark von den jeweiligen Bereichen ab. 12 Prozent der Teilnehmenden sehen die Security noch immer generell zu spät ins Boot geholt. Lediglich 26 Prozent finden sie früh genug eingebunden und dies auch durch standardisierten Prozesse sichergestellt.

Gleichzeitig sind die Security und ihre Verantwortlichen, allen voran die CIOs und CISOs, aber sehr wohl gefragt, wenn es um Business Continuty Management geht. Satte 47 Prozent der Befragten sagen, dass in ihren Unternehmen die CIOs oder die CISOs beziehungsweise beide Rollen im Zu-sammenspiel maßgeblich für die Umsetzung dieses Themas verantwortlich sind. Nur in viel geringerem Ausmaß, nämlich zu jeweils zwischen 10 und 15 Prozent – trifft das auch auf andere Rollen wie CFOs, Risk Manager oder Produktionsverantwortliche zu.

Digitale Souveränität – aber wie?

Business Continuity Management liefert auch gleich den Übergang zu einem anderen Thema, das derzeit hohe Aufmerksamkeit genießt: Die digitale Souveränität als zentraler Sicherheitsfaktor.

Auch die heimischen Unternehmen und ihre Technologieverantwortlichen sind damit konfrontiert. Für 35 Prozent ist das bereits jetzt ein strategisches, Business-kritisches Thema. Für 54 Prozent ist es das zwar noch nicht, aber immerhin eines, mit dem man sich befassen muss, weil hier Handlungsbedarf entstehen könnte. Lediglich 11 Prozent der Befragten sehen das Thema entspannt und noch nicht mit allzu hoher Priorität.

Als Treiber wird hier einhellig das Risiko für das eigene Business durch geopolitische Effekte gesehen. Zusätzlich werden noch Regularien wie DORA und NIS2 sowie die Unabhängigkeit von Monopolisten ins Treffen gefördert. Bei den Hemmschwellen und Bremsfaktoren für eine schnelle Umsetzung macht die große Mehrheit der Survey-Teilnehmenden, nämlich 78 Prozent, vor allem ein mangelndes Angebot an Alternativen und entsprechenden Anbietern aus. 18 Prozent sehen ein weiteres Hindernis in den Problemen und Kosten beim Umstieg aus einer Hyperscaler Cloud, 16 Prozent bei den zumindest kurzfristig höheren Kosten und 12 Prozent bei fehlenden Initiativen auf der politischen Ebene. Dedizierte Budgets für das Thema digitale Souveränität hat allerdings kaum ein Unternehmen.

KI ganz oben auf der Prioritätenliste?

Auf die Frage nach den großen Themen, die derzeit auf der eigenen Prioritätenliste ganz oben stehen, wird der Begriff KI auf den ersten Blick überraschend selten genannt. Bei näherem Hinsehen relativiert sich der Eindruck allerdings, weil für eine Reihe der angeführten Themen KI einen treibenden Faktor darstellt. Ganz direkt sehen 36 Prozent der Befragten das Schritthalten mit der KI-unterstützen technologischen Entwicklung auf der Angreiferseite – von hoher Geschwindigkeit bis Deep Fakes – als größte Herausforderung. Und 21 Prozent nennen auch die Aspekte Governance und Regularien im Zusammenhang mit KI. Und auch bei der Awareness, die von 25 Prozent  in die Prioritätenliste aufgenommen wird, spielt AI natürlich auf vielfältige Weise eine Rolle. Andere Topthemen sind Ressourcenmangel (von 15 Prozent genannt), Risikomanagement (von 12 Prozent genannt) sowie Intellectual Property (von 10 Prozent genannt).

Etwas weniger nachvollziehbar scheint da, dass KI auch nicht massiver angeführt wird, wenn es um die Ausrichtung der eigenen Sicherheitsstrategien und -prozesse geht. Für 32 Prozent ist KI zwar integraler Bestandteil davon, aber 21 Prozent fokussieren sich bei ihrem Einsatz nur punktuell auf spezifische, relevante Security-Lösungen, und 20 Prozent setzen KI über Standard-Tools hinaus, in denen sie bereits integriert ist, bei ihren Sicherheitsmaßnahmen noch gar nicht ein. 18 Prozent testen gerade, wo und wie sie KI für ihre Security nützen könnten. Immerhin entwickeln 9 Prozent eigene KI-Lösungen für ihre Informationssicherheit.

Der Eindruck, dass die heimische Information Security im Moment noch nicht flächendeckend KI-unterstützt tickt, verstärkt sich angesichts der verhaltenen Reaktion auf die zunehmenden KI-generierten Angriffe, die ganz gezielt KI-Systeme in den Unternehmen ins Visier nehmen. 56 Prozent der Befragten haben für diese Systeme nämlich keine spezifischen Schutzmaßnahmen gesetzt, 29 Prozent haben dies zumindest teilweise getan – etwa durch Zugriffsbeschränkungen oder durch eine Isolation bestimmter Segmente.

Die Realität scheint schlichtweg so, dass die Etablierung von KI als Schutzschild offenbar nicht so trivial ist und schon gar nichts ist, was sich quasi über Nacht umsetzen lässt – auch wenn die Notwendigkeit für fast alle augenscheinlich ist. Die Gefahren, die KI für die Informationssicherheit des Unternehmens darstellt, wird nämlich von den Technologieverantwortlichen sehr deutlich wahrgenommen: 61 Prozent sehen die vor allem bei Social Engineering, Phishing und Identitätsdiebstahl. 28 Prozent sehen die größte Gefahr  eher bei der intransparenten Datengrundlage für KI-Aktionen. 11 Prozent befürchten, einfach vor allem von der Menge und Vielfalt von KI-Angriffen überrollt zu werden.

Hohe Erwartungen an die KI

Gleichzeitig sind die Erwartungen an AI als Schutzschild hoch – vor allem in Sachen Geschwindigkeit und Effizienz beim Erkennen und bei der Analyse von Anomalien und Angriffen erhofft man sich eine neue Qualität der Cybersecurity.

Um diesen Vorteil tatsächlich generieren zu können, scheint es allerdings noch Nachholbedarf zu geben. Beispielsweise haben 21 Prozent der befragten Unternehmen bislang noch kein SOC im Einsatz. 36 Prozent haben den Betrieb an externe Spezialisten ausgelagert. Der Rest agiert mit kombinierten Modellen von internen und externen Ressourcen in Sachen SOC.

Die rasante Entwicklung beim Thema KI, aber auch die neuen Risiken die für das Business durch technologische Abhängigkeiten entstehen, lässt die ohnehin schon breite Palette an Anforderungen an die Security Departments weiter enorm anwachsen. Wo sollen die ansetzen, um echten Mehrwert für ihre Unternehmen zu erzielen?

Der Mehrwert von Sicherheit?

Die Einschätzungen der Akteure und Akteurinnen selbst spiegeln diese Vielfalt wider: 32 Prozent der Security-Verantwortlichen führen an, dass ihre Organisation vor allem dadurch Mehrwert generieren kann, dass sie identifiziert, was für das Business an Daten, Prozessen und Systemen wirklich wichtig ist, und sich auf diese fokussiert.

In eine etwas weniger proaktive, und spezifische Richtung  geht die Antwort, die Verfügbarkeit und Sicherheit des Betriebs zu gewährleisten, die 29 Prozent der Befragten geben. 24 Prozent nennen die Aspekte Schutz von Daten und IP als den großen Mehrwert, den Security einbringen kann. 15 Prozent sehen als wichtigsten Nutzen, neue technologiegetriebene Bedrohungen zu identifizieren und dafür Awareness zu generieren.

Und was wird erfolgreiche Security-Verantwortliche in dem Spannungsfeld aus neuen technologischen Entwicklungen, unwägbaren Rahmenbedingungen und Sicherstellung des Kerngeschäfts ausmachen? Trotz der Vielfalt an Aspekten ist die Antwort hier sehr eindeutig: Nur 12 Prozent der Befragten führen hier als den wichtigsten Trumpf technogisches Wissen – vor allem zum Thema AI – an. Die ganz große Mehrheit sieht auch, wenn es um die Sicherheit geht, ganz klar Soft Skills als Erfolgrezept: Business-Verständnis, Kommunikationsfä-higkeit, Change Management, Risikomanagement – oder in anderen Worten zusammengefasst: All das, was KI  – zumindest vorerst – noch nicht besser kann.

it&d business Redaktion

Expertise zu unserem Survey Information Security:

Digital Sovereignty heißt Sicherheit für das Business

Eduard Kowarsch, Head of Cloud Services bei T-Systems Austria, über das wachsende Bewusstsein für Sovereign Cloud & Co. und über neue Business-Risiken und Entscheidungsprozesse

Business Resilience kommt jetzt in der Praxis an

Christopher Ehmsen, Geschäftsführer Österreich der Deutschen Telekom Security, über Gefahren durch KI und über die Akzeptanz von Regularien und die Bedeutung von Business Continuity Management