Dr. Adrian Davis leitet das EMEA Team der (ISC)2. Darüber hinaus schreibt er regelmäßig Beiträge in unterschiedlichen Magazinen und hält Vorträge auf verschiedenen Events. Schwerpunkte sind dabei unter anderem das Management und Assessment von Informationssicherheit in Lieferketten und bei externen Dienstleistern sowie Governance und Effektivität der Informationssicherheit.
Lyndsay Turley | Wirtschaftsinformatik & Management
Wirtschaftsinformatik & Management: Durch die zunehmende und intensivere Nutzung technischer Geräte gewinnt die Informationssicherheit für Unternehmen immer mehr an Bedeutung. Überfordert dies die Informationssicherheitsmanager?
Adrian Davis: Informationssicherheit war schon immer wichtig, sogar bevor es Computer und Netzwerksysteme gab und diese die Art und Weise, wie Unternehmen arbeiten, vollständig verändert haben. Die heutige Verbreitung von Geräten ist eine Folge der aktuellen technologischen Entwicklungen, die den Arbeitsplatz verändern. Zum einen wird dies durch Cloud-Technologien vorangetrieben: Sie eröffnen den Unternehmen einen einfachen Weg zu mächtigen Systemen, welche große Datenmengen verarbeiten können. Zum anderen haben sich Firmen ebenfalls entwickelt und begrüßen diese Technologien, bevor sie überhaupt verstanden haben, wie anfällig sie dadurch werden. Das macht es sehr schwierig, die Übersicht bei der Informationssicherheit zu behalten. Bedrohungen, mit denen die Berufsgruppe der Informationssicherheitsmanager konfrontiert wird, unterstehen einem steten Wandel. Kriminelle suchen stetig nach neuen und innovativen Wegen, die sich dauernd ändernden Technologien auszunutzen. Dieser Tsunami an Daten und Geräten, gekoppelt mit zugleich unbekannten als auch bereits aufgedeckten Schwachstellen, repräsentiert eine echte Herausforderung für Sicherheitsabteilungen, mit der sie auch mit steigenden Budgets nicht fertig werden.
Die Fachleute beginnen bereits, diesen Druck zu spüren, und Personaler tun sich schwer damit, die passenden Kollegen für die offenen Stellen zu finden, gibt es doch zu wenig ausgebildete Fachleute auf dem Markt. 2017 prognostizierte unsere ISC 2 Global Information Security Workforce Study (GISWS), dass bis 2022 in Europa 350.000 und weltweit bis zu 1,8 Millionen Fachleute fehlen werden. Zwei Drittel der befragten Umfrageteilnehmer haben bereits in der aktuellen Fassung der Studie angegeben, dass sie derzeit zu wenige Kollegen im eigenen Unternehmen haben.
Was ist die größte Herausforderung nach Meinung der ISC-2-Mitglieder?
Die Geschwindigkeit, mit der neue Produkte, Geschäftsprozesse und Wege wie Daten erschaffen und in die Unternehmen eingeführt werden, ist eine große Herausforderung. Firmen reagieren auf die Anforderungen ihrer Kunden oder aber versuchen, das Maximum aus ihrem getätigten Investment in Technologien herauszubekommen. Die andere Schlüsselherausforderung ist die Handhabung von Schwachstellen. Geräte, Software, Anwendungen — sie alle führen neue oder bereits existierende Schwachstellen in die Unternehmen ein, die dann von den Sicherheitsabteilungen behoben werden müssen. Unglücklicherweise sind Unternehmen von diesen neuen Technologien, darunter cloudbasierte Infrastrukturen, Online-Kundenservices oder vernetzte Produkte, begeistert und sehen in ihnen eine Möglichkeit für Innovationen. Sie verstehen jedoch nicht, wie lange die Behebung solcher Sicherheitslücken dauert und wie kostspielig dies ist. Da die Sicherheitsteams unterbesetzt sind, müssen die Experten immer länger arbeiten. Sie kämpfen außerdem um Aufmerksamkeit der Geschäftsführung, denn sie haben kaum Zeit, auf die Risiken in der Informations- und Systemsicherheit hinzuweisen, die sich gerade entwickeln und diese erklären. Dadurch werden sie außerhalb der Sicherheitsabteilung kaum verstanden.
Wird dieses Thema bereits von den Unternehmen angegangen?
Cybersicherheit ist für jedes Unternehmen, ganz gleich welcher Größe, ein Thema. Die Vorbereitungen halten jedoch dem Test eines realen Cyberangriffs nicht stand und spiegeln auch nicht die Auswirkungen wider, die tatsächlich spürbar werden. Wie bereits festgestellt wurde, bleiben Informations- und Risikomanagement außerhalb der Informationssicherheit ein unzureichend verstandenes Feld. Dies führt dazu, dass die Möglichkeiten, die Risiken robust zu quantifizieren, limitiert sind. Ich glaube, dass die Antwort auf Angriffe mehr als einen Anruf in der IT-Abteilung erfordert, auch um überhaupt zu verstehen, welche Systeme betroffen sind und welche nicht. Unternehmen müssen die Art und Weise, wie sie aktuelle Cyberrisiken behandeln, unbedingt neu überdenken, und jede Geschäftsabteilung sollte ein solides Verständnis für die Prioritäten und das benötigte Investment entwickeln, um so die Resilienz für ihre Unternehmen zu verbessern und nicht einfach nur Systeme zu schützen.
Sogar, wenn es um die technologischen Anforderungen geht, zeigt unsere Studie "IT Professionals are a Critically Underutilized Resource for Cybersecurity", dass das Verhalten der Unternehmensführung in Bezug auf die Cybersicherheit problematisch bleibt. Nur 35 Prozent der mehr als 3.300 IT-Fachleute, die an der Umfrage teilnahmen (von 19.000 Teilnehmern insgesamt), haben angegeben, dass ihre Sicherheitsvorschläge befolgt wurden. Lediglich 28 Prozent wurden nach ihrer Meinung gefragt, bevor Entscheidungen getroffen wurden, was den Eindruck entstehen lässt, dass sie zumeist auf taube Ohren stoßen.
Das vollständige Interview mit Adrian Davis lesen Sie in der aktuellen Ausgabe der "Wirtschaftsinformatik & Management" (1/2018) hier auf Springer Professional.