CISOs erweitern ihren Wirkungsbereich

Eine Umfrage unter 126 Cybersecurity-Führungskräften im Einzelhandel und Gastgewerbe zeigt, dass diese immer mehr Verantwortung für ein breiteres Spektrum an Funktionen übernehmen, darunter Datenmanagement und Datenverlustprävention (71 %) sowie Geschäftskontinuität und Disaster Recovery (50 %), was ein Zeichen für einen größeren Trend sein könnte.

Die vom gemeinnützigen Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) durchgeführte Umfrage zeigt außerdem, dass 81 % der Befragten auch für die Anwendungssicherheit verantwortlich sind, wobei 60 % die Einführung der bewährten DevSecOps-Praktiken vorantreiben, um die Software-Lieferketten besser zu sichern.

Es ist wahrscheinlich, dass ähnliche Veränderungen in anderen vertikalen Branchen stattfinden. Es wurde bereits festgestellt, dass die Ausgaben für Cybersecurity im Jahr 2023 entweder steigen oder zumindest gleich bleiben. Weniger klar ist, inwieweit die Budgets steigen, weil Cybersecurity-Teams zusätzliche Aufgaben übernehmen, oder ob tatsächlich mehr für zusätzliche Cybersecurity-Tools und -Plattformen ausgegeben wird. Die Chancen stehen gut, dass es eine Mischung aus beidem ist.

Diese beiden Änderungen haben lange auf sich warten lassen. Früher waren die IT-Betriebsteams weitgehend für alles verantwortlich, was mit Datenbackups und -wiederherstellung zu tun hatte. Mit dem Aufkommen von Ransomware hat die Verantwortung für den Schutz von Daten jedoch eine viel höhere Priorität erhalten. In der RH-ISAC-Umfrage werden nämlich Ransomware und die Vermeidung von Datenverlusten als die beiden größten Risiken für Unternehmen genannt.

Inzwischen rangiert laut dieser Umfrage die Anwendungssicherheit (50 %) an fünfter Stelle der wichtigsten Initiativen für 2023, gefolgt vom Schwachstellenmanagement (64 %), der Sicherheit für Cloud- und lokale IT-Umgebungen (56 %), der Planung von Ransomware (54 %) und der Zero-Trust-Architektur (52 %).

Früher wurde der Anwendungssicherheit nicht die Aufmerksamkeit zuteil, die sie verdient hätte, vor allem, weil die Teams für Cybersecurity und die Anwendungsentwickler glaubten, dass der jeweils andere hauptsächlich dafür verantwortlich sei. Infolgedessen hat sich niemand so sehr darauf konzentriert, wie es nötig gewesen wäre. Erst nach einer Reihe von Sicherheitsverletzungen, angefangen mit dem berüchtigten SolarWinds-Angriff im Jahr 2020, begann sich die Einstellung zu ändern. Selbst dann brauchte es eine Zero-Day-Schwachstelle in Log4jShell und eine im September letzten Jahres von der Biden-Administration erlassene Verfügung, die die Bundesbehörden dazu verpflichtete, ihre Software-Lieferketten zu sperren, um die Dinge ins Rollen zu bringen. Die Ergebnisse der RH-ISAC-Umfrage zeigen, dass die IT-Organisationen der Unternehmen in ähnlicher Weise darauf achten.

Die Anwendungssicherheit umfasst im Allgemeinen zwei verschiedene Aufgaben. Die erste ist eine relativ einfache Maßnahme, die das Sperren der Laufzeitumgebung beinhaltet. Cyberkriminellen mangelt es nicht an Techniken, die sie regelmäßig einsetzen, um diese Umgebungen anzugreifen. Die schwierigere Herausforderung besteht darin, Schwachstellen in Anwendungen zu beseitigen, bevor sie eingesetzt werden. Große und kleine Unternehmen überdenken ihre Anwendungsentwicklungsprozesse, die in der Vergangenheit aus Sicht der Cybersecurity mit großen Mängeln behaftet waren. Entwickler mit wenig bis gar keinen Kenntnissen im Bereich der Cybersecurity verwenden seit vielen Jahren aus verschiedenen Repositories heruntergeladene Softwarekomponenten wieder, ohne sich Gedanken darüber zu machen, wie anfällig diese Software sein könnte. Es überrascht nicht, dass kaum ein Tag vergeht, an dem nicht eine neue Schwachstelle in einer Anwendung entdeckt wird.

Cybersecurity-Teams füllen nun diese Lücke, indem sie eng mit Anwendungsentwicklungsteams zusammenarbeiten, um optimale DevSecOps-Praktiken einzurichten, die von Tools zum Scannen von Code auf bekannte Schwachstellen bis hin zu Authentifizierungstools reichen, die es Cyberkriminellen wesentlich schwerer machen, Malware in Anwendungsentwicklungsumgebungen einzuschleusen. Die am einfachsten zu behebende Schwachstelle ist diejenige, die erst gar nicht existiert.

Diese Veränderungen sind insgesamt ein gutes Zeichen für die Zukunft der Cybersecurity. Jetzt geht es nur noch darum, dass sie eher früher als später verwirklicht werden.