Thought Leadership
Sicherheitsinitiativen, die von Security-Teams angestoßen werden, finden nicht in allen Abteilungen gleichermaßen Anklang. In IT-Abteilungen treffen IT- und Cybersecurity-Teams auf die meisten Widerstände, wie Ergebnisse der aktuellen Umfrage „OTRS Spotlight: Corporate Security 2023“ zeigen.
36 Prozent der Befragten in Deutschland geben an, dass die Zusammenarbeit bei Sicherheitsinitiativen mit der IT am schwierigsten ist. Mit einigem Abstand teilen sich Finanzen und Buchhaltung und der Vertrieb mit jeweils 25 Prozent den zweiten Rang der schwierigsten Kooperationspartner. Am leichtesten arbeitet es sich für Security-Teams mit der Personalabteilung zusammen. Diese wird nur von 16 Prozent als schwierigster Kollaborationspartner bei Security-Initiativen bewertet. Für die Umfrage hat das Softwareunternehmen OTRS AG in Zusammenarbeit mit dem Marktforschungsunternehmen Pollfish 500 IT- und Cybersecurity-Fachkräfte befragt, darunter 100 in Deutschland.
Unternehmensweit erhöhtes Sicherheitsbewusstsein durch Kollaboration von IT- und Security-Abteilung
„IT-Fachkräfte sind technisch versiert und haben daher oft ausgeprägte Meinungen und Vorlieben, beispielsweise bezüglich der Nutzung bestimmter Tools. Das kann leicht zu Reibungen zwischen ihnen und IT- und Cybersecurity-Spezialisten führen. Wenn es jedoch zu Kompetenzgerangel oder einer Verweigerungshaltung kommt, hilft das außer den Angreifern niemandem“, meint Jens Bothe, Vice President Information Security der OTRS AG. „Security-Teams und IT-Teams müssen eng zusammenarbeiten, um ein höchstmögliches Sicherheitslevel zu erreichen.“
Security-Teams, die mit dem IT Service Management (ITSM) in ihrer Organisation zusammenarbeiten, erreichen auch der Umfrage zufolge ein höheres Sicherheitsniveau. In Deutschland nennen mit 29 Prozent die meisten als einen der drei größten Vorteile, dass sie dank der Zusammenarbeit eine sicherheitsbewusste Organisationskultur durch gemeinsame Anstrengungen bei Sicherheitsschulungen erreichen. Effiziente Kommunikation (28 Prozent) und eine ganzheitliche Herangehensweise an die Verwaltung von IT-Systemen und ‑Services (26 Prozent) sehen nahezu ebenso viele als größte Vorteile an.
Geringe Kooperation in deutschen Organisationen
In deutschen Organisationen arbeiten IT- und Security-Teams jedoch noch vergleichsweise selten Hand in Hand. Während im Schnitt aller befragten Länder 82 Prozent manchmal oder sehr häufig mit ITSM-Teams zusammenarbeiten, sind es hierzulande nicht ganz zwei Drittel (65 Prozent). 12 Prozent gehen den Schulterschluss sogar nie ein, 11 Prozent nur selten. Diejenigen, die nie gemeinsame Sache mit dem ITSM machen, geben als Grund dafür am häufigsten an, den Wert der Zusammenarbeit nicht zu sehen (75 Prozent).
Ziehen die beiden Abteilungen an einem Strang, tun sie dies vor allem in den Bereichen Risikobewertung und Risikominderungsstrategien (43 Prozent), um Sicherheitsmechanismen in die Bereitstellung von IT-Services zu integrieren (42 Prozent) sowie bei Incident Response und Management (36 Prozent). International arbeiten mit durchschnittlich 45 Prozent viele auch zusammen, um Bedrohungen kontinuierlich zu überwachen und zu erkennen. Hier ist bei deutschen Security-Teams noch Luft nach oben: Nur rund ein Viertel (26 Prozent) stecken dafür ihre Köpfe mit dem ITSM zusammen.
Mitarbeitende sind für Phishing-E-Mails sensibilisiert
Ein wichtiger Fokus der befragten Security-Experten aus Deutschland liegt darauf, Anwender in ihrer Organisation für Sicherheitsbelange zu schulen und zu sensibilisieren. Knapp ein Drittel (32 Prozent) wünscht sich noch mehr Investitionen in Security Awareness Trainings. Ebenfalls ein Drittel (34 Prozent) arbeitet für solche Schulungen bereits mit dem ITSM zusammen. Das Bewusstsein dafür, wo Risiken lauern, ist in deutschen Unternehmen dementsprechend bereits relativ hoch. 30 Prozent der Security-Fachkräfte geben an, dass Bedenken über verdächtige E-Mails oder mögliche Phishing-Versuche zu den drei häufigsten Arten von Anfragen gehören, die sie von Anwendern innerhalb ihrer Organisation erhalten
Am zweithäufigsten werden sie um Hilfestellung bezüglich der sicheren Dateifreigabe und Nutzung von Kollaborations-Tools gebeten (28 Prozent). Meldungen über verlorene oder gestohlene Geräte mit sensiblen Daten folgen gleich danach auf dem dritten Rang (27 Prozent). In fast zwei von zehn deutschen Unternehmen (18 Prozent) können die befragten Security-Fachkräfte keine Aussage über diese Art von Anfragen tätigen, da diese dort vom ITSM-Team bearbeitet werden.
Jeder Fünfte sieht Phishing-E-Mails als größte Gefahr
Die hohe Sensibilität für verdächtige E-Mails kommt nicht von ungefähr. Jeder fünfte Befragte in Deutschland (21 Prozent) gibt an, dass Phishing-E-Mails für seine Organisation in der Vergangenheit das größte Risiko dargestellt oder ihr den größten Schaden zugefügt haben. Die ungesicherte Dateifreigabe und Nutzung von Kollaborations-Tools sowie persönliche Geräte, die für die Arbeit genutzt werden, sehen jeweils 10 Prozent als größte Gefahrenquelle.
„Eine kurze Unaufmerksamkeit, ein falscher Klick – es braucht nicht viel, um einer Organisation immensen Schaden zuzufügen. Daher ist es richtig, dass IT- und Cybersecurity-Teams so großen Wert darauf legen, alle Mitarbeitenden in ihrer Organisation für Gefahren zu sensibilisieren und zu schulen“, so Jens Bothe. „Damit das gelingt, müssen Security-Teams auch Rückendeckung aus dem obersten Management erhalten, um Sicherheitsmaßnahmen abteilungsübergreifend, effektiv und effizient implementieren zu können.“
Über die Umfrage „OTRS Spotlight: Corporate Security 2023“:
Die verwendeten Daten beruhen auf einer Online-Umfrage der Pollfish Inc. im Auftrag der OTRS AG, an der 500 IT- und Cybersecurity-Fachkräfte in Deutschland, USA, Brasilien, Mexiko, Singapur und Malaysia zwischen dem 05. und 08.09.2023 teilnahmen, darunter 100 in Deutschland.
Weitere Ergebnisse aus dem ersten Teil der Umfrage finden Sie in der Infografik, die hier zum Download zur Verfügung steht.
www.otrs.com
