Wirtschaftliche Unsicherheiten führen zu Budgetkürzungen, Entlassungen oder Einstellungsstopps – auch in der IT. Das ist in vielerlei Hinsicht gefährlich. Angreifer warten nur darauf, daraus resultierende Schwachstellen und Angriffsflächen auszunutzen.
Positiv sind ein stärkeres Sicherheitsbewusstsein in Unternehmen und der Wegfall von immer mehr Silos. Weniger zuversichtlich machen geplante Entlassungen und Budgetkürzungen, welche auch die Sicherheitsteams betreffen.
Die gute Nachricht zuerst
GitLab, Anbieter der gleichnamigen DevSecOps-Plattform, veröffentlichte im April 2023 seinen jährlichen Global DevSecOps Report 🌐. Dazu befragte das Unternehmen ca. 5.000 IT-Führungskräfte, CISOs und Entwickler in Branchen wie Finanzdienstleistungen, Automotive, Gesundheitswesen, Telekommunikation und Technologie zu Erfolgen, Herausforderungen und Hauptprioritäten bei der Umsetzung von DevSecOps-Prinzipien.
Erfreulich ist das gestiegene Sicherheitsbewusstsein in Unternehmen und Erkenntnisse wie die Einbindung der Sicherheit in den Softwareentwicklungszyklus oder die Notwendigkeit der Zusammenarbeit von Entwicklungs-, Sicherheits- und Betriebsteams sowie Tests, Qualitäts- und Leistungsbewertungen möglichst frühzeitig durchzuführen (Shift-Left-Ansatz). Letztes senkt nicht nur die Entwicklungskosten sondern erhöht vor allem die Qualität.
Entwickler und Sicherheitsexperten berichten nach wie vor von einem erheblichen Zeitaufwand für z. B. die Verwaltung der Toolchain. Das minimiert die zur Verfügung stehende Zeit für wichtige Aufgaben wie die Einhaltung von Compliance-Vorschriften. Künstliche Intelligenz (KI) und maschinelles Lernen (ML) sind zu entscheidenden Komponenten von DevSecOps-Workflows geworden. Automatisierung und KI/ML helfen u. a. beim Testen und der Prüfung von Code. Fehler werden zuverlässiger und früher erkannt.
Die konsistente Überwachung und kohärente Erkenntnisse über alle unterschiedlichen genutzten Tools hinweg zu gewährleisten ist ohne Unterstützung moderner Plattformen unmöglich. Dabei würden Verantwortliche gern mehr tun. 44% der Befragten aus dem öffentlichen Sektor gaben an, sechs oder mehr Tools für die Softwareentwicklung zu verwenden. In einigen Fällen kommen 15 oder sogar mehr Tools zum Einsatz. 59% der Befragten aus den Bereichen US-Regierung und Luft- und Raumfahrt/Verteidigung wollen ihre Toolchain konsolidieren.
85% der befragten Sicherheitsexperten gaben allerdings an, dass sie über das gleiche oder ein geringeres Budget verfügen als 2022. Das bedeutet nicht nur, mit weniger mehr erreichen zu müssen. Vor ist die wichtige Modernisierung der IT-Sicherheit oft nicht möglich. Das ist nicht nur ein Sicherheitsrisiko. Es führt zu Überlastung und Unzufriedenheit in den ITOM- und Cybersecurity-Teams. Das wiederum resultiert in Kündigungen und noch mehr Personalmangel – ein Teufelskreis.
Bereits im August 2022 offenbarte der IT Operations Survey Results Report 2022 von Kaseya, dass unzureichende IT-Budgets und -Ressourcen und Altsysteme Wachstum und Innovation behindern. Ein Trend, der sich auch 2023 fortsetzt. Während jedoch die Budgetkürzungen im Bereich IT-Sicherheit und Entlassungen zum Teil ganzer Cybersecurity-Teams weitergehen, nehmen die Schwachstellen und damit die Angriffsflächen zu.
Mit einer aktuellen Studie bestätigen die Sicherheitsexperten von HackerOne, dass Personal- und Ressourcenkürzungen die Bekämpfung von Bedrohungen einschränken. 67% der von HackerOne befragten Unternehmen gaben an, dass sich Kürzungen negativ auf ihre Fähigkeit auswirken, Cybersecurity-Probleme effektiv zu lösen.
Allerdings hat auch die Hälfte der an der Studie teilnehmenden Unternehmen eine Zunahme der Systemschwachstellen in den letzten 12 Monaten festgestellt. Eine Mehrheit befürchtet sowohl finanzielle (84%) als auch Reputations-/Markenschäden (83%) durch Sicherheitsverletzungen. Für den 2023 Attack Resistance Report befragte HackerOne mehr als 800 IT-Führungskräfte in amerikanischen und europäischen Unternehmen zu Auswirkungen der sich schnell verändernden Anwendungslandschaft auf die Bereitschaft zur Abwehr von Cyberangriffen.
Ist der Ruf erst ruiniert…
Trotz der Sorge über finanzielle Schäden und Imageverlust planen Unternehmen weiterhin Entlassungen und Budgetkürzungen, welche auch die Sicherheitsteams betreffen. In den letzten 12 Monaten haben 39% der Unternehmen Personal im Sicherheitsbereich abgebaut. 40% planen Entlassungen innerhalb der nächsten 12 Monate. 34% der Unternehmen haben sogar ihre Sicherheitsbudgets gekürzt. Ein Viertel rechnet mit Kürzungen in den nächsten 12 Monaten. Paradox ist die Verschwendung wertvoller Budgets aufgrund von Ineffizienzen in den Sicherheitsprozessen im Tech-Stack oder dem Software Development Lifecycle (SDLC). Ein Drittel der Unternehmen gab zu, Software-Schwachstellen zu spät im SDLC zu finden. Viele betrachten Cybersicherheit immer noch als Innovationsblocker.
Unbekannte Assets und unentdeckte Schwachstellen machen es Angreifern jedoch leicht. Statt weiterhin Geld für ineffiziente Prozesse, hohen manuellen Aufwand und Folgeschäden auf Grund unentdeckter Fehler und Schwachstellen zu verbrennen, können die Gelder sinnvoller für die Modernisierung der IT-Services gesteckt werden. Tipps für die Beschaffung gibt es in unserem Für-mehr-Seurity-Tipp #6.
Nicht zu unterschätzen sind auch Folgekosten wie Prämien für Cyberversicherungen oder rechtliche Konsequenzen für Geschäftsführer und Vorstände. Der effektive Schutz vor Cyberattacken ist Teil der unternehmerischen Verantwortung. Wer keine geeigneten Maßnahmen ergreift, handelt grob fahrlässig. Immer öfter machen Gerichte Unternehmer und Verantwortliche für ihre Nachlässigkeit haftbar – auch persönlich (§ 91 Abs. 2 und § 93 Abs. 2 AktG bzw. § 43 Abs. 1 GmbHG).
Wer jetzt übrigens noch denkt, ihn beträfe das alles nicht, sollte einen Blick auf NIS-2 Richtlinie und das darauf basierende IT-Sicherheitsgesetz 3.0 werfen. Mit den Neuerungen wird der Geltungsbereich ausgeweitet und Auflagen wie verpflichtende Inventarisierung und effektive Angriffserkennung betreffen dann weit mehr Unternehmen als die klassischen KRITIS-Betreiber. Auch Versicherer verschärfen die Auflagen für ihre Cyberschutz-Policen.
Fazit
Konsolidierung von Tools und Services bzw. Anbietern ist eine gute Strategie, die Budgets zu reduzieren. Sicherheitsbudgets zu kürzen oder auf moderne Werkzeuge sowie Strategien wie DevSecOps, KI, Automatisierung und Zero-Trust zu verzichten, ist unverantwortlich und stellt ein großes Risiko dar.
Wer unter Fachkräftemangel leidet, kann über Bug-Bounty-Programme nachdenken.
Cloud- und KI-gestützte Plattformen sind nicht nur oft günstiger als der eigene heterogene Hardware-Zoo, sondern auch viel effektiver.
Lest auch unsere Trends 2023 für Enterprise-IT und wie Unternehmen ihre Widerstandsfähigkeit erhöhen können.