Oberstes Gebot: Simplifizieren!

Eine wirksame Cyberabwehr ist nicht in erster Linie eine Frage des Budgets, auch wenn man das glauben könnte. Nur 13 Prozent der von dem Marktforschungshaus IDC befragten Security-Verantwortlichen in Deutschland nannten den Mangel an Budget für Investitionen als eine der größten Security-Herausforderungen. Selbst der viel diskutierte Fachkräftemangel liegt in der IDC-Studie „Cybersecurity in Deutschland 2022“ nur auf Platz drei der Herausforderungen in der Cybersicherheit. Während es der häufig in der Kritik stehende Datenschutz immerhin auf Platz zwei bringt, ist es die Komplexität der Security, die den meisten Unternehmen in Deutschland zu schaffen macht.

Und daran wird sich auch so schnell nichts ändern. Wenn nicht konsequente Gegenmaßnahmen ergriffen werden, ist eine baldige Besserung in puncto Security-Komplexität nicht in Sicht, im Gegenteil: Zwei Drittel der Befragten gaben an, dass ihre Security-Landschaften in den letzten zwölf Monaten komplexer geworden sind, und 71 Prozent gehen davon aus, dass die Komplexität in den nächsten zwölf Monaten weiter zunehmen wird.

Steigende Angriffszahlen, immer mehr Arbeitslast für die Security-Abteilung, aber auch die immer größere Security-Komplexität führen zu einer zunehmenden Eskalation in der Cybersicherheit. Gleichzeitig werden aus Sicht von IDC keine ausreichenden Gegenmaßnahmen ergriffen. Die Bewältigung vieler oder sogar aller anderen Security-Herausforderungen hängt den Analysten zufolge sehr stark davon ab, ob die Kernherausforderungen Komplexität und Fachkräftemangel angegangen werden.

Nicht nur der Wunsch nach mehr Einfachheit und Übersichtlichkeit sollte die Maßnahmen zur Reduktion der Security-Komplexität weit nach oben auf die Agenda der Security-Verantwortlichen bringen. Ohne diese Vereinfachung werden sich auch viele Probleme im Datenschutz, in der Netzwerksicherheit oder bei der Abwehr von Phishing und Ransomware nicht lösen lassen.

Nun ist es nicht so, dass die Unternehmen bislang untätig gewesen wären. So betreiben bereits rund 80 Prozent mindestens die Hälfte ihrer Security-Infrastrukturen in externen Umgebungen, um die eigene Security-Komplexität zu reduzieren, das Personal zu entlasten oder das Know-how zu ergänzen, berichtet IDC.

Die Nutzung externer Security-Services ist bekanntlich ein Weg, um dem Fachkräftemangel in der Security entgegenzutreten, doch auch die Risiken durch eine zu komplexe Security werden dadurch adressiert. So ist die Wechselwirkung von Komplexität und Fachkräftemangel ochgefährlich, wie IDC betont: Komplexität und Fachkräftemangel katalysieren sich gegenseitig, denn je größer die Komplexität, desto mehr Personal wird gebraucht, um ihr Herr zu werden, und je größer der Fachkräftemangel, desto weniger kann gegen die Komplexität unternommen werden.

Aber die Nutzung externer Security-Expertise alleine reicht nicht, um eine einfachere Security zu erreichen. Die Cybersicherheit ist deutlich zu heterogen, zu wenig „aus einem Guss“. Zu Recht beklagen 17 Prozent der Unternehmen eine unzureichende Integration und Rationalisierung in der Security.

Laut der Cybersecurity-Studie von IDC bekommt Security-Automatisierung und -Orchestrierung zu wenig Aufmerksamkeit. „Gemessen an der Security-Komplexität und dem Fachkräftemangel sollte diesem Thema wesentlich mehr Aufmerksamkeit beigemessen werden“, rät Marco Becker, Consulting Manager bei IDC und Studienleiter.

Hier sind allerdings auch die Security-Anbieter gefragt: Der Markt für Cyber- und IT-Security wird zunehmend unübersichtlich. Anwender können moderne Lösungen und ihren Nutzen immer schwieriger voneinander unterscheiden, und auch die Lösungen selbst sind ohne spezifisches Fachwissen oft nur schwer zu betreiben und zu bedienen. Die Folge kann ein Wildwuchs sein, mit vielen ungenutzten Funktionen, die kaum ein Anwenderunternehmen kennt.

Deshalb forderte IDC bereits 2021: Security-Anbieter müssen die Unternehmen mit Beratung und Schulungen unterstützen, mit anderen Anbietern den Schulterschluss suchen und die Integration ihrer Lösungen in Security-Plattformen und Ökosystemen vorantreiben und schlussendlich ihre Lösungen Cloud-ready machen. Zudem sollten Security-Anbieter auch verstärkt an der Optimierung ihrer Lösungen für Managed-Service-Provider arbeiten, um gemeinsam auch die komplexen, aber nötigen IT-Security-Lösungen als Managed Service anbieten zu können. Doch auch die Anwenderunternehmen sind gefragt, ihr Verständnis von einer einfachen und effektiven Cyber­sicherheit zu überdenken.