84 % der Unternehmen wollen ihr Budget für Cyber Security erhöhen und 75 % planen, in den kommenden 12 Monaten generative KI für die Cyberabwehr zu nutzen – das sind zwei der wichtigsten Ergebnisse unserer diesjährigen globalen „Digital Trust Insights“-Studie. Was Organisationen in 2024 priorisieren sollten? Lesen Sie dazu meine sechs Handlungsempfehlungen.
Während bereits umfassende Regulierungsansätze wie der EU AI Act auf dem Weg sind und Organisationen dabei sind, die Vorteile von KI zu nutzen, muss die Aufmerksamkeit weiterhin darauf gerichtet werden, Leitplanken und solide Grundlagen für KI zu schaffen. Ich erwarte, dass ein Großteil dieser Aufgaben bei den CISOs landen wird, auch wenn dies eindeutig eine umfassendere unternehmerische Verantwortung erfordert. Dazu gehören Datengrundlagen für KI, rollenbasierte Zugriffskontrollen und Maßnahmen, um eine verantwortungsbewusste und vertrauenswürdige Nutzung von KI zu gewährleisten. CISOs sollten auch die neuen Bedrohungen und Chancen im Zusammenhang mit KI zum Schutz der Organisation in Betracht ziehen. Denn bei einigen Unternehmen besteht bereits Nachholbedarf: Für 42 % der Befragten unserer „Digital Trust Insights“-Studie werden die mit generativer KI verbundenen Risiken noch nicht im Risikomanagement berücksichtigt. Das wird sich 2024 ändern müssen.
Vor den Risiken für die Verschlüsselung durch Quantencomputer warnen Expert:innen bereits seit vielen Jahren. Die Gen AI-Revolution gibt nun neuen Auftrieb für die Entwicklung von Quantencomputing – zum Teil, weil KI letztendlich durch unsere Fähigkeit begrenzt ist, weiterhin mehr Rechenleistung aus siliziumbasierten Hardwarekomponenten herauszuholen. Die beiden Technologien kombiniert werden zum echten Game Changer.
„Aus meiner Sicht sollten CISOs die Entwicklungen genau verfolgen und Quantum-Readiness-Programme neu priorisieren sowie ihre Fähigkeiten und ihr Wissen in diesem Bereich erweitern. Unsere „Digital Trust Insights“-Studie zeigt, dass 45 % der Befragten dieses Risiko noch nicht in ihr Risikomanagement integriert haben.“
Mit DORA, NIS-2, dem Cyber Resilience Act oder dem EU AI Act kommen eine ganze Reihe neuer Gesetze auf europäische Unternehmen zu. Globale Unternehmen sehen sich zudem auch überschneidenden Regulierungen aus anderen Rechtsprechungen gegenüber, einschließlich den USA und China. Ein Ergebnis der Regulierungswelle ist das, was wir als die „Neue Ära der Cybersicherheits-Transparenz“ bezeichnen – eine Ära, bei der die Berichterstattung über Cybervorfälle und -praktiken von einer freiwilligen zu einer obligatorischen Aufgabe umschwenkt. Das erfordert erweiterte Fähigkeiten. CISOs müssen in der Lage sein, operative Cyber-Reportings in Berichte zu übersetzen, mit denen Vorstände arbeiten können. Nur so gelingt es, die notwendigen Budgets für effektive Schutzmaßnahmen passgenau zu skalieren. In unserer „Digital Trust Insights“-Studie gaben 73 % der befragten Unternehmen an, dass die Anpassung an harmonisierte Cyber- und Datenschutzgesetze signifikante Mehrkosten mit sich bringt. Dem sollten CISOs im Jahr 2024 systematisch zuvorkommen.
Ich empfinde die Cyber-Security-Branche oft als nicht schnell genug, um auf die enormen Veränderungen und die vielfältigen neuen Fähigkeiten zu reagieren, die erforderlich sind, um Cybersicherheit in modernen Unternehmen effektiv als Risiko zu managen. Von technologiebasierten Skills wie der Sicherung von Multi-Cloud-Umgebungen, in denen alles softwaredefiniert ist, über KI und Quantencomputing bis hin zur Konvergenz von OT/IT – es braucht an vielen Stellen neue Kompetenzen. Dazu gehören nicht nur technische Skills, sondern auch geschäftsorientierte Fähigkeiten, um in Krisensituationen effektiv zu handeln und die Anforderungen der „Neuen Ära der Cybersicherheits-Transparenz“ zu erfüllen.
„Der kontinuierliche Weiterbildungsbedarf von Geschäftsleiter:innen und Cybersicherheitsexpert:innen war noch nie so groß und sollte ganz oben auf der Agenda von Vorstand und CISO stehen. Letztendlich benötigen Unternehmen ein klares Bild des erforderlichen Skillsets, das intern aufrechterhalten werden muss und das extern bezogen werden kann.“
Die meisten Organisationen, mit denen ich spreche, sind schlichtweg unzufrieden mit dem Wert, den ihnen Cyber Managed Services bieten. Da CISOs verstärkt für das Reporting der Ergebnisse gegenüber der C-Suite verantwortlich sind, benötigen sie Anbieter, die Ihnen bei der Erreichung dieser Ergebnisse helfen können – beim Management von Cyberrisiken, der Erhöhung der Resilienz, der Optimierung von Kontrollsystemen, der Berichterstattung über die Wirksamkeit von Kontrollen und der Kostenreduktion durch Fokussierung auf die richtigen Aspekte. Viele Cyber Managed Services sind nach wie vor Erweiterungen von ticketbasierten IT-Managed-Services und bieten nur sehr wenig Mehrwert für das Management von Cyberrisiken. Gleichzeitig haben KI und die Cloud zusammen mit integrierten Cybersicherheitsplattformen das Potenzial, den Markt für Cyber Managed Services vollständig zu verändern und dabei zu helfen, die benötigten Ergebnisse für das Geschäft besser zu liefern. Im Jahr 2024 ergeben sich für CISOs neue Möglichkeiten, die Beschaffungsstrategie für Cybersicherheit zu überprüfen und die Effektivität zu verbessern.
Getrieben von der Notwendigkeit nach mehr Transparenz, erhöhter Sicherheit, Reduzierung von Komplexität und Kostensenkungen, werden Organisationen auch im Jahr 2024 weiterhin auf integrierte Cybersicherheitsplattformen umsteigen. Laut unserer „Digital Trust Insights“-Studie zufolge haben bereits 92 % der Organisationen begonnen, ihre Cyber-Tech-Stacks zu konsolidieren oder planen dies in den nächsten zwei Jahren. Dabei spielen integrierte Technologie-Plattformen für Cyber Security eine zentrale Rolle.
„Integrierte Technologie-Plattformen ermöglichen die schnelle Integration neuer Sicherheitslösungen, reduzieren redundante Prozesse und stärken die Verteidigung gegen Bedrohungen. Der Trend zur Konsolidierung wird 2024 weiterhin an Fahrt gewinnen und Chancen sowie Herausforderungen mit sich bringen, denen CISOs aufmerksam begegnen sollten.“