Bei der Cybersicherheit steht heutzutage viel auf dem Spiel und die Erwartungen an CISOs, Sicherheitsverantwortliche und ihre Teams sind hoch. Nicht immer gelingt es ihnen, diesen Druck ausgleichen, und so ist Burnout unter Cybersecurity-Professionals keine Seltenheit. Dies hat auch massive Auswirkungen auf die Sicherheitslage der Unternehmen.
Ein Beitrag von Art Gilliland, Chief Executive Officer, Delinea.
Jeden Tag sind Millionen von Menschen von den Folgen von Cyberkriminalität direkt oder indirekt betroffen – sei es durch Betrug, Datendiebstahl oder die Unterbrechung kritischer Lieferketten und Infrastrukturen. Längst ist der Schutz unserer digitalen Werte mit großer Dringlichkeit in den Mittelpunkt gerückt.
So haben Regierungen mit Regularien und Vorschriften wie der DSGVO oder NIS2 konkrete Rahmenbedingungen für den Datenschutz und die Bekämpfung der Cyberkriminalität geschaffen. Und auch die Privatwirtschaft hat den Cyberkriminellen den Kampf angesagt, etwa indem sie ihre Budgets für die Cybersicherheit in den letzten Jahren aufgestockt hat.
Burnout bei mehr als der Hälfte der Sicherheitsexperten
Vor allem der Arbeitsalltag von CISOs und Sicherheitsteams hat sich mit der verschärften Bedrohungslage und den vielfältigen neuen Regularien in den vergangenen Jahren stark verändert. Die Abwehr einer zunehmenden Zahl von Cyberrisiken ist nicht nur zeit- und ressourcenaufwendig, sondern konfrontiert die Security-Verantwortlichen auch mit wachsendem Druck.
Die Folge davon sind Stress, viele Überstunden und Mitarbeitende, die sich psychisch und physisch zunehmend unwohl fühlen. Laut dem Voice of the CISO Report 2023 waren 54 Prozent der deutschen CISOs in den letzten 12 Monaten von einem Burnout betroffen.
Dies liegt auch daran, dass den Sicherheitsteams zunehmend ein hohes Maß an Verantwortung auferlegt wird, das die Betroffenen zusätzlich stresst. So sehen sich 55 Prozent der deutschen CISOs Berichten zufolge etwa mit unangemessenen Erwartungen konfrontiert. Aber auch die persönliche Haftung bereitet den IT-Sicherheitsverantwortlichen vermehrt Sorge, wie 52 Prozent der Befragten bestätigen.
Was es bedeutet, wenn Sicherheitsmitarbeiter zur Rechenschaft gezogen werden, zeigt ein Fall aus den USA. Im Jahr 2022 befand ein US-Bundesgericht den ehemaligen CSO von Uber für schuldig, einen massiven Datendiebstahl verschleiert zu haben, nachdem er es versäumt hatte, den staatlichen Aufsichtsbehörden eine Sicherheitsverletzung mitzuteilen, von der die persönlichen Daten von mehr als 57 Millionen Uber-Mitarbeitern und -Kunden betroffen waren.
Abwärtsspirale: Stress erhöht Risikoverhalten
Dabei trägt all der arbeitsbedingte Stress in der Cybersicherheitsbranche letztlich dazu bei, dass das Risiko für Unternehmen weiter steigt. Denn viele Cybersicherheitsexperten überdenken ihre Position und ihre Karriere und wechseln in andere Bereiche, wodurch sich der Fachkräftemangel nochmals verstärkt und die Sicherheitslage der Unternehmen nochmals verschlechtert.
Wie eine Befragung von 3.200 Cybersecurity-Professionals offenbart hat, sehen 51 Prozent der CISOs ihr Unternehmen durch den Mangel an qualifizierten Cybersecurity-Mitarbeitern einem mäßigen bis extremen Risiko ausgesetzt.
4 Schritte für mehr Entlastung der Sicherheitsteams
Auch wenn es keine magische Formel gibt, mit der die Sicherheitsteams die vielfältigen Herausforderungen und Belastungen einfach wegzaubern können, so können sie doch verschiedene Maßnahmen umsetzen, um den Stress und die Ermüdung, die der permanente Kampf gegen die Cyberbedrohungen mit sich bringt, nachhaltig zu verringern. Dazu gehören unter anderem:
- Die Automatisierung von Sicherheit
Das wohl wichtigste Instrument im Kampf gegen den Burnout ist eine flächendeckende Automatisierung. Denn indem Routinearbeiten und sich wiederholenden Aktionen automatisiert werden, fällt ein Großteil der zeitraubenden und mühsamen Aufgaben der Security-Teams weg. Dies kann auch helfen, den Fachkräftemangel zeitweise auszugleichen.
Damit die gewünschte Entlastung eintritt, sollten die Verantwortlichen jedoch darauf achten, dass automatisierte Lösungen nahtlos in die Sicherheitsinfrastruktur eines Unternehmens integriert werden können und eine benutzerfreundliche Schnittstelle sowie hohe Skalierbarkeit bieten.
- Der Schutz der Benutzer vor sich selbst
Der hohe Grad der Zielgerichtetheit sowie die Raffinesse, die Cyber-Angreifer mittlerweile an den Tag legen, führt immer wieder dazu, dass selbst gut geschulte Mitarbeitende zu Aktionen verleitet werden, die die IT-Umgebung gefährden und Angreifern die Tür zu den Systemen öffnen. Die Implementierung einer mehrschichtigen Authentifizierung sowie die konsequente Eliminierung unbegrenzt gültiger Zugriffsrechte ist daher umso wichtiger.
Nur so kann sichergestellt werden, dass Hacker keinen weitreichenden Schaden anrichten, sobald sie sich einmal Zugriff verschafft haben. Ein starkes erweitertes Privilege-Access-Management, das sämtliche Benutzer und Identitäten abdeckt, kann die Angriffsfläche eines Unternehmens nachhaltig minimieren.
- Der Abschluss einer Cyberversicherung
Um die finanziellen Auswirkungen eines Cybervorfalls besser steuern zu können und den Druck von den Mitarbeitende zu nehmen, sollten Unternehmen den Abschluss einer Cyberversicherung in Betracht ziehen. Wie eine Delinea-Studie aus dem Jahr 2022 gezeigt hat, haben fast 80 Prozent der Unternehmen, die eine Cyberversicherung abgeschlossen haben, bei ihrem Versicherer bereits Ansprüche geltend gemacht, mehr als die Hälfte davon mehrfach.
- Das Aufstellen der Cybersicherheit als eine gemeinsame Verantwortung
Die Zeiten, in denen der Schutz eines Unternehmens ausschließlich in der Verantwortung des Sicherheitsteams lag, sind längst vorbei. Mit der veränderten Unternehmensdynamik und der Einführung von Cloud- und SaaS-Technologien ist jeder Mitarbeitende ein Ziel für Cyberkriminelle und damit ein potenzieller Einstiegspunkt.
Die Einführung eines Least-Privilege-Ansatzes, bei der jeder nur so viel Zugriff hat, wie er tatsächlich braucht, und die Schaffung einer Umgebung, in der die gesamte Belegschaft mit den grundlegenden Kenntnissen, Fähigkeiten und Technologien ausgestattet ist, macht hier den Unterschied. Ist sich jeder seiner Verantwortung bewusst und handelt entsprechend, können bösartige Aktivitäten nachhaltig verhindert werden.
Angesichts der derzeitigen politischen Konflikte und des hohen Fachkräftemangels – der BSI spricht von 137.000 fehlenden IT-Fachkräften in Deutschland – ist nicht mit einer Entspannung der Lage und damit einer Entlastung der IT- und Security-Teams zu rechnen – so viel steht fest. Um trotz dieser Umstände gut aufgestellt zu sein, muss die Unternehmensleitung gut mit den Verantwortlichen für Cybersicherheit zusammenarbeiten und gemeinsam die IT-Infrastruktur sorgfältig evaluieren.
So können sie Budgets und Ausgaben anpassen, die Notwendigkeit eines Versicherungsschutzes diskutieren, Bereiche identifizieren, in denen Aufgaben automatisiert werden können, und eine Strategie entwickeln, die die gesamte Belegschaft umfasst.