Regulierung drängt zu Security-Investitionen
Von Ariane Rüdiger, freie Autorin (München)
Cyberresilienz bedeutet die Fähigkeit, die eigene Steuerungs- und Reaktionsfähigkeit während oder nach Cyberangriffen möglichst wenig einzubüßen bzw. rasch und mit wenig Schäden den regulären Geschäftsbetrieb wieder aufzunehmen. Doch anscheinend trauen sich immer weniger Firmen zu, auf diese Weise mit Angriffen fertig zu werden. Zumindest legen das die Daten aus einer Befragung von 379 deutschen Unternehmen unterschiedlicher Größenordnungen durch das Marktforschungsunternehmen Ponemon im Auftrag der IBM-Tochter Resilient nahe. Der Cyberresilienzstudie zufolge können deutsche Firmen Cyberattacken im Vergleich zum Vorjahr zwar ein bisschen besser detektieren, bei Vorbeugung, Eingrenzung und bei der Beseitigung der Folgen schätzen sie ihre Fähigkeiten aber um einiges schlechter ein als im Vorjahr.
Rätselhafte Ad-hoc-Pläne
Nur 31 % der Befragten gaben an, die Cyberresilienz habe sich in ihrem Unternehmen in den vergangenen zwölf Monaten insgesamt verbessert; als Gründe nennen sie vor allem Investitionen in Ausbildung oder Mitarbeiter (60 %), die komplette (43 %) oder teilweise (31 %) Auslagerung der Security Services an einen Dienstleister (43 %) und eine bessere Bezahlung der Sicherheitsspezialisten (41 %).
Deutsche Anwender entdecken Cyberattacken eher, sind aber weniger als bei der Vorgängererhebung imstande, ihnen vorzubeugen, sie einzugrenzen und sich von ihnen zu erholen. (Bild: Ponemon Institute – IBM Resilient Systems)
Hinderlich auf dem Weg Richtung Cyberresilienz ist nach der Erhebung vor allem die Komplexität von Geschäfts- (66 % Nennungen) und IT-Prozessen (64 %). Im Vorjahr wurden diese Hindernisse sehr viel seltener genannt – der Abstand macht jeweils über 20 % aus. Möglicherweise liegt das daran, dass die immer komplexeren Prozessketten, die interne und externe Akteure beim Einsatz neuer Technologien wie IoT, Cloud Computing oder Industrie 4.0 verbinden, es schwerer machen, alle Risikoquellen zu erkennen und möglichst auszuschließen. Der drittwichtigste Hemmschuh – gegenüber dem Vorjahr um 10 % häufiger genannt – liegt an der Strategie: ungenügendes Risikobewusstsein, fehlende Analysen und Risikoeinschätzungen (55 %).
„Der Schlüssel zu mehr Sicherheit ist ein Cyber Security Incident Response Plan (CSIRP)“, zeigte sich Paul Ayers, General Manager EMEA bei Resilient, der die Studienergebnisse in Deutschland vor der Presse präsentierte, überzeugt. Mit CSIRP ist eine umfassende, technologisch unterfütterte und formalisierte Notfallplanung gemeint. Einen konsistenten, das gesamte Unternehmen einschließenden CSIRP haben inzwischen 34 % der befragten deutschen Anwender – 18 % haben keinen. Der Rest liegt dazwischen: 24 % nutzen einen „informellen“ oder „Ad-hoc-CSIRP“, wobei man sich fragt, was das überhaupt sein soll, 24 % haben zwar einen CSIRP, der jedoch nicht im gesamten Unternehmen genutzt wird.
Hauptfehlerquelle Mensch
Von Menschen begangene Fehler schlagen am heftigsten auf die Cyberresilienz: 76 % der Unternehmen erlebten im vergangenen Jahr Zwischenfälle, die menschliche Schwächen zurückzuführen sind. Die zweithäufigste Form von Vorfällen war der Datendiebstahl (60 %). Gezielte, ausgefeilte Attacken (Advanced Persistent Threats) kamen seltener vor (23 %). Einen Erpressungsversuch mit Ransomware erlebten nur 10 % der befragten Firmen, was angesichts der Medienpräsenz des Themas eher wenig anmutet.
Als wichtigste Schadereignisse nannten die deutschen Befragten Angriffe mit Malware (71 %) und Phishing. Allerdings fehlte unter den Optionen, welche die Antwortenden bei dieser zweiten Erhebung auswählen konnten, ausgerechnet jene, die bei der ersten Erhebung die Umfrageteilnehmer aus der ganzen Welt am häufigsten (86 %) angekreuzt hatten: die Ausnutzung von Softwarefehlern. Es ist aber wohl kaum davon auszugehen, dass sich die Softwarequalität in der Zwischenzeit in Deutschland oder anderswo gravierend verbessert hat. Resilient erklärte die abweichenden Antwortoptionen beim zweiten, aktuellen Durchgang der Studie damit, man habe die abgefragten Schadereignisse stärker auf die Funktionen der eigenen Lösung zuschneiden wollen. Resilient bietet ein Softwaresystem für die Steuerung und Abwicklung der Incident-Response-Prozesse an. Wünschenswert wäre, dass das Thema Softwarequalität als Antwortoption in einer zukünftigen Runde der Untersuchung wieder auftaucht. Denn möglicherweise stiege bei ähnlich schlechten Ergebnissen der Druck auf die Softwareindustrie, endlich strengere Qualitätsmaßstäbe an die eigene Arbeit anzulegen.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Sonderheft zur CeBIT 2017. Das gab es vor Ort auf der Security Plaza, online ist es in Vollversion als freies PDF verfügbar. Einen Überblick mit Download-Links zu sämtlichen Einzelheften unserer Magazinreihen bekommen Sie online im Pressezentrum des MittelstandsWiki.
62 % der Befragten nehmen an Programmen teil, in deren Rahmen sie Informationen über Angriffe mit anderen Firmen ihrer Branche oder mit Behörden teilen. In dieser Gruppe geben 90 % an, dass sich die Aufstellung ihrer Unternehmen im Sicherheitsbereich verbessere, 79 % sagen, die Effektivität der Reaktionspläne werde größer. Wer seine Informationen nicht teilt, unterlässt dies vor allem deshalb, weil kein Vorteil für die eigene Organisation erkennbar ist (47 %), weil Ressourcen fehlen (40 %) oder weil die Kosten zu hoch sind (37 %). Die Angst, sensitive Informationen zu verraten (27 %) oder Nachteile im Wettbewerb zu erleiden (18 %), spielt offenbar weniger eine Rolle.
Regulierung wirkt!
Der wichtigste Antrieb für Sicherheitsinvestitionen ist jedenfalls für die deutschen Teilnehmer dieser Studie die EU-Datenschutz-Grundverordnung (69 %), die ab Mai 2018 auch hierzulande unmittelbar geltendes Recht wird. Lokale Gesetze geben 59 % als Grund für Security-Ausgaben an – das ist wenig verwunderlich, rangieren internationale Sicherheitsstandards wie Sarbanes-Oxley oder HIPAA (der Standard für die US-amerikanische Gesundheitsindustrie) doch weit dahinter. Von den internationalen Sicherheitsstandards motiviert PCI DSS noch am ehesten die befragten deutschen Anwender, Geld in die Hand zu nehmen (39 %). Regulierung scheint also durchaus zu wirken – ob nur auf die Investitionen oder auch auf das tatsächliche Sicherheitsniveau, wird sich in den kommenden Jahren zeigen.
Die EU-Datenschutzgrundverordnung ist für die befragten deutschen Anwender der derzeit wichtigste Grund, in IT-Sicherheitstechnologie zu investieren. (Bild: Ponemon Institute – IBM Resilient Systems)
Hinsichtlich der nutzbaren Sicherheitstechnologien schätzen die befragten Firmen ein funktionierendes Identitätsmanagement samt Authentifizierung am effektivsten ein; darauf folgen Plattformen für die Reaktion auf Sicherheitszwischenfälle (61 %), die Verschlüsselung ruhender Daten (57 %) sowie Intrusion Prevention and Detection (54 %).
Immerhin 42 % der befragten Unternehmen verhindern es inzwischen umfassend, dass Daten unerlaubt mit anderen geteilt werden, bei 39 % wird auch schon der Zugriff auf solche Daten streng begrenzt. 41 % unterbinden durchgängig den Zugriff auf unsichere Webseiten und -applikationen; 36 % steuern unsichere Mobilgeräte, 35 % sichern in der Cloud gespeicherte Daten, jeweils 33 % kontrollieren sorgfältig und umfassend Endpunkte und Mobilverbindungen und sorgen für effizientes Patch-Management. 32 % schließlich erlauben unsicheren Endgeräten nicht, auf Sicherheitssysteme zuzugreifen.
Zudem werden schon in vielen Unternehmen Management- und Governance-Maßnahmen konsequent umgesetzt. Am verbreitetsten unter den befragten Unternehmen sind klar definierte Sicherheitsregeln (68 %), Pläne für Backup and Recovery (61 %), Pläne für die gezielte Reaktion auf Sicherheitszwischenfälle (59 %), Risiko-Assessments der eigenen Sicherheitsarchitektur (54 %), die Einhaltung standardisierter Sicherheitsanforderungen (52 %) und regelmäßige Sicherheitstrainings für die Anwender (51 %).