Thought Leadership
Der Übergang in eine hybride Arbeitswelt mit einer immer schneller wachsenden Anzahl verbundener Geräte und mobiler Mitarbeiter stellt Unternehmen vor beträchtliche Herausforderungen. Gründe dafür sind sich zunehmend auflösende Netzwerkgrenzen, hauptsächlich verursacht durch verteilte Organisationsstrukturen und den Datenfernzugriff.
Dem entgegen stehen immer raffiniertere Angriffstaktiken der Cyberkriminellen, insbesondere mit Ransomware. Diese gegensätzliche Konstellation hat gravierende Auswirkungen: In der State of Cybersecurity 2023 Studie von Sophos glauben 56 Prozent der in Deutschland befragten Teilnehmer, dass die Cybergefahren zu fortgeschritten sind, um sie allein bewältigen zu können. Als Folge ist der Bedarf an Cybersecurity as a Service (CSaaS) mit skalierbaren, zentral fernverwalteten und agilen Lösungen enorm und wird zusätzlich durch den eklatanten Fachkräftemangel angefeuert.
Realität und Verantwortung
Es ist fast schon an der Tagesordnung, dass über eine gefährliche Sicherheitslücke oder über einen Cybersicherheitsvorfall berichtet wird. Doch ist die Bedrohungslage vielleicht weniger spektakulär als berichtet wird? Oder wird vielleicht nur über die Spitze eines gewaltigen Eisbergs berichtet? Ergebnisse aus aktuellen Studien sprechen eine klare Sprache: Die Masse der Ereignisse bleibt tatsächlich im Verborgenen, denn worüber öffentlich berichtet wird, sind meist nur prominente Vorfälle, die keinesfalls die Gesamtheit darstellen.
Im aktuellen State of Ransomware-Report von Sophos wurden weltweit rund 3000 Unternehmen unterschiedlicher Größen und aus unterschiedlichen Branchen, darunter 500 aus der DACHRegion, nach Ransomware-Angriffen und den Folgen befragt. 61 Prozent der in DACH befragten Unternehmen bestätigen, dass sie mit Ransomware angegriffen wurden. Und obwohl das bereits weit über die Hälfte der befragten Unternehmen ist, kann bei der Raffinesse der Cyberkriminellen davon ausgegangen werden, dass ein zusätzlicher Prozentsatz die Angriffe gar nicht bemerkt hat – was abermals die Eisbergtheorie untermauert.
Betroffen sind alle Unternehmen und es gibt in einzelnen Marktsegmenten dabei kaum Ausreißer, die stärker oder geringer betroffen sind. Lediglich die IT-, Technologie- und Telekommunikationsbranche sowie die Produktion schaffen es mit 50 Prozent beziehungsweise 56 Prozent deutlich unter den Schnitt. Überdurchschnittlich häufig betroffen sind hingegen Regierungsbehörden mit 70 Prozent sowie der Bildungssektor mit fast 80 Prozent.
Angesichts der hohen Gefahrenpotenziale stellt sich die Frage, wer dafür verantwortlich ist, die Situation zu verbessern. Denn Ransomware-Angriffe können verheerende Auswirkungen für Unternehmen haben. Neben der Bezahlung der Lösegeldsummen, was 42 Prozent der Unternehmen in DACH für die Freigabe der verschlüsselten Daten tatsächlich tun, bringen vor allem die Folgeschäden durch Betriebs- und Produktionsausfälle die Unternehmen existenziell in Bedrängnis. 27 Prozent derer, die von Ransomware betroffen waren, bestätigen Summen von 500.000 bis 1 Million US-Dollar an Gesamtschaden, 15 Prozent berichten sogar von 1 bis 5 Million US-Dollar – ganz zu schweigen von der Zeit, die es benötigt, um die Systeme wiederherzustellen.
Dieser wirtschaftliche Schaden legt nahe, das die Verantwortung nicht nur in der IT-Abteilung liegen darf. In einer weiteren Studie von Sophos wird allerdings klar, dass das Thema Cybersicherheit zwar auf der Agenda der Unternehmensführungen angekommen ist.
Bei der Frage, wie eng die Umsetzung des Themas tatsächlich mit den Führungsetagen verknüpft ist, zeigen sich jedoch deutliche Unterschiede zwischen der Bewertung des IT-Sicherheitsbewusstseins der Chefetagen und der tatsächlichen operativen Verantwortung: Letztere liegt laut der Befragung der Führungskräfte bei den IT-Teams, obwohl sich die Chefs selbst mit über 80 Prozent ein hohes Sicherheitsbewusstsein attestieren. Bei nur rund 16 Prozent ist IT-Security tatsächlich Chefsache. Gleichsam hegt die Chefetage dennoch berechtigte Sorge um die wirtschaftlichen Auswirkungen und die Reputation des Unternehmens im Falle eines Cyberangriffs.
Dies zeigt deutlich, dass das Thema Cybersicherheit noch zu wenig wirkungsvoll in der Unternehmensstrategie verankert ist. Die hoffnungsvolle Nachricht: Knapp ein Drittel der Chefs setzt bei der Umsetzung der IT-Security nicht nur auf das interne IT- Team, sondern ergänzend auch auf IT-Dienstleister.
Es geht darum, Cyberangriffe so früh wie möglich zu entdecken
Als Antwort auf die sich verschärfende Bedrohungslage in Verbindung mit einer hybriden Arbeitswelt starten viele Unternehmen konzertierte Anstrengungen, um ihre Abwehrmaßnahmen zu stärken. Dabei wird aktuell ein dringend nötiger Paradigmenwechsel durchlaufen, durch den das Ziel einer Cybersicherheitsstrategie im Vergleich zu früheren Jahren deutlich verlagert wird: Es geht nicht mehr primär darum, Bedrohungen nach dem Entdecken unschädlich zu machen.
Das neue Hauptziel besteht darin, Bedrohungen wesentlich früher zu identifizieren und wenn möglich gleich am Anfang der Angriffskette zu stoppen – idealerweise bevor der Angreifer überhaupt umfänglich in Unternehmenssysteme eindringt. Die Schwierigkeit besteht darin, die ersten Signale eines potenziellen Angriffs zu erkennen. Laut der State of Cybersecurity 2023 Studie von Sophos sehen 59 Prozent der in Deutschland Befragten genau darin noch ein Problem.
Hierfür gibt es bereits Lösungsansätze. Mittlerweile sind speziell ausgebildete und international vernetzte Experten durch gezielte Bedrohungssuche und mit Hilfe von Künstlicher Intelligenz in der Lage, Lücken oder Schwachstellen frühzeitig zu identifizieren und zu schließen, bevor ein Angreifer sie ausnutzen kann. Durch die zentrale Steuerung dieser Abwehrmaßnahmen erreichen Unternehmen den optimalen Schutz – auch für hybride Arbeitsmodelle, egal ob im Büro, Zuhause oder unterwegs.
So bekannt das Problem, so aufwändig und schwierig ist allerdings die Umsetzung, da die Implementierung eines umfassenden Cybersicherheits-Ökosystems zwei maßgebliche Komponenten benötigt: die vernetzte und intelligente Kontrolle aller Endgeräte, Server und Netzwerke sowie die Unterstützung durch erfahrene Cybersicherheitsexperten, die aus Kosten- und Verfügbarkeitsgründen nur die wenigsten Organisationen intern vorhalten können.
Dass diese Grundpfeiler für eine moderne Cybersicherheitsstrategie oftmals noch nicht implementiert sind, ist besorgniserregend. Denn laut der Sophos-Umfrage „State of Cybersecurity in Business“ empfinden 93 Prozent der Unternehmen bereits die Durchführung klassischer Sicherheitsmaßnahmen als Herausforderung. Darüber hinaus sagen über die Hälfte der Befragten IT-Verantwortlichen, dass Cyberbedrohungen mittlerweile zu weit fortgeschritten sind, um sie als Unternehmen alleine bewältigen zu können – eine ernüchternde Realität.
Wie Unternehmen von Cybersecurity as a Service profitieren können
Die Lösung im Falle einer ungenügenden Cybersicherheit bietet sich in Form eines Cybersecurity-as-a-Service-Modells (CSaaS) an. Bei diesem Modell können drei entscheidende Säulen der Cybersicherheit miteinander vereint werden: die Nutzung eines intelligent vernetzten und integrierten Cybersicherheitsökosystems, der Betrieb und die Überwachung der Cybersicherheit durch einen spezialisierten Dienstleister und die Einbindung menschlicher Expertise in das Threat Hunting und in die Reaktion auf Risiken und Vorfälle.
Der CSaaS-Ansatz punktet in vier entscheidenden Bereichen:
#1 Konzentration auf das Wesentliche
Durch die Auslagerung oder Erweiterung der Cybersicherheit auf einen Managed Detection and Response (MDR)-Dienst erhalten Unternehmen die Möglichkeit, Sicherheitsvorgänge je nach Bedarf zu skalieren. Dadurch können sich IT-Verantwortliche auf umfassendere organisatorische Prioritäten konzentrieren und strategischer vorgehen, um ihr Unternehmen vor ständig wachsenden und sich ändernden Bedrohungen zu schützen. Mehr Konzentration auf strategische und wichtige Arbeit in der IT-Abteilung wünschen sich 55 Prozent der Befragten in der State of Cybersecurity 2023 Studie.
#2 Umgehung des Fachkräftemangels
Umfragen unter IT-Führungskräften haben ergeben, dass der Mangel an internen Fähigkeiten oder Fachwissen im Bereich Cybersicherheit heute als eines der drei größten Sicherheitsrisiken an gesehen wird. Das ist einer der Gründe, weshalb laut der Sophos Studie nur noch 4 Prozent der in Deutschland Befragten Cybersicherheit rein intern behandeln. Denn MDR-Anbieter können diese Lücke schließen, da sie kurzfristig und rund um die Uhr Hunderte von Fachkräften bereitstellen können – darunter Analysten, Forscher, Bedrohungsjäger und Datenwissenschaftler.
#3 Bestmögliche Nutzung bestehender Investitionen
Unternehmen befürchten oft, dass ein MDR-Anbieter automatisch ihre bestehende Infrastruktur umstrukturiert oder sogar ersetzt. Dies ist jedoch oftmals nicht der Fall. Moderne MDR-Services nutzen Telemetriedaten bestehender Tools, um die Erkennung und Untersuchung von Bedrohungen zu beschleunigen. Darüber hinaus entlastet ein MDR-Service die Mitarbeiter, sodass diese Projekte vorantreiben können, die andernfalls möglicherweise ins Stocken geraten wären.
#4 Bessere Cybersicherheit und TCO durch MDR
Insbesondere für kleinere und mittelständische Unternehmen ist es aus Kostengründen kaum möglich, in ausgewiesene Security-Spezialisten zu investieren. Dennoch muss der Cybersicherheitsbetrieb 24/7 aktiv sein, inklusive Forschung, Forensik und Reaktion. Dafür wären je nach Unternehmensgröße mindestens zwei dieser Experten nötig, um diese Position während Tag- und Nachtschichten, Urlauben, Krankheitstagen oder Schulungen etc. durchgängig zu besetzen. Da ein MSP seine Experten wesentlich effizienter über alle Kunden hinweg einsetzen kann, ist die Total Cost of Ownership (TCO) für die meisten Unternehmen mit einem MSP auch aus wirtschaftlicher Sicht die weitaus bessere Wahl.
Fazit
Der effizienteste Schutz vor Cyberattacken ist ein integriertes und intelligentes Cybersicherheitsökosystem, gepaart mit Künstlicher Intelligenz und menschlicher Security-Expertise in Form von MDR-Services. Damit sorgen Unternehmen nicht nur für die entscheidende Reduzierung des Cyberrisikos, sondern auch für das Erreichen einer Agilität, die eine zukunftsorientierte Gestaltung des Business und der Arbeitswelten möglich macht.
