Thought Leadership
Laut einer Studie von Kaspersky fehlt es bei deutschen Firmen an grundlegenden Security-Regeln und -Maßnahmen. Eine Überraschung ist das nicht, bereits früher kamen herstellerunabhängige Studien zu dem Ergebnis. Neu ist die Rolle, die Kaspersky dem Bereich Incident-Response bei der Prävention zuweist.
Es ist paradox: In Umfragen zu IT-Budget-Planungen von Unternehmen zählt der Punkt IT-Sicherheit regemäßig zu den Top-3-Aspekten. Sei es im State of Tech Spend Report von Flexera oder im Investitionsreport der Deutschsprachigen SAP Anwendergruppe e.V. (DSAG) oder in zahllosen Studien und Umfragen dazwischen, Security wird immer wieder als Top-Thema genannt, in das mehr investiert werden soll. Das sind nicht nur Lippenbekenntnisse und Absichtsbekundungen: Wie eine Erhebung des Bitkom zeigt, wird von Firmen in Deutschland tatsächlich immer mehr Geld für Cybersecurity ausgegeben.2022 waren es rund 7,8 Milliarden Euro, ein Plus von 13 Prozent im Vergleich zum Vorjahr.
Dennoch ist die Ausstattung selbst mit grundlegenden Technologien für IT-Sicherheit immer noch sehr mangelhaft. Einer aktuellen Studie von Kaspersky zufolge verfügt die Hälfte der Unternehmen in Deutschland verfügt nicht einmal über einen Basisschutz. Zum Beispiel hat jedes dritte Unternehmen keine Passwort-Richtlinie und schulen 37 Prozent ihre Mitarbeiter nicht regelmäßig zu Themen wie Spam oder Phishing. Nun könnte man einwenden, ein IT-Security-Anbieter, der mehr Produkte verkaufen will, müsse ja zu solchen Ergebnissen kommen.
Allerdings decken sich die Ergebnisse der Kaspersky-Studie durchaus mit früheren, unverdächtigeren Untersuchungen. Laut Bitkom hatte etwa im Herbst 2022 nur jedes zweite Unternehmen einen Notfallplan (eine organisatorische Maßnahme, die Experten übereinstimmend als unverzichtbare Grundlage sehen, und für die nicht einmal irgendeine Technologie erworben werden muss).
Was Versicherungswirtschaft, TÜV-Verband und Bitkom sagen
Auch das Ergebnis einer im Auftrag des Gesamtverband der Deutschen Versicherungswirtschaft (GDV) dieses Jahr von Forsa durchgeführten Umfrage in mehreren Branchen ist ernüchternd. So erfüllten in Handel und Logistik zum Beispiel nur 24 Prozent der untersuchten die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit.
In der Branche wurde denn auch schon fast jede vierte Firma (22 Prozent) bereits einmal Opfer einer Cyberattacke. Aufhorchen lassen auch die Zahlen des TÜV-Verbandes. Demnach waren alleine 2022 elf Prozent der Firmen in Deutschland von Sicherheitsvorfällen betroffen – mit einem Schaden von immerhin etwa 203 Milliarden Euro (laut Bitkom). Rein rechnerisch ist jedes Unternehmen also alle neun Jahre dran.
Bedeutung eines Incident-Response-Plans
Wie kommt es allerdings, dass Cybersicherheit einerseits so eine hohe Bedeutung beigemessen wird, die Ausgaben dafür stetig steigen und dann das Schutzniveau immer noch so niedrig ist? Darauf versucht die aktuell Kaspersky-Studie näher einzugehen. Waldemar Bergstreiser, General Manager Central Europe bei Kaspersky, mahnt: »Es liegt an der Führungsetage eines Unternehmens, vorab und gemeinsam mit den Sicherheitsteams die Vorgehensweise des Unternehmens bei einem Cybervorfall und dessen möglichen Folgen festzulegen.« Anders gesagt: Notfallmanagement oder Incident-Response müssen – ganz wichtig – vorab geklärt sein. Voraussetzung dafür ist die Ausarbeitung eines formellen Incident-Response-Plans.
»In diesem werden Zuständigkeiten festgelegt und Schritt für Schritt geklärt, wann und wie Cybersicherheitsteams auf verschiedene Angriffsarten reagieren und welche Maßnahmen sie zur Identifizierung und Behebung von Vorfällen einleiten müssen«, erklärt Bergstreiser. Und weiter: »Denn je früher eine Organisation auf einen Angriff reagiert, desto geringer sind die damit zusammenhängenden schädlichen Folgen. «
Cybersecurity in deutschen Firmen: mangelhaft
Vorbereitet zu sein, bedeutet aber eben nicht nur, zu wissen, wo die Feuerlöscher hängen und die Notausgänge sind, sondern schon vorher dafür zu sorgen, dass Brandherde erst gar nicht entstehen können. Neben den bereits erwähnten Passwort-Richtlinien und Awareness-Schulungen zu Themen wie Spam und Phishing gehören in der IT dazu zum Beispiel auch Anti-Phishing-Software (setzen nur 54,5 Prozent der Teilnehmer der Kaspersky-Umfrage ein). Ein weiteres Risiko: 42,0 Prozent der Unternehmen führen keine regelmäßige Datensicherung durch. Deren Bedeutung gerade im Zusammenhang mit Ransomware wurde inzwischen allerdings wirklich oft genug erklärt.
Kaspersky empfiehlt aber neben Tools auch viele organisatorische Maßnahmen Umfrage zeigt, die helfen könnten, besser zu reagieren. Ganz grundlegend sollen zum Beispiel alle Sicherheitsvorfälle strukturiert dokumentiert werden (tun nur 53,5 Prozent der Unternehmen in Deutschland). Auch eine definierte Stelle für die Meldung von Vorfällen wäre sinnvoll, haben aber ebenfalls nur gut die Hälfte der Unternehmen. Netzwerksegmentierung, um Geräte voneinander abzuschotten und die Ausbreitung von Malware zu verhindern oder Angreifern Übergriffe von gekaperten Geräten auf weitere Firmenressourcen zu erschweren, nutzen nur 47,5 Prozent. Lediglich 37,5 Prozent setzen Tools zur ersten Analyse von Sicherheitsvorfällen ein. Eine Patch-Management-Richtlinie haben derzeit nur 35,5 Prozent. Präventive Audits sind nur bei 34,5 Prozent üblich.
Selbstüberschätzung trägt zum Problem bei
Angesichts solcher Zahlen überrascht die Zuversicht der befragten IT-Entscheider, wenn es um die Erkennung von Sicherheitsvorfällen geht. 41,5 Prozent gehen davon aus, dass Sicherheitsvorfälle innerhalb weniger Minuten entdeckt werden; 40,5 Prozent glauben, dass dies innerhalb weniger Stunden der Fall sei.
Das ist gelinde gesagt sehr optimistisch: Der Mandiant Security Effectiveness Report 2020 kam zu dem Ergebnis, dass bei 53 Prozent aller erfolgreichen Cyberattacken die Angreifer unbemerkt ins Unternehmen kamen und bei 91 Prozent aller Vorfälle überhaupt kein Alarm ausgelöst wurde. Die Zahlen dürften sich in den vergangenen beiden Jahren nicht wesentlich verändert haben. Mandiant, das inzwischen zu Google gehört, weiß aber, wovon es spricht: Die Experten werden immer dann ins Unternehmen geholt, wenn es gekracht hat, um zu retten, was zu retten ist – und müssen dazu natürlich auch untersuchen, was überhaupt passiert ist und wie das passieren konnte.
Weiterführende Links:
