Im aktuellen „Cyber Resilience Report 2020“ von IBM Security in Zusammenarbeit mit dem Ponemon Institut wird einmal mehr aufgezeigt, wie Unternehmen zum Thema „Security Maßnahmen“ aufgestellt sind. Eine Umfrage unter mehr als 3000 IT- und Sicherheitsverantwortlichen weltweit, mit dem Schwerpunkt aus den USA, Großbritannien und Deutschland, bietet ein ernüchterndes Bild. Lediglich ein Viertel der Befragten nutzte einen unternehmensweiten Cyber Security Incident Response Plan (CSIRP). Dies bedeutet, so IBM, dass drei Viertel spontan, inkonsistent oder ohne jeglichen Maßnahmenplan auf IT-Angriffe reagieren und so völlig unzureichend geschützt sind. Auch unter den Unternehmen mit einem CSIRP haben nur etwa ein Drittel klar definierte Leitfäden für einzelne, weitverbreitete Angriffsformen wie DDoS- (Distributed-Denial of Services) oder Schadsoftware-Angriffe. Rund 50% der Firmen, die über einen CSIRP verfügten, haben ihre Pläne allerdings noch nie revidiert oder feste Intervalle für Überprüfung und Überarbeitung festgelegt.
Fortschritte aber durchaus erkennbar
Die Studie zeigt allerdings auch positive Entwicklungen. Für Deutschland gaben 74% der Befragten an, dass sie Fortschritte bei der Krisenbewältigung von Cyberangriffen verzeichnen. Dies bezieht sich zum einen auf die Zeit, die sie benötigen um den Vorfall einzudämmen als auch auf die Zeitspanne den Angriff zu identifizieren. Je nach Branche ist der Reaktionsplan, mit dem sich Unternehmen gegen Angriffe vorbereiten, unterschiedlich. Während in der Industrie Vorfälle von innen am häufigsten genannt wurden, sind es im öffentlichen Sektor und im Einzelhandel Malware-Angriffe. Vor diesem Hintergrund ist es jedoch nicht nachvollziehbar, dass gerade bei stark ansteigenden Ransomware-Angriffen Krisenreaktionspläne so sträflich vernachlässigt werden.
Viel hilft viel?
Eine interessante Aussage der Studie ist, dass ein mengenmäßig größerer Einsatz von Security-Tools die Einhaltung von Sicherheitsstandards und die Umsetzung von Sicherheitsmaßnahmen erschwert. Durchschnittlich werden rund 20 unterschiedliche Tools bei einem einzigen Angriff auf die IT-Infrastruktur eingesetzt. Die Autoren der Studie befürchten, dass dies in den meisten Fällen mehr schadet als nützt. Darauf deuten auch die Studienergebnisse hin: Organisationen, die mehr als 50 Tools für ihre Security-Aufgaben im Einsatz haben, sind demnach schlechter bei der Erkennung von Attacken und schwächer in ihrer Reaktion als Firmen mit einer kleineren Anzahl an Security-Tools aufgestellt.
Anwenderschulung ist unerlässlich
Wenn es also darum geht, die Cyber-Widerstandsfähigkeit zu verbessern, sind Sicherheitskonzepte wichtig, aber auch die Schulung und Sensibilisierung der Mitarbeiter bis ins Management hinein ist essentiell. Mangelndes Bewusstsein und Unachtsamkeit bei den Anwendern stellen ein großes Risiko dar. Die Benutzer müssen die Funktionsweise von der oben genannten Malware verstehen. Sie müssen lernen, wie Phishing-Angriffe funktionieren und das Klicken auf unsichere Links, die Angabe von Zugangsdaten für gefälschte Websites und die mehrfache Nutzung von Passwörtern unterlassen. Security-Awareness-Trainings sind der erste Schritt.