Cyber-Resilienz Programme greifen laut Studie zu kurz
von Tina Siering
Warum Cyber-Resilienz ganz oben auf der Liste der strategischen Unternehmensziele steht
Die Studie "2023 Cyber Workforce Resilience Trend Report" von Immersive Labs, einem Unternehmen für mitarbeiterzentrierte Cyber-Resilienz, zeigt, dass Unternehmen angesichts der steigenden Zahl von Cyberangriffen und der akuten Bedrohungslandschaft stark auf den Aufbau einer ganzheitlichen Cyber-Resilienz setzen. Cyber Resilience als Maßnahmenpaket kann Cyberangriffe auf die IT-Infrastruktur verhindern – oder nach einem erfolgten Angriff eine schnelle Wiederaufnahme und den sicheren Weiterbetrieb der IT sicherstellen. Es betrifft viele Teilbereiche eines Unternehmens oder einer Organisation, nicht ausschließlich IT-Sicherheitsteams. Im Rahmen der Studie wurden 570 Cybersicherheits- und Risikoverantwortliche in den USA, England und Deutschland (Unternehmen mit mindestens 1.000 Mitarbeitenden) befragt.
Obwohl 86 Prozent der befragten 570 Sicherheitsverantwortlichen bereits über ein Cyber-Resilienz-Programm in ihren Unternehmen verfügen, fehlt es laut über der Hälfte der Befragten an einem ganzheitlichen Ansatz zur Beurteilung der Cyber-Resilienz. Die wichtigsten Schwerpunkte liegen für Unternehmen in der gesamtunternehmerischen Stärkung unter Berücksichtigung der gesamten Belegschaft. Trotz dieser Bemühungen geben 53 Prozent der Befragten an, dass ihre Mitarbeiterinnen und Mitarbeiter nicht ausreichend darauf vorbereitet sind, mögliche zukünftige Cyber-Angriffe jeglicher Art zu erkennen und abzuwehren.
Die Studie betont die Notwendigkeit effektiver und modernisierter Cyber-Resilienz-Programme, die nicht nur auf Cybersicherheitsteams zugeschnitten sind. Vielfach wird von Unternehmen der Zweifel geäußert, dass die Mitarbeitenden nicht wissen, wie sie auf Cybersicherheitsvorfälle konkret reagieren sollen. In der Folge wird die Verlässlichkeit von Branchen-Zertifizierungen und Präsenzschulungen in Frage gestellt. Geeignete Kennzahlen zur Messung der eigenen Cyber-Resilienz liegen bei vielen Firmen oftmals nicht vor, Vorstands- und obersten Führungsebene verkennen noch häufig die Dringlichkeit und den Handlungsbedarf und noch zu wenige Entscheider (46 %) verlangen konkrete Nachweise über die unternehmenseigene Widerstandskraft.
Die Ergebnisse der Studie deuten darauf hin, dass das Thema Cyber-Resilienz zwar eine hohe Priorität in der strategischen Ausrichtung hat und ausreichend Trainings und Programme am Markt vorhanden sind, die bestehenden Strukturen und Trainingsmethoden jedoch als ineffizient zu bewerten sind.
Erkenntnisse der Studie
- Unkenntnis der Mitarbeitenden
46 Prozent der Befragten glauben, dass die Mitarbeitenden trotz Schulung nicht wissen, wie sie mit Phishing-Mails umgehen sollen.
Die Aufrechterhaltung des Geschäftsbetriebs ohne den Ausfall wichtiger IT-Systeme, die manuelle Bearbeitung zeitkritischer Prozesse und die Vermeidung der Beeinträchtigung des Wiederherstellungsprozesses durch den Anschluss kompromittierter Geräte an das Netzwerk gehören zu den vorrangigen Aufgaben. - Zu wenig Schulungen
Infragestellung der Zuverlässigkeit von Branchenzertifizierungen und Präsenzschulungen beim Aufbau von Cyber-Resilienz: Während fast alle Unternehmen Branchenzertifizierungen befürworten, halten nur 32 Prozent diese für effektiv bei der Eindämmung von Cyber-Bedrohungen. Präsenzschulungen werden zu selten angeboten, um wirksam zu sein: Nur 27 Prozent der Befragten geben an, monatlich an Schulungen teilzunehmen. - Branchen-Zertifizierungen nicht effizient
Während so gut wie alle UnternehmenBranchen-Zertifizierungen fördern, sehen sie nur 32 Prozent als effektives Mittel zur Eindämmung aktueller Cyberbedrohungen. - Fehlendes Kennzahlen-Framework zur Messung
46 Prozent gab an, über keine erforderlichen Kennzahlen zu verfügen, mit denen sich die Widerstandsfähigkeit der Mitarbeiter im Falle eines Sicherheitsvorfalls nachweisen ließe. Nur ein verschwindend geringer Teil der Unternehmen (6 Prozent) kann mit aussagekräftigen Kennzahlen die Cyber-Resilienz der Teams gegenüber der Geschäftsführung nachweisen, wie z.B. Response-Zeiten bei der Behebung einer Schwachstelle. - Mangelnde Sensibilität der Führungsebene
In nur knapp der Hälfte der befragten Unternehmen (51 Prozent) wurde seitens der Geschäftsführung ein Nachweis der Cyber-Resilienz von den Cybersicherheitsteams verlangt. Die Sensibilisierung von Vorständen und Führungskräften für die Bedeutung von Cyber-Resilienz ist ein wichtiger Schritt, um mehr Unterstützung zu erhalten.
Was lässt sich aus den Ergebnissen der Studie ableiten?
Die Wichtigkeit eines hohen Cyber-Resilienz-Grads ist von den Unternehmen erkannt worden – und es wird entsprechenden Maßnahmen eine hohe strategische Priorität eingeräumt. Allerdings werden bestehende Trainingsansätze und -programme als nicht effektiv genug bewertet. 53 Prozent der Befragten befürchten, dass die eigenen Mitarbeitenden nicht ausreichend gegen aktuelle und zukünftige Cyberbedrohungen gerüstet sind. Es mangele vor allem an geeigneten Ansätzen zur ganzheitlichen Stärkung der Cyber-Resilienz und Messung der konkreten Widerstandsfähigkeit.
Folglich reiche es auch nicht aus, dem Credo „einmal geschult, immer qualifiziert“ zu folgen. Dies bestätigt auch James Hadley, CEO und Gründer von Immersive Labs: „Trotz all der Präsenzschulungen und Zertifizierungen gibt die Hälfte der Befragten an, dass Mitarbeitende, Cybersicherheitsteams und das Unternehmen als Ganzes nicht ausreichend vorbereitet sind. Da wird schnell klar, dass aktuelle Programme umstrukturiert werden müssen, um eine erfolgreiche Cyber-Resilienz-Agenda voranzutreiben.“
Unternehmen, die ihre Widerstandsfähigkeit gegen Cyberangriffe deutlich erhöhen wollen, müssen sich auf die kontinuierliche Verbesserung bestehender Cyber-Abwehrfähigkeiten fokussieren. Denn selbst nach erheblichen technischen Investitionen in die Cybersicherheit kann derzeit kaum ein IT-Verantwortlicher mit Gewissheit sagen, wie zuverlässig das Security-Team Angriffe erkennen, analysieren und abwehren könnte. Damit Unternehmen im Fall der Fälle handlungsfähig bleiben, brauchen sie perfekt aufeinander abgestimmte Incident Response Readiness Prozesse – und individuelle Maßnahmenkataloge zur Beschleunigung wirksamer Abwehrmechanismen. Incident Response Readiness Workshop bilden einen wichtigen Baustein im Aufbau einer ganzheitlichen Cyber-Resilienz.
Fazit
Die Studie zeigt:
Das Thema “dringend benötige Cyber-Resilienz” ist in Organisationen und Unternehmen angekommen. Jedoch werden aktuell durchgeführte Programme und Schulungen als nicht ausreichend bewertet; gefordert sind ganzheitliche Ansätze, die die Widerstandskraft in ihrer Gesamtheit erhöhen.
Fest steht: IT Security ist immer nur so effizient wie der Mensch, der die Systeme bedient. Viele der realen Cybergefahren werden unbewusst durch Mitarbeiter verursacht – Stichwort Social Engineering. Nur wenn wirklich alle Mitarbeiterinnen und Mitarbeiter in die Sicherheitskultur des Unternehmens eingebunden sind, kann die in der heutigen Zeit unabdingbare Security Awareness erreicht werden.
Unternehmen, die ihre Cyber-Resilienz-Agenda aktiv vorantreiben wollen, sollten sich darauf konzentrieren, ihre Cyber-Fähigkeiten kontinuierlich zu bewerten und zu verbessern und mit robusten Daten zu untermauern. Es bedarf moderner Lösungen für Awareness-Schulungen und Beschäftigte, die über das nötige Know-how verfügen, um aktuellen und neu aufkommenden Bedrohungen in der Praxis souverän begegnen zu können.
Hier finden Sie ausführliche Infos zu unserem Cyber Security Workshop, testen Sie Effizienz und Wirksamkeit Ihres Verhaltens in simulierten Angriffsszenarios.