:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
CyberCompare Cybersecurity Benchmarkreport 2023 Unternehmen scheitern oft an den eigenen Security-Anforderungen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Gefahr durch Cyberattacken ist weiterhin ungebrochen. Im Frühjahr sorgte eine Sicherheitslücke in ESXi-Servern für Aufruhr, die für weltweite Ransomwareangriffe ausgenutzt wurde. Dass es sich hierbei um eine zwei Jahre alte Schwachstelle handelte, für die längst ein Patch existiert, verdeutlicht noch einmal, dass Unternehmen den eigenen Sicherheitsanforderungen oft hinterherlaufen.
Das Feld der Cybersecurity ist in den letzten Jahren noch einmal deutlich komplexer geworden. Jede Branche und jedes Unternehmen hat dabei unterschiedliche Herausforderungen zu meistern, sodass auch der Fortschritt in diesem Bereich nicht homogen ist. Aus diesem Grund untersucht der „CyberCompare Cybersecurity Benchmarkreport 2023“ den Fortschritt der deutschen Unternehmen in diesem Sektor, unterteilt in zehn Dimensionen:
- 1. Securityorganisation
- 2. Unabhängige Audits
- 3. Transparenz über Assets
- 4. Third Party Risk Management
- 7. Rollen- und Rechtverwaltung
- 8. Mitarbeiter-Awareness
- 9. Reaktion
- 10. Kontinuität
Die Ergebnisse der Studie fußen dabei auf 190 durchgeführten Diagnostiken in Unternehmen in der Größe zwischen 250 bis zu 15.000 Mitarbeitern. Eine Skala von 1 (Maßnahme nicht umgesetzt) bis 4 (Best Practice) dient zur Einordnung der Ergebnisse.
Deutsche Unternehmen: An vielen Stellen auf dem richtigen Weg
Deutsche Unternehmen sind auf Kontinuität bedacht. Was zunächst nach einem Klischee klingt, spiegelt sich in den Ergebnissen des Benchmarkreports wider. Zwar gibt es in Bezug auf Notfallpläne und die Absicherung der Backups vor unbefugtem Zugriff noch Luft nach oben, doch in der Gesamtbetrachtung sind die Organisationen hier auf einem guten Weg (∅ 3,0). In die richtige Richtung zeigt auch die Entwicklung in Bezug auf die Rechte- und Rollenverwaltung (∅ 3,0). Ein Grund dafür ist, dass Unternehmen in der Regel ein hohes Maß an physischer Sicherheit aufweisen. So wird nur berechtigten Personen Zutritt zu sensiblen Räumen gewährt. Regelmäßige Prüfungen bestehender Rechte im eigenen Netzwerk finden hingegen noch zu selten statt, sodass hier noch einiges an Verbesserungspotenzial besteht. Dasselbe gilt für das Schwachstellenmanagement (∅ 2,8). Prominente Fälle aus den letzten Jahren, man denke an Log4J, haben den Verantwortlichen die Gefahren durch offene Schwachstellen vor Augen geführt. Nichtsdestotrotz stellen systemübergreifende Prozesse zur Erkennung von Schwachstellen, beispielsweise mithilfe dafür entwickelter Tools, auch 2023 eher eine Ausnahme dar.
Viel Verbesserungspotenzial
Doch während die Unternehmen an einigen Stellen Fortschritte machen, treten sie in anderen Bereichen weiterhin auf der Stelle. Eine der größten Baustellen bleibt dabei die richtige Schulung der Mitarbeiter (∅ 2,2). Die gezielte Manipulation der Mitarbeiter, beispielsweise durch Phishing oder Social-Engineering-Angriffe, ist weiterhin einer der effektivsten Möglichkeiten für Hacker, sich unerlaubten Zugang zum Netzwerk zu verschaffen. Umso dringender ist hier der Handlungsbedarf. Inzwischen gibt es zahlreiche externe Anbieter, die Unternehmen bei dieser Aufgabe unterstützen und Mitarbeiter für die IT-Sicherheit ihrer Firma sensibilisieren. Auch die Anwendung unabhängiger Security Audits und Pentests bleibt hinter den Erwartungen zurück (∅ 2,3). Stattdessen setzen sie auf interne Teams, die jedoch eine gewisse Betriebsblindheit an den Tag legen. So nehmen sie das Risiko in Kauf, dass Schwachstellen unentdeckt bleiben.
Doch selbst, wenn Unternehmen diese Punkte berücksichtigen, kann es zu einem erfolgreichen Cyberangriff kommen. Eine schnelle und konsequente Reaktion ist im Fall der Fälle essenziell. Auch in dieser Kategorie sind die Bemühungen der deutschen Unternehmen meist noch nicht ausreichend (∅ 2,4). Vorhandene Notfallpläne werden nur selten in der Praxis geprobt, sodass etwaige Fehler erst im Ernstfall erkannt werden.
OT-Security rückt allmählich in den Fokus
Eine Entwicklung, die beinahe alle Branchen erfasst, ist die wachsende Bedeutung der OT-Security. Die Awareness dafür steigt langsam, aber kontinuierlich. Smarte Fertigung und IoT ermöglichen es auf der einen Seite, Prozesse effizient zu gestalten und die Produktion agiler zu gestalten. Auf der anderen Seite bieten sie neue Angriffsflächen für Hacker. Doch es zeigt sich, dass die OT-Sicherheit oft hinter dem Stand der IT-Sicherheit zurückbleibt. Das hat mehrere Gründe. Zum einen ist die OT-Security bei vielen Unternehmen, wenn überhaupt, erst in den letzten Jahren – und damit um einiges später als IT-Security – auf die Tagesordnung gerückt. Zum anderen weist die OT-Security nochmal einen höheren Grad an Komplexität auf. Ein gutes Beispiel ist das Schwachstellenmanagement. Maschinen können nicht so einfach für einen Patch heruntergefahren werden, ohne, dass es zu Engpässen in der Produktion kommt. Dies lässt sich auf beinahe alle anderen Dimensionen übertragen. So gibt es beispielsweise kaum Anbieter für Mitarbeiterschulungen in der OT-Sicherheit. Schwierigkeiten auf der IT-Sicherheit exponenzieren sich in der OT-Security noch einmal deutlich.
Vollständige Sicherheit gibt es nicht
Auch wenn der Benchmarkreport zeigt, dass Unternehmen an vielen Stellen noch Luft nach oben haben, ist in den meisten Fällen zumindest eine positive Tendenz erkennbar. Trotzdem fallen die Unterschiede zwischen den Unternehmen teils sehr groß aus. Während in einigen Unternehmen bereits ein CISO die Geschicke der Cybersicherheit leitet, fangen andere Unternehmen gerade mit den grundlegendsten Schutzmaßnahmen an. Bei vielen Aufgaben, wie beispielsweise Audits und Pentests, sollten Unternehmen auf externe Experten setzen, um den Erfolg nicht zu gefährden. Klar ist jedoch auch, dass sich Unternehmen nie in falscher Sicherheit wähnen sollten. Denn selbst, wenn die IT-Sicherheitsstrategie weit fortgeschritten ist, werden Hacker noch Mittel und Wege für einen Cyberangriff finden. Ein Schritt in die richtige Richtung wäre, die große Baustelle der OT-Security anzugehen, da sie in Zukunft noch größer werden wird. Je früher sich ein Unternehmen auf die Sicherung der eigenen Betriebstechnologie konzentriert, desto kleiner wird hier die Angriffsfläche für Cyberkriminelle.
Über den Autor: Philipp Pelkmann ist seit 2020 Chief Technology Officer bei Bosch CyberCompare. Zuvor war Philipp als Assistent der Geschäftsführung bei Bosch tätig, nachdem er das Cluster Industrie 4.0 in der Zentral-IT leitete und die IT in den Bosch-Werken in Asia/Pacific verantwortete. Seine Karriere startete Philipp als Software-Entwickler.
(ID:49247474)
:quality(80)/p7i.vogel.de/wcms/72/23/722374ad2a9aa910665a73fb88fd0168/0112503351.jpeg "Simulationen mit Red-Blue-Teams sind mehr als Penetrationstests! (Bild: Witthaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/26/b126389b783a39607807be5826cf1f74/0109608612.jpeg "Für die Mehrheit kleiner und mittelständischer Betriebe bleibt unklar, ob ihre IT-Sicherheitsmaßnahmen ausreichend sind. (Bild: valerybrozhinsky - stock.adobe.com)")