CyberCompare Cybersecurity Benchmarkreport 2023 Unternehmen scheitern oft an den eigenen Security-Anforderungen

Von Philipp Pelkmann

Anbieter zum Thema

Die Gefahr durch Cyberattacken ist weiterhin ungebrochen. Im Frühjahr sorgte eine Sicherheitslücke in ESXi-Servern für Aufruhr, die für weltweite Ransomwareangriffe ausgenutzt wurde. Dass es sich hierbei um eine zwei Jahre alte Schwachstelle handelte, für die längst ein Patch existiert, verdeutlicht noch einmal, dass Unternehmen den eigenen Sicherheitsanforderungen oft hinterherlaufen.

Wie groß in der IT-Sicherheit die Lücke zwischen Soll- und Ist-Zustand bei deutschen Unternehmen ist, untersucht der „CyberCompare Cybersecurity Benchmarkreport 2023“.
Wie groß in der IT-Sicherheit die Lücke zwischen Soll- und Ist-Zustand bei deutschen Unternehmen ist, untersucht der „CyberCompare Cybersecurity Benchmarkreport 2023“.
(Bild: Hein - stock.adobe.com)

Das Feld der Cybersecurity ist in den letzten Jahren noch einmal deutlich komplexer geworden. Jede Branche und jedes Unternehmen hat dabei unterschiedliche Herausforderungen zu meistern, sodass auch der Fortschritt in diesem Bereich nicht homogen ist. Aus diesem Grund untersucht der „CyberCompare Cybersecurity Benchmarkreport 2023“ den Fortschritt der deutschen Unternehmen in diesem Sektor, unterteilt in zehn Dimensionen:

  • 1. Securityorganisation
  • 2. Unabhängige Audits
  • 3. Transparenz über Assets
  • 4. Third Party Risk Management
  • 5. Schwachstellenmanagement
  • 6. Netzwerksicherheit
  • 7. Rollen- und Rechtverwaltung
  • 8. Mitarbeiter-Awareness
  • 9. Reaktion
  • 10. Kontinuität

Die Ergebnisse der Studie fußen dabei auf 190 durchgeführten Diagnostiken in Unternehmen in der Größe zwischen 250 bis zu 15.000 Mitarbeitern. Eine Skala von 1 (Maßnahme nicht umgesetzt) bis 4 (Best Practice) dient zur Einordnung der Ergebnisse.

Deutsche Unternehmen: An vielen Stellen auf dem richtigen Weg

Deutsche Unternehmen sind auf Kontinuität bedacht. Was zunächst nach einem Klischee klingt, spiegelt sich in den Ergebnissen des Benchmarkreports wider. Zwar gibt es in Bezug auf Notfallpläne und die Absicherung der Backups vor unbefugtem Zugriff noch Luft nach oben, doch in der Gesamtbetrachtung sind die Organisationen hier auf einem guten Weg (∅ 3,0). In die richtige Richtung zeigt auch die Entwicklung in Bezug auf die Rechte- und Rollenverwaltung (∅ 3,0). Ein Grund dafür ist, dass Unternehmen in der Regel ein hohes Maß an physischer Sicherheit aufweisen. So wird nur berechtigten Personen Zutritt zu sensiblen Räumen gewährt. Regelmäßige Prüfungen bestehender Rechte im eigenen Netzwerk finden hingegen noch zu selten statt, sodass hier noch einiges an Verbesserungspotenzial besteht. Dasselbe gilt für das Schwachstellenmanagement (∅ 2,8). Prominente Fälle aus den letzten Jahren, man denke an Log4J, haben den Verantwortlichen die Gefahren durch offene Schwachstellen vor Augen geführt. Nichtsdestotrotz stellen systemübergreifende Prozesse zur Erkennung von Schwachstellen, beispielsweise mithilfe dafür entwickelter Tools, auch 2023 eher eine Ausnahme dar.

Viel Verbesserungspotenzial

Doch während die Unternehmen an einigen Stellen Fortschritte machen, treten sie in anderen Bereichen weiterhin auf der Stelle. Eine der größten Baustellen bleibt dabei die richtige Schulung der Mitarbeiter (∅ 2,2). Die gezielte Manipulation der Mitarbeiter, beispielsweise durch Phishing oder Social-Engineering-Angriffe, ist weiterhin einer der effektivsten Möglichkeiten für Hacker, sich unerlaubten Zugang zum Netzwerk zu verschaffen. Umso dringender ist hier der Handlungsbedarf. Inzwischen gibt es zahlreiche externe Anbieter, die Unternehmen bei dieser Aufgabe unterstützen und Mitarbeiter für die IT-Sicherheit ihrer Firma sensibilisieren. Auch die Anwendung unabhängiger Security Audits und Pentests bleibt hinter den Erwartungen zurück (∅ 2,3). Stattdessen setzen sie auf interne Teams, die jedoch eine gewisse Betriebsblindheit an den Tag legen. So nehmen sie das Risiko in Kauf, dass Schwachstellen unentdeckt bleiben.

Doch selbst, wenn Unternehmen diese Punkte berücksichtigen, kann es zu einem erfolgreichen Cyberangriff kommen. Eine schnelle und konsequente Reaktion ist im Fall der Fälle essenziell. Auch in dieser Kategorie sind die Bemühungen der deutschen Unternehmen meist noch nicht ausreichend (∅ 2,4). Vorhandene Notfallpläne werden nur selten in der Praxis geprobt, sodass etwaige Fehler erst im Ernstfall erkannt werden.

OT-Security rückt allmählich in den Fokus

Eine Entwicklung, die beinahe alle Branchen erfasst, ist die wachsende Bedeutung der OT-Security. Die Awareness dafür steigt langsam, aber kontinuierlich. Smarte Fertigung und IoT ermöglichen es auf der einen Seite, Prozesse effizient zu gestalten und die Produktion agiler zu gestalten. Auf der anderen Seite bieten sie neue Angriffsflächen für Hacker. Doch es zeigt sich, dass die OT-Sicherheit oft hinter dem Stand der IT-Sicherheit zurückbleibt. Das hat mehrere Gründe. Zum einen ist die OT-Security bei vielen Unternehmen, wenn überhaupt, erst in den letzten Jahren – und damit um einiges später als IT-Security – auf die Tagesordnung gerückt. Zum anderen weist die OT-Security nochmal einen höheren Grad an Komplexität auf. Ein gutes Beispiel ist das Schwachstellenmanagement. Maschinen können nicht so einfach für einen Patch heruntergefahren werden, ohne, dass es zu Engpässen in der Produktion kommt. Dies lässt sich auf beinahe alle anderen Dimensionen übertragen. So gibt es beispielsweise kaum Anbieter für Mitarbeiterschulungen in der OT-Sicherheit. Schwierigkeiten auf der IT-Sicherheit exponenzieren sich in der OT-Security noch einmal deutlich.

Vollständige Sicherheit gibt es nicht

Auch wenn der Benchmarkreport zeigt, dass Unternehmen an vielen Stellen noch Luft nach oben haben, ist in den meisten Fällen zumindest eine positive Tendenz erkennbar. Trotzdem fallen die Unterschiede zwischen den Unternehmen teils sehr groß aus. Während in einigen Unternehmen bereits ein CISO die Geschicke der Cybersicherheit leitet, fangen andere Unternehmen gerade mit den grundlegendsten Schutzmaßnahmen an. Bei vielen Aufgaben, wie beispielsweise Audits und Pentests, sollten Unternehmen auf externe Experten setzen, um den Erfolg nicht zu gefährden. Klar ist jedoch auch, dass sich Unternehmen nie in falscher Sicherheit wähnen sollten. Denn selbst, wenn die IT-Sicherheitsstrategie weit fortgeschritten ist, werden Hacker noch Mittel und Wege für einen Cyberangriff finden. Ein Schritt in die richtige Richtung wäre, die große Baustelle der OT-Security anzugehen, da sie in Zukunft noch größer werden wird. Je früher sich ein Unternehmen auf die Sicherung der eigenen Betriebstechnologie konzentriert, desto kleiner wird hier die Angriffsfläche für Cyberkriminelle.

Über den Autor: Philipp Pelkmann ist seit 2020 Chief Technology Officer bei Bosch CyberCompare. Zuvor war Philipp als Assistent der Geschäftsführung bei Bosch tätig, nachdem er das Cluster Industrie 4.0 in der Zentral-IT leitete und die IT in den Bosch-Werken in Asia/Pacific verantwortete. Seine Karriere startete Philipp als Software-Entwickler.

(ID:49247474)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung