Cyberresilienz-Programme: Mehr als die Hälfte ist nicht gegen Cyberangriffe gewappnet

Illustration: Absmeier rawpixel

  • Obwohl 86 Prozent der Unternehmen über ein Cyberresilienz-Programm verfügen, mangelt es mehr als der Hälfte der Befragten zufolge an einem ganzheitlichen Ansatz zur Beurteilung der Cyberresilienz.
  • Fast die Hälfte der Befragten (46 Prozent) ist der Meinung, dass ihre Mitarbeitenden trotz jahrelangen Sicherheitsschulungen und Phishing-Tests nicht wüssten, wie sie mit einer Phishing-E-Mail umgehen sollen.
  • 52 Prozent geben an, dass es ihrem Unternehmen an einem ganzheitlichen Ansatz zur Beurteilung der Cyberresilienz mangelt.

 

Immersive Labs, der Marktführer im Bereich der mitarbeiterzentrierten Cyberresilienz, stellte seine von Osterman Research durchgeführte Studie »2023 Cyber Workforce Resilience Trend Report« vor. Die Studie zeigt, dass die stetige Zunahme von Cyberangriffen und die sich verändernde Bedrohungslandschaft dazu führen, dass immer mehr Unternehmen ihren Fokus auf den Aufbau nachhaltiger Cyberresilienz richten. Viele dieser Programme greifen jedoch zu kurz und können die praktischen Cyberfähigkeiten der Teams nicht belegen. Im Rahmen der Studie wurden 570 Cybersicherheits- und Risikoverantwortliche in britischen, US-amerikanischen und deutschen Unternehmen mit mindestens 1.000 Mitarbeitenden befragt. Obwohl 86 Prozent der Unternehmen über ein Cyberresilienz-Programm verfügen, mangelt es mehr als der Hälfte der Befragten zufolge an einem ganzheitlichen Ansatz zur Beurteilung der Cyberresilienz.

Die Stärkung der Cyberfähigkeiten steht im Jahr 2023 für viele Unternehmen ganz oben auf der Liste der strategischen Prioritäten. Widerstandsfähigkeit aufseiten von Cybersicherheitsteams (83 Prozent) und der allgemeinen Workforce (75 Prozent) aufzubauen, werden dabei als die beiden wichtigsten Schwerpunktbereiche genannt. Zwar haben Unternehmen Maßnahmen zur Implementierung von Cyberresilienz-Programmen ergriffen. Dennoch räumen 53 Prozent der Befragten ein, dass die Mitarbeitenden des Unternehmens nicht ausreichend gegen zukünftige Cyberangriffe – ganz gleich, welcher Art – gewappnet sind. Etwas mehr als die Hälfte der Befragten gibt an, dass es an einem ganzheitlichen Ansatz zur Bewertung der Cyberresilienz mangelt. Diese Zahlen deuten darauf hin, dass Cyberresilienz zwar eine Priorität ist und Programme vorhanden sind, die bestehenden Strukturen und Trainingsmethoden jedoch ineffektiv sind.

»In Anbetracht einer sich ständig verändernden Bedrohungslandschaft, in der Ransomware, Supply-Chain-Risiken und Schwachstellen Cybersicherheitsverantwortliche umtreiben, ist das Thema Cyberresilienz heute in aller Munde. Obwohl es vielversprechend ist, dass Unternehmen und Führungskräfte Cyberresilienz-Strategien und -Programme implementieren, verfehlen viele leider immer noch ihr Ziel«, erklärt James Hadley, CEO und Gründer von Immersive Labs. »Trotz all der Präsenzschulungen und Zertifizierungen gibt die Hälfte der Befragten an, dass Mitarbeitende, Cybersicherheitsteams und das Unternehmen als Ganzes nicht ausreichend vorbereitet sind. Da wird schnell klar, dass aktuelle Programme umstrukturiert werden müssen, um eine erfolgreiche Cyberresilienz-Agenda voranzutreiben.«

Die Studie kam zu weiteren aufschlussreichen Erkenntnissen, die den Bedarf an effektiveren – und modernisierten – Cyberresilienz-Programmen, die unternehmensweit angelegt und nicht auf Cybersicherheitsteams beschränkt sind, unterstreichen. Darunter:

  • Unternehmen bezweifeln, dass ihre Mitarbeitenden wissen, wie sie auf einen Cybersicherheitsvorfall reagieren sollen: Zwei von drei Unternehmen sind der Meinung, dass 95 Prozent ihrer Mitarbeitenden nicht wissen, wie sie sich bei der Aufarbeitung eines Cybersicherheitsvorfalls verhalten sollen. Den Geschäftsbetrieb ohne wichtige IT-Systeme aufrechtzuerhalten, zeitkritische Prozesse manuell abzuwickeln und es zu vermeiden, den Recovery-Prozess durch das Anschließen kompromittierter Geräte an das Netzwerk zu beeinträchtigen, zählt dabei zu den Schwerpunktaufgaben.
  • Unternehmen stellen die Verlässlichkeit von Branchenzertifizierungen, Präsenzschulungen und Ad-hoc-Lernpfaden beim Aufbau von Cyberresilienz infrage: Während fast alle Unternehmen Branchenzertifizierungen fördern, bezeichnen sie nur 32 Prozent als effektiv bei der Eindämmung von Cyberbedrohungen. Präsenzschulungen werden zu selten angeboten, um effektiv zu sein: Nur etwa ein Viertel (27 Prozent) der Befragten gibt an, dass sie monatlich an Schulungen teilnehmen. Fast die Hälfte der Befragten (46 Prozent) ist der Meinung, dass ihre Mitarbeitenden trotz jahrelangen Sicherheitsschulungen und Phishing-Tests nicht wüssten, wie sie mit einer Phishing-E-Mail umgehen sollen.
  • Den meisten Unternehmen fehlt ein dediziertes Framework mit Kennzahlen zur Messung und zum Nachweis der Cyberresilienz: Um die Cyberresilienz von Teams gegenüber Vorstand und C-Level Executives belastbar nachzuweisen, sind Kennzahlen entscheidend. Dennoch gibt fast die Hälfte (46 Prozent) der befragten Cybersicherheits- und Risikoverantwortlichen an, nicht über die erforderlichen Kennzahlen zu verfügen, um die Widerstandsfähigkeit ihrer Mitarbeitenden im Falle eines Cyberangriffs nachzuweisen. Nur etwa 6 Prozent der Unternehmen verfügen über aussagekräftige Kennzahlen, wie Response-Zeiten bei der Behebung von Schwachstellen, tracken Intrusion Rates, internen Datenverlust und die Häufigkeit verschiedener Bedrohungsarten.
  • Das Thema Cyberresilienz der Vorstands- und obersten Führungsebene gegenüber zu kommunizieren, ist unerlässlich, um Veränderungen anzustoßen: Über das letzte halbe Jahr gesehen, hat der Vorstand in weniger als der Hälfte (46 Prozent) der Unternehmen einen Nachweis der Cyberresilienz vom Cybersicherheitsteam verlangt; in 51 Prozent der Unternehmen wurde ein solcher von der obersten Führungsebene verlangt. Die Vorstands- und die oberste Führungsebene für die Bedeutung der Cyberresilienz zu sensibilisieren, ist ein wichtiger Schritt, wenn es darum geht, mehr Unterstützung zu erhalten. Cybersicherheits- und Risikoverantwortliche sollten das Thema Cyberresilienz in den Mittelpunkt der Kommunikation stellen, anstatt sich auf Einzelmaßnahmen, wie die Einführung neuer Cybersicherheitslösungen, zu konzentrieren.

 

»Traditionelle Ansätze, ohne kontinuierliches Training, sind angesichts immer raffinierterer Bedrohungen schlichtweg nicht mehr zweckmäßig«, so Hadley weiter. »Unternehmen, die ihre Cyberresilienz-Agenda vorantreiben wollen, sollten sich darauf konzentrieren, Cyberfähigkeiten kontinuierlich zu beurteilen und zu verbessern und dies anhand belastbarer Daten zu belegen. Es braucht zeitgemäße Lösungen im Bereich Cybersicherheitstrainings und eine Workforce, die über das notwendige Know-how verfügt, um aktuellen und neu aufkommenden Bedrohungen in der Praxis souverän zu begegnen.«

 

Interessierte können die vollständige Studie hier herunterladen: https://www.immersivelabs.com/cyber-workforce-resilience-trend-report/