foto freepik
2 von 10 Unternehmen haben Incident-Response-Pläne zur Hand. Ein Drittel führen präventive Audits durch.
Das Thema Incident Response beziehungsweise Vorbereitung auf Cyberangriffe scheint in Unternehmen in Deutschland noch ausbaufähig zu sein, wie die aktuelle Kaspersky-Studie »Incident Response zur Prävention – Warum Unternehmen in Deutschland schlecht auf Cyberangriffe vorbereitet sind und wie sie dank Incident-Response-Methoden cyberresilienter werden« zeigt [1]. So hat lediglich ein Fünftel (20,5 Prozent) Incident-Response-Pläne griffbereit, die im Falle eines Angriffs das Team anleiten; ebenso hat weniger als ein Drittel (29,0 Prozent) ein Incident-Response-Playbook zur Hand. Unternehmen scheint es dabei generell an Vorgaben und präventiven Maßnahmen zu fehlen, wie sie auf Vorfälle reagieren oder ihnen vorbeugen können.
Das BKA erfasste im vergangenen Jahr mehr als 130.000 Cybercrime-Fälle in Deutschland [2]. Dabei können Angriffe auf Unternehmen für diese mitunter existenzbedrohend sein. 30,5 Prozent der Unternehmen in Deutschland verfügen laut aktueller Studie demnach über eine Cyberversicherung, die im Schadensfall zumindest die gröbsten Kosten abdeckt.
Allerdings verfügen nur 20,5 Prozent der Unternehmen über Incident-Response-Pläne, obwohl dies für die meisten Cyberversicherungen obligatorisch ist. Ein Incident-Response-Plan ist auf eine Vielzahl von Vorfällen anwendbar und unterstützt Mitarbeiter bei der Vorfallreaktion. Weiterhin verfügt weniger als ein Drittel (29,0 Prozent) der befragten Unternehmen in Deutschland über ein Incident-Response-Playbook, in dem Maßnahmen definiert werden, die im Falle eines bestimmten Vorfalls ergriffen werden sollten.
Fehlende Vorgaben zum Umgang mit Sicherheitsvorfällen
Kommt es zu einem Angriff oder einer Malware-Infektion weiß auch nur ein Viertel der Unternehmen in Deutschland, was mit den betroffenen Geräten geschehen soll. Denn nur ein Viertel (26,5 Prozent) der Unternehmen in Deutschland hat eine zentral dokumentierte Ablage für kompromittierte Geräte. Diese ist für die Forensik jedoch von Bedeutung, da nur so der Ursprung eines Angriffs identifiziert werden kann.
Generell scheint es in Unternehmen in Deutschland an Vorgaben zu fehlen, wie mit Sicherheitsvorfällen umzugehen ist: nur die Hälfte (53,5 Prozent) der Unternehmen hat Richtlinien, wie Sicherheitsvorfälle zu dokumentieren sind und annähernd genauso wenige (53,0 Prozent) haben eine definierte Stelle für die Meldung von Vorfällen.
Mangel an präventiven Sicherheitsmaßnahmen
Um Cybersicherheitsvorfällen vorzubeugen, haben zu wenige Unternehmen entsprechende Maßnahmen implementiert:
- Weniger als die Hälfte (47,5 Prozent) nutzt Netzwerksegmentierung, um Geräte voneinander abzuschotten.
- Etwas mehr als die Hälfte (54,0 Prozent) verwendet Multi-Faktor-Authentifizierung, um Zugänge zu sichern.
- Nur ein Drittel (34,5 Prozent) führt präventive Audits durch.
Der Großteil (85,5 Prozent) verzichtet zudem auf Simulation / Emulation in Bezug auf Adversaries and Threats (via Table Top Exercise (TTX) oder Adversary Emulations). Ohne das Testen kritischer Prozesse kann jedoch nicht sichergestellt werden, dass diese im Ernstfall funktionieren und sie unterstützen.
Ein ähnliches Bild ergibt sich beim Thema Patch-Management: Nur jedes dritte Unternehmen (35,5 Prozent) hat eine entsprechende Richtlinie dafür. Dabei gehören Sicherheitslücken in Anwendungen und Betriebssystemen zu den häufigsten Angriffsvektoren in Unternehmen [3]. Für Kai Schuricht, Lead Incident Response Specialist bei Kaspersky, liegt das an der Komplexität des Patchens:
»Zum einen lassen sich zwar Sicherheitslücken relativ einfach stopfen, zum anderen ist der Vorgang aber meist etwas komplizierter als man denkt. Entscheiden sich Unternehmen, ihre Systeme zu aktualisieren, dauert dies einige Zeit. Denn diese müssen erst getestet, freigegeben und dann verteilt werden. Das dauert und vergrößert natürlich das Zeitfenster, in dem die Systeme verwundbar sind. Auch das Zeitfenster für erfolgreiche Angriffe verlängert sich. Ein entsprechend durchdachtes und damit effizientes Patch-Management kann hier unterstützen und die unterschiedlichen Anforderungen von beispielsweise IT-Sicherheit und Produktion gleichzeitig berücksichtigen.«