Kritische Infrastrukturen im Fokus: IT-Verantwortliche wollen mehr Staat

In einer Security-Studie [1] sprachen sich 86 Prozent aller IT-Verantwortlichen aus Organisationen mit kritischer Infrastruktur für eine bessere öffentlich-private Kooperation aus. 59 Prozent berichteten, dass Cyber-Attacken bei ihnen bereits zu physischen Schäden geführt haben.

86 Prozent der IT-Entscheider in Organisationen, die kritische Infrastrukturen betreiben, sehen in einer intensiveren Zusammenarbeit mit öffentlichen Stellen den Schlüssel zu mehr IT-Sicherheit. Der Wunsch nach mehr Public-Private-Partnerships, vor allem in Bezug auf den Wissensaustausch zu immer neuen Bedrohungen, ist eines der zentralen Ergebnisse einer aktuellen Studie von Intel Security in Kooperation mit dem Aspen-Institut. Die Mehrheit der Befragten (76 Prozent) ist außerdem der Meinung, dass staatliche Verteidigungskräfte eingreifen sollten, wenn ein Unternehmen der kritischen Infrastruktur innerhalb der Landesgrenzen durch einen Cyber-Angriff geschädigt wird. Obwohl die meisten zustimmen, dass Angriffe auf ihre Organisation zunehmen, bleibt das Vertrauen in die bestehenden Sicherheitsmaßnahmen hoch.

Die Studie »Die Stellung halten gegen Angriffe aus dem Internet: Eine Studie zur Abwehrbereitschaft der kritischen Infrastruktur« zeigt, dass die befragten Infrastrukturanbieter zufrieden sind mit ihren Aktivitäten zur Erhöhung der Cybersecurity in den vergangenen drei Jahren. 72 Prozent weisen jedoch auf vermehrte Angriffe hin, und fast die Hälfte aller Befragten (48 Prozent) glaubt, dass es innerhalb der nächsten drei Jahre zu einer Cyber-Attacke auf die kritische Infrastruktur mit möglicherweise tödlichen Folgen kommen könnte.

Die Studienergebnisse legen zudem nahe, dass es eine Kluft zwischen der Selbsteinschätzung der Infrastrukturanbieter und der aktuellen Gefahrenlage gibt:

  • Scheinbare Verbesserungen: Die eigene Anfälligkeit für Cyber-Angriffe hat nach Meinung der Befragten in den letzten drei Jahren abgenommen. 50 Prozent berichteten, dass sie vor drei Jahren ihr Unternehmen für »sehr oder extrem« anfällig hielten, während nur 27 Prozent glauben, dass dies heute noch der Fall ist.
  • Befürwortung von staatlichem Engagement: Die Privatindustrie steht dem Mitwirken von Regierungen in Geschäften des Privatsektors oft skeptisch gegenüber. 86 Prozent der Befragten glauben aber, dass eine Kooperation zwischen öffentlichem und privatem Sektor zum Schutz der Infrastruktur entscheidend für eine wirkungsvolle Verteidigung gegen Gefahren aus dem Internet ist. 68 Prozent glauben, dass ihre eigene Regierung ein nützlicher und respektvoller Partner im Bereich Cybersecurity ist.
  • Vertrauen in bestehende Lösungen: 64 Prozent denken, dass ihre derzeit bestehenden IT-Sicherheitssysteme einen Angriff mit tödlichen Folgen bis jetzt verhindert haben. Dementsprechend sind mehr als vier Fünftel zufrieden oder extrem zufrieden mit der Leistung ihrer Sicherheitswerkzeuge, wie Endpoint Protection (84 Prozent), Firewalls (84 Prozent) und sichere Internet Gateways (85 Prozent).
  • Zunehmende Störungen: Über 70 Prozent der Befragten beklagen ein Ansteigen der Bedrohungen aus dem Internet in ihren Unternehmen. Fast jeder Neunte (89 Prozent) hat in den letzten drei Jahren mindestens einen Angriff auf ein für sicher erachtetes System im Unternehmen erlebt, mit einem Mittelwert von fast 20 Angriffen pro Jahr. 59 Prozent bestätigten, dass zumindest einer dieser Angriffe zu physischen Schäden geführt habe.
  • Gefahr für Leib und Leben: 48 Prozent der Studienteilnehmer halten es innerhalb der nächsten drei Jahre für wahrscheinlich, dass eine Cyber-Attacke die kritische Infrastruktur lahmlegt und möglicherweise zu Todesopfern führt, wobei mehr Befragte in den USA dieses Szenario für »extrem wahrscheinlich« hielten als Befragte in Europa. Genauere Umstände, unter denen es Tote geben könnte, wurden in der Studie allerdings nicht abgefragt.
  • Benutzerfehler weiterhin Hauptursache: Alle Studienteilnehmer sind sich einig, dass Fehler von Benutzern ausschlaggebend für erfolgreiche Angriffe auf die kritische Infrastruktur sind. Auch wenn Unternehmen ihre Sicherheitsvorkehrungen verstärken, können einzelne Mitarbeiter weiterhin Opfer von Phishing-E-Mails, Social Engineering und Drive-by-Downloads werden, durch die das Unternehmensnetzwerk infiziert wird.
  • Staatliche Reaktion: 76 Prozent wollen, dass die nationalen Verteidigungskräfte zum Einsatz kommen, wenn eine Cyber-Attacke einen Träger der kritischen Infrastruktur innerhalb der Landesgrenzen schädigt.
  • Unterschiede zwischen Ländern: US-Teilnehmer der Studie halten einen katastrophalen Internetangriff mit Todesfolge auf die kritische Infrastruktur für wahrscheinlicher als ihre europäischen Kollegen. Für 18 Prozent der befragten Amerikaner, aber nur 2 Prozent der deutschen Teilnehmer und 3 Prozent der Befragten in Großbritannien, ist dieses Szenario in den nächsten drei Jahren »extrem wahrscheinlich«.
[1] Vanson Bourne befragte insgesamt 625 IT-Entscheider mit Einfluss auf die Sicherheitslösungen ihrer Organisationen in Frankreich, Deutschland, UK und USA (250 Interviews in den USA und je 125 in den anderen Ländern). Die Befragten gehörten zu privaten und öffentlichen Organisationen mit über 500 Mitarbeitern, mit speziellem Fokus auf kritische Infrastrukturbereichen wie Energie (139 Befragte), Transport (130 Befragte), Finanzen (159 Befragte) und Regierung (128 Befragte). Auf Fragebögen basierende Umfragen, wie die von Vanson Bourne und Intel Security durchgeführte, sammeln Daten zu einem spezifischen Zeitpunkt und können nur eingeschränkt komplexe und nuancierte Antworten wiedergeben. Des Weiteren sind sie als alleinige Basis ungeeignet, langfristige Schlussfolgerungen zu stützen.
Der vollständige Report steht hier zum Download bereit: »Die Stellung halten gegen Angriffe aus dem Internet: Eine Studie zur Abwehrbereitschaft der kritischen Infrastruktur«
https://www.mcafee.com/us/resources/reports/rp-aspen-holding-line-cyberthreats.pdf

tabelle intel security threat agent risk assessment

Weitere Artikel zu