[English]Spannende Sache: Was hindert Unternehmen eigentlich daran, Cyberangriffe auf die eigene Infrastruktur zu verhindern? Personalmangel in der IT? Schlechter Patchstand? Tenable wollte es genauer wissen und hat eine Studie in Form einer Umfrage unter 825 globalen Cybersicherheits- und IT-Führungskräfte durchführen lassen. Das Ergebnis: Die Unternehmen waren in nur 57 Prozent der Fälle in der Lage, die Cyberangriffe zu stoppen. Und 75 Prozent der Befragten nennen die Cloud-Infrastruktur als größte Risikoquelle.
Anzeige
Mir ist die Studie Old Habits Die Hard: How People Process and Technology Challenges Are Hurting Cybersecurity Teams, die Tenable zusammen mit Forrester erstellen ließ, die Tage zugegangen.
Schwierigkeit Isolierte Teams
Cybersicherheits- und IT-Teams sind oft isoliert, so die Ergebnisse der Befragen, und ihre Leistung wird anhand unterschiedlicher und widersprüchlicher Kriterien und Ziele bewertet. Interne Einstellungen machen die Koordination zwischen IT- und Sicherheitsteams schwierig und zeitaufwändig.
- Vier von 10 Befragten (40%) finden Koordination zwischen IT- und Cybersicherheitsteams Teams schwierig und zeitaufwändig
- 58% der Befragten geben an, dass die Bekämpfung kritischer Vorfälle so viel Zeit beansprucht, dass keine Zeit für präventive Maßnahmen bleibt.
- 65% der Befragten geben an, dass die IT mehr Ressourcen in die Sicherstellung der Verfügbarkeit als in die Cyberabwehr steckt.
Die Studie legt offen, dass die Probleme der IT größtenteils auf die Unfähigkeit zurückzuführen ist, potenzielle Risiken zu reduzieren, bevor Angriffe stattfinden (die Leute sind geerdet). Ein Ergebnis ist, dass das durchschnittliche Cybersicherheitsprogramm eines Unternehmens in den letzten zwei Jahren nur 57 Prozent der Cyberangriffe, denen es ausgesetzt war, präventiv abwehren oder blockieren konnte. Das bedeutet, dass 43 Prozent der Angriffe, die gegen Unternehmen gestartet werden, erfolgreich sind und deren Folgen im Nachhinein behoben werden müssen.
Cybersicherheitsprofis bestätigten, dass diese reaktive Haltung der Unternehmens-IT größtenteils darauf zurückzuführen ist, dass diese Schwierigkeiten haben, sich ein genaues Bild von ihrer Angriffsfläche zu machen. Dies betrifft auch den Einblick in unbekannte Assets, Cloud-Ressourcen, Code-Schwachstellen und Benutzerberechtigungssysteme. Eine Kernaussage:
Anzeige
- Die Komplexität der Infrastruktur – mit ihrer Abhängigkeit von mehreren Cloud-Systemen, zahlreichen Identitäts- und Berechtigungsmanagement-Tools und verschiedenen Web-Assets – bringt zahlreiche Möglichkeiten für Fehlkonfigurationen und übersehene Assets mit sich.
- Die Befragten zeigten sich besonders besorgt über die Risiken, die mit der Cloud-Infrastruktur verbunden sind, da die Korrelation von Benutzer- und Systemidentitäten sowie Zugriffs- und Berechtigungsdaten sehr komplex ist.
- Die überwiegende Mehrheit der Befragten (75 Prozent) sieht in der Cloud-Infrastruktur die größte Risikoquelle für ihr Unternehmen. Die Befragten sehen die größten Risiken bei der Nutzung von Public Clouds (30 Prozent), Multi-Clouds und/oder Hybrid-Clouds (23 Prozent), Private-Cloud-Infrastrukturen (12 Prozent) sowie Cloud-Container-Management-Tools (9 Prozent).
Weitere Ergebnisse der Studie sind:
- Die meisten Befragten (75 Prozent) gaben an, dass sie die Identität und Zugriffsrechte von Benutzern berücksichtigen, wenn sie Schwachstellen für die Behebung priorisieren. Die Hälfte (50 Prozent) bestätigte, dass ihr Unternehmen keine effektive Möglichkeit hat, solche Daten in ihre präventiven Cybersicherheits- und Expositionsmanagementverfahren zu integrieren.
- Fast sechs von zehn Befragten (57 Prozent) gaben an, dass ein Mangel an Datenhygiene sie daran hindert, qualitativ hochwertige Daten aus Systemen zur Verwaltung von Benutzerrechten und Zugriffsrechten sowie aus Systemen für das Schwachstellenmanagement zu gewinnen.
- Die Erstellung von Berichten für Führungskräfte über den Zustand der Sicherheitsinfrastruktur eines Unternehmens nimmt im Durchschnitt 15 Stunden pro Monat in Anspruch.
- In einer knappen Mehrheit der Unternehmen (53 Prozent) finden monatlich Besprechungen über geschäftskritische Systeme statt, während 18 Prozent der Unternehmen solche Besprechungen nur einmal pro Jahr abhalten. Zwei Prozent gaben an, dass sie solche Besprechungen nie abhalten.
Diese Daten kommen zu einem kritischen Zeitpunkt für börsennotierte Unternehmen, nachdem die US-Börsenaufsicht SEC vor kurzem Regeln für das Management von Cybersecurity-Risiken, Strategien, Governance und die Offenlegung von Vorfällen eingeführt hat, die im Dezember 2023 in Kraft treten. Die neuen Regeln, die die Offenlegung wesentlicher Vorfälle im Bereich der Cybersicherheit durch börsennotierte Unternehmen vorschreiben, sehen auch vor, dass diese ihre Prozesse zur Bewertung, Identifizierung und Steuerung wesentlicher Risiken durch Cybersicherheitsbedrohungen darlegen. Außerdem müssen sie die Aufsichtsprozesse der Vorstände und der Geschäftsleitung bei der Bewertung und dem Management von Cybersicherheitsrisiken aufzeigen. Für Unternehmen, die nicht über diese bewährten Verfahren und Prozesse verfügen, werden präventive Sicherheitsmaßnahmen zu einer Voraussetzung für den Betrieb.
"Präventive Sicherheit ist nicht länger ein optionaler Ansatz für das Risikomanagement, sondern eine Voraussetzung", erklärte Robert Huber, Chief Security Officer und Head of Research bei Tenable. "Unzusammenhängende Maßnahmen von Sicherheitsteams sind ein Rezept für das Scheitern, vor allem angesichts der Vergrößerung der Angriffsfläche und der Angriffspunkte, die durch Trends wie Cloud-Migration und KI verursacht werden. Wir sprechen mit immer mehr Unternehmen darüber, wie wichtig es ist, Risiken proaktiv zu verstehen und zu reduzieren. Diese Studie unterstreicht, dass viele von ihnen dies intuitiv wissen, aber mit Gegenwind zu kämpfen haben, der oft außerhalb ihrer Kontrolle liegt. Wir hoffen, eine stärkere Zusammenarbeit zwischen den Beteiligten zu fördern, um ihre Verfahren zu vereinfachen und an die Risikodaten heranzukommen, die sie für eine schnellere Priorisierung und Abhilfe benötigen."
Und die Risiken nehmen auf Grund des ungebremsten Runs auf die Cloud, die Zunahme der Vernetzung sowie den Einsatz von IoT- und BYOD-Geräten eher zu. Die Befragung durch Forrester Consulting erfolgte Online im März 2023 unter 825 IT- und Cybersicherheitsexperten großer Unternehmen in den USA, Großbritannien, Deutschland, Frankreich, Australien, Mexiko, Indien, Brasilien, Japan und Saudi-Arabien.
Die Befragten wurden anhand ihrer Antworten auf Fragen zu verschiedenen Aspekten ihres Reifegrads bewertet: Einsatz präventiver Sicherheitstools, Priorisierung von Ressourcen zur Verringerung der Bedrohungsgefahr und Grad der Sichtbarkeit und Zusammenarbeit innerhalb ihres Unternehmens. Forrester stufte die untersten 20 Prozent als wenig ausgereift, die mittleren 60 Prozent als mittelmäßig ausgereift und die obersten 20 Prozent als hochgradig ausgereift ein. Diese Bewertung floss dann in die Studie ein. Tenable hat in diesem Blog-Beitrag noch einige Aussagen aus dieser Studie aufbereitet.
Anzeige
Die Cloud ist ein Irrweg. Man hat die ganze Welt in Abhängigkeiten von fremdländischen Diensteanbietern und zusätzlich noch "Schutz"anbietern geführt und tut das weiter. Der grosse Knall wird eines Tages kommen mit ua. Stillstand kritische Systeme über Tage/Wochen. Wer davor warnt wird seit Jahr und Tag hochnäsig verspottet.
Recherche Tip: Cyber Polygon.
Es wird aktuell eher zur Spionage genutzt. Ein Knall wäre nicht SO lohnenswert, aber wohl kein großes Problem von staatlichen Akteuren, es im z.b: Kriegsfall knallen zu lassen. Ich denke die haben die Methoden dazu schon längst in den Schubladen. Selbst bei kleinen Ausfällen von dns bei: google/cloudflare wackelt es schon gewaltig. Das ganze Cloud-Konstrukt ist recht wackelig und durch die Monopolisierung hat man wohl den ursprünglichen Internet-Gedanken, ein redundantes Netzwerk bei einem Atomschlag zu haben, nicht mehr im zivilen Bereich. Ist vielleicht auch so gewollt.
Ersetze "Kriegsfall" mit "wenn eine Regierung nicht (mehr) auf gewünschtem Kurs segelt". Totale Erpressbarkeit.
Und vieles davon lässt sich recht leicht ausschließen! Cloud? BYOD? KI? Nein! Somit sind bereits einige Schleußentore zu! Man muss nicht jedem "heißen Shice" hinterherhecheln… Erleichtert der IT Security ungemein den Job. "Geerdet" ist da positiv zu sehen.
Man müsste in etlichen Unternehmen erstmal das Bewusstsein schaffen, dass "die IT" nicht einfach nur ein Kostenfaktor ist; sie unterstützt diverse Prozesse oder stützt gar den gesamten Betrieb und vieles mehr. Dazu gesellt sich die Informationssicherheit mit der IT-Sicherheit als Teilgebiet.
Ich kenne auch größere Unternehmen, die eine eigene IT-Abteilung unterhalten und trotzdem einen Teil ihrer Infrastruktur outgesourct haben. Hybride Infrastrukturen abzusichern, ist fast unmöglich, vor allem dann, wenn man nicht mal einen Überblick darüber hat, wie viele externe Dienstleister eigentlich wo und in welchem Umfang Zugriff haben. 👌
Ah – "Präventive Sicherheit" – merkt man das auch mal nach 10 Jahren – ROFL. Das gab es wohl im abgebrochenem VWL Studium der heutigen Entscheider damals noch nicht. Ergo, es mangelt an Personal, geschultem Personal, und freilich schiebt man es dann auf "die Cloud" wohin die Lemminge dann aber alle gerannt sind, weil das der neue Hype halt ist. Aber jetzt kommt doch die KI, die kann bestimmt auch SuperCyberSicherheit. IT war noch nie so unterhaltsam wie in den letzten Jahren.
KI ist für mich das Buzzword schlechthin. Plötzlich ist ein simpler Entscheidungsalgorithmus eine KI. Wenn mir irgendein Hersteller was von KI erzählt, dann bin ich zunächst erstmal kritisch, was diese KI denn genau macht.
So ist es!
Eine einfache ja, nein, wenn, dann, und, oder und oder nicht Funktion ergibt noch keine KI, ansonsten müsste der Akinator ja der Vater aller KIs sein.
Und der konnte schon "lernen" hat man oft genug die Fragen immer gleich beantwortet und seine Lösung immer verneint hat er nachgefragt was die Lösung ist. Wenn man das oft genug wiederholt hat, hat er irgendwann die Lösung präsentiert die man ihm angelernt hat, in dem Fall den Namen einer konkreten Person des nicht öffentlichen Lebens.
Die Cloud läuft auch ohne Admins nicht, viele erhoffen sich einen reduzierten Aufwand und einen Personalabbau, aber in der Regel ist es eher das Gegenteil der Fall.
24/7 Cloud aber nur 08/05 Admin (auf die Arbeitszeit gesehen, nicht auf die Qualität) bedeutet das Cloud System 76% der Zeit "unbeaufsichtig" ist. Ist zwar bei einer lokalen Struktur nicht anderes, die lokale Struktur ist aber nicht direkt aus dem Netz erreichbar, der Angriffsvektor also erheblich reduziert. Für die Cloud muss also ein viel höheres Sicherheitskonstrukt gefahren werden.
Studien auch ohne Kontaktformular und Mail direkt via Tenable:
Studie "Old habits die hard" (die von oben) hier als PDF.
Cyber Exposure Study – 2022 Threat Landscape Report PDF hier.
Cyber Exposure Study – 2021 Threat Landscape Retrospective 33 Seiten hier.
Cyber Exposure Study – Defending Against Ransomware 34 Seiten hier.
Cyber Exposure Study – Maintaining Data Protection Control Ideen zum Management hier.
Cyber Exposure Study – Establishing a Software Inventory hier.
Real-Time Compliance Monitoring von Basel, ITIL bis PCI und SOX hier aus 2014.