Kunden, Vorstände und Aufsichtsbehörden sind sich einig: Wenn Cyberangriffe nicht hundertprozentig verhindert werden können, muss der Fokus auf der Verbesserung der Resilienz liegen, damit Unternehmen besser gerüstet sind, diese zu überstehen und sich davon zu erholen. Doch die Fortschritte in diesem Bereich zu messen, ist keine leichte Aufgabe. Die Regierung Umfrage zu Cybersicherheitsvorfällen ist recht detailliert. Entscheidend ist aber, dass nicht jedes Jahr genau dieselben Organisationen befragt werden, um die Entwicklung ihrer Haltung zu überprüfen.
Hier setzt die Regierung an. Längsschnittstudie zur Cybersicherheit Die Studie, die nun im fünften Jahr (oder in der fünften „Welle“) erscheint, zeigt, wie sich Organisationen im Laufe der Zeit verändern. Die Ergebnisse sind aufschlussreich. Obwohl die fünfte Welle durchaus einige positive Aspekte aufweist, hebt der Bericht eine Tendenz zu reaktiver Sicherheit hervor, die im Widerspruch zu bewährten Vorgehensweisen steht.
Was läuft gut (und was läuft schief)?
Der Bericht zeigt, dass die meisten Organisationen auch im letzten Jahr wieder mit irgendeiner Form von Cyberangriffen zu kämpfen hatten: 82 % gegenüber 79 % im Vorjahr. Positiv ist jedoch, dass sie etwas dagegen unternehmen. Tatsächlich:
- Der Anteil der Organisationen, die über die Einhaltung der Cyber Essentials-Vorgaben berichteten, stieg zwischen der vierten und fünften Welle von 23 % auf 30 %.
- Der Anteil der Unternehmen mit Cyberversicherungen stieg von 29 % auf 35 %.
- Der Anteil der Unternehmen, die angaben, keine Kenntnisse über Versicherungen zu haben, sank von 20 % auf 13 %.
- Unternehmen gaben häufiger an, in Bedrohungsanalysen zu investieren (44 % gegenüber 36 %).
- Die Befragten führten mit höherer Wahrscheinlichkeit ein Cybersicherheits-Schwachstellen-Audit durch (60 % gegenüber 56 %).
- Mehr als ein Drittel der Organisationen (37 %) berichteten von einer Erhöhung der Budgets für Cybersicherheit.
Es gibt jedoch auch Anlass zur Sorge. Obwohl im vergangenen Jahr eine Zunahme bei der Einhaltung von Best-Practice-Standards und -Rahmenwerken zu verzeichnen war, erfüllt ein großer Anteil (37 %) der Unternehmen weder die Anforderungen von ISO 27001, Cyber Essentials noch von Cyber Essentials Plus.
Das Risikomanagement in der Lieferkette blieb für viele weiterhin ein blinder Fleck. Nur 28 % der Unternehmen gaben an, in den letzten zwölf Monaten eine formelle Lieferantenbewertung durchgeführt zu haben. „Qualitative Ergebnisse zeigen, dass Organisationen generell wenig Bewusstsein für Cybersicherheitsvorfälle in ihren Lieferketten haben und zwar unterschätzt, da diese wahrscheinlich unbemerkt geschehen“, heißt es im Bericht.
Die Studie zeigt auch, dass, obwohl 90 % der Unternehmen angeben, Cyberrisiken in das breitere Geschäftsrisiko zu integrieren, „dies sich nicht immer in effektiven Budgets oder Schulungen auf Vorstandsebene niederschlägt“.
Das Problem mit reaktiver Sicherheit
Das größte Problem, das im Bericht hervorgehoben wird, ist nicht unbedingt, dass britische Unternehmen keine Anstrengungen zur Verbesserung ihrer Resilienz unternehmen, denn das tun sie in vielen Fällen. Vielmehr geht es um die Art und Weise, wie diese Investitionen getätigt werden. Die Autoren des Berichts verfolgen die teilnehmenden Organisationen über zwei verschiedene Befragungszyklen („Zeitpunkt 1“ und „Zeitpunkt 2“) – in der Regel über ein Jahr hinweg –, um langfristige Veränderungen zu messen.
Sie stellten fest, dass über ein Drittel (34 %) der Organisationen, die zum Zeitpunkt 1 einen Vorfall mit Auswirkungen und/oder Folgen erlebt hatten, anschließend zum Zeitpunkt 2 einen Vorfall ohne Auswirkungen und/oder Folgen erlebten. Dies deutet darauf hin, dass die Organisation entweder reaktiv ihre Resilienz verbessert hat oder dass der zweite Vorfall nicht so gravierend war.
Es gibt noch mehr. Organisationen, die zum Zeitpunkt 1 keinen Vorfall erlebten, schienen keine proaktiven Maßnahmen zur Verbesserung ihrer Sicherheitslage zu ergreifen. Dies deutet möglicherweise darauf hin, dass sie auf ein Ereignis warteten, das positive Veränderungen auslösen würde. Im Gegensatz dazu implementierten Organisationen, die einen Vorfall erlebten, mit höherer Wahrscheinlichkeit positive Veränderungen in acht Bereichen, darunter die Reaktion auf Vorfälle, das Risikomanagement in der Lieferkette und die Einbindung der Führungsebene.
„Die Unvorhersehbarkeit von Cyberangriffen als Katalysator für Veränderungen ist besorgniserregend“, warnen die Autoren des Berichts.
Weitere Beispiele für eine reaktive Sicherheitslage sind unter anderem die folgenden Erkenntnisse:
- Organisationen erhalten mit größerer Wahrscheinlichkeit zum Zeitpunkt 2 eine ISO 27001/Cyber Essentials-Zertifizierung, wenn sie zum Zeitpunkt 1 einen Vorfall mit Auswirkungen und/oder Folgen erlebt haben.
- Reputationsrisiken wurden von den Befragten „häufig“ als Motivation für Veränderungen genannt, insbesondere von Cybersicherheitsteams und der Führungsebene.
- „Externe Einflüsse“ spielten eine entscheidende Rolle bei der Entstehung von Veränderungsdynamiken, wie beispielsweise die Ransomware-Angriffe auf Einzelhändler in den Einkaufsstraßen „Die Teilnehmer gaben an, dass diese öffentlichen Vorfälle sie veranlassten, zusätzliche Kontrollen durchzuführen oder aufgrund der potenziellen Auswirkungen auf ihre eigene Organisation Fördermittel zu bewilligen“, heißt es in dem Bericht.
Hindernisse für den Erfolg
„Reaktive Sicherheitsmaßnahmen lassen Unternehmen immer einen Schritt hinterher. Bis eine Warnung ausgelöst wird, hat der Angreifer bereits in irgendeiner Form Erfolg gehabt“, erklärt Michael Downs, Vizepräsident von SecureEnvoy, gegenüber IO (ehemals ISMS.online). „Der proaktive Aufbau von Resilienz, insbesondere auf der Identitätsebene, ist nicht länger optional; es ist der einzige Weg, Risiken zu minimieren, bevor sie sich manifestieren.“
Wäre proaktive Sicherheit jedoch so einfach, würde sie jeder praktizieren. Andy Ward, SVP International bei Absolute Security, nennt mehrere wichtige Hürden.
„Eine Herausforderung besteht darin, die Unterstützung des Vorstands und der Cybersicherheitsleitung zu gewinnen, um die Resilienz auf die oberste Führungsebene zu heben und klare Strategien für die vollständige Wiederherstellung des Betriebs nach einer Störung zu entwickeln. Ohne diese Einbindung können proaktive Maßnahmen verzögert oder uneinheitlich angewendet werden“, erklärt er gegenüber IO.
„Ein weiteres zentrales Hindernis ist die rasante Zunahme von Geräten und Softwareanwendungen, wodurch IT-Systeme komplexer und schwieriger zu verwalten werden. Diese unübersichtliche Struktur erschwert es, Systeme auf dem neuesten Stand zu halten und proaktive Maßnahmen zur Cybersicherheit an allen Endpunkten zu implementieren.“
Ward weist zudem auf Finanzierungsprobleme und den Mangel an Fachkräften hin, die Unternehmen – insbesondere kleinere Firmen – bei diesen Bemühungen behindern. „Viele kleinere Unternehmen glauben fälschlicherweise, sie seien zu klein, um Cyberkriminelle anzulocken, oder dass die Speicherung von Daten in der Cloud sie automatisch schützt“, fügt er hinzu.
Der Weg zu proaktiver Sicherheit
Doch mit dem richtigen Ansatz sollten diese Hürden nicht unüberwindbar sein, argumentiert James Mackay, CEO von MetaCompliance.
"„Mehr Proaktivität beginnt damit, das Ziel der Sensibilisierung für IT-Sicherheit neu zu definieren: von der reinen Durchführung von Schulungen hin zum Management menschlicher Risiken“, erklärt er gegenüber IO. „Mit der Zeit fördert dieser Ansatz eine verhaltensbasierte Sicherheitskultur. Mitarbeiter erleben Sicherheit nicht mehr als gelegentliche Übung im Schulungsraum, sondern als Teil ihrer täglichen Arbeit.“
Standards für bewährte Verfahren wie ISO 27001 können eine „starke Unterstützung“ dieser Neuausrichtung sein, solange sie nicht als Checkliste betrachtet werden, fügt Mackay hinzu.
„ISO 27001 setzt voraus, dass Sie Ihre Informationssicherheitsrisiken verstehen, geeignete Kontrollmaßnahmen implementieren und sicherstellen, dass Ihre Mitarbeiter kompetent sind und ihre Sicherheitsverantwortung kennen“, fährt er fort. „Sie bilden die Grundlage dafür, wie Sicherheit in einem Unternehmen gemanagt werden sollte.“
Wenn mehr Organisationen diese Art von strukturiertem Ansatz übernehmen, könnten die Ergebnisse der Längsschnittstudie im nächsten Jahr beruhigender ausfallen.
Erweitern Sie Ihr Wissen
Blog: Der Resilienzfaktor: Eine Analyse des BridgePay-Ransomware-Angriffs
Herunterladen: Der Bericht zum Stand der Informationssicherheit 2025
