Das NCSC sagt: „Es ist Zeit zu handeln“, aber wie?

Es ist ungewöhnlich, einen offenen Brief einer Wirtschaftsführerin am Anfang eines Regierungsberichts zur Cybersicherheit zu lesen. Vor allem, wenn es sich um jemanden handelt, dessen Unternehmen gerade einen demütigenden Sicherheitsvorfall erlitten hat. Doch wir leben in außergewöhnlichen Zeiten. Und die Botschaft ist von entscheidender Bedeutung. Deshalb räumte das Nationale Zentrum für Cybersicherheit (NCSC) des britischen Geheimdienstes GCHQ der CEO der Co-op Group, Shirine Khoury-Haq, zu Beginn seines Berichts Raum ein. Jahresrückblick 2025.

Ihre Botschaft, die sich wie ein roter Faden durch das gesamte Dokument zieht, war einfach: Vorbereitung ist alles. Doch wie können Unternehmensleiter heute sicherstellen, dass sie in ihrer Organisation eine ausreichende Cyberresilienz aufbauen, um im Falle eines Sicherheitsvorfalls morgen den Geschäftsbetrieb aufrechtzuerhalten?

Anstieg national bedeutsamer Ereignisse

Die Zahlen des vergangenen Jahres sprechen für sich. Laut NCSC waren fast die Hälfte (48 %) der Vorfälle, auf die sein Incident-Management-Team im vergangenen Jahr reagierte, von „nationaler Bedeutung“. Das entspricht 204 einzelnen Vorfällen oder vier pro Woche. Rund 4 % (18) werden als „hochbedeutend“ eingestuft – ein Anstieg von 50 % im Vergleich zum Vorjahr. Diese Vorfälle liegen eine Stufe unter der höchsten Schweregradstufe, die schwerwiegende wirtschaftliche und soziale Folgen oder sogar Todesfälle kennzeichnet. Dennoch handelt es sich um Cyberangriffe und Sicherheitslücken, die gravierende Auswirkungen auf die Zentralregierung, wichtige Dienstleistungen und einen großen Teil der britischen Bevölkerung und Wirtschaft haben können.

Interessanterweise gingen 29 vom NCSC in diesem Zeitraum bearbeitete Vorfälle auf nur drei Schwachstellen zurück: CVE-2025-53770 (Microsoft SharePoint Server), CVE-2025-0282 (Ivanti Connect Secure, Policy Secure & ZTA Gateways) und CVE-2024-47575 (Fortinet FortiManager). Dies verdeutlicht unmittelbar das große Potenzial für Organisationen, die risikobasierte Patch-Management-Programme einführen möchten.

„Dieses Potenzial ist überall vorhanden, wenn Führungskräfte nur ausreichend motiviert oder sich der Notwendigkeit bewusst wären, es zu nutzen“, sagt Richard Horne, CEO des NCSC. In seinem Vorwort beschreibt er die Herausforderungen, denen sich britische Unternehmen gegenübersehen, als „um ein Vielfaches wachsend“. Horne schlussfolgert: „Cybersicherheit ist heute entscheidend für den langfristigen Erfolg und das Überleben von Unternehmen. Es ist Zeit zu handeln.“

Ein Brief an den FTSE 350

Diese Dringlichkeit wird durch die jüngsten katastrophalen Cyberangriffe unterstrichen, die unter anderem Jaguar Land Rover (JLR), M&S und die Co-op-Gruppe betrafen. Schätzungen zufolge belaufen sich die Gesamtverluste dieser Unternehmen und ihrer Zulieferer auf fast eine Milliarde Pfund. Auch deshalb appelliert der Bericht eindringlich an die Unternehmensführung, Cybersicherheit nicht länger als Angelegenheit der IT-Abteilung zu betrachten, sondern ihre entscheidende Bedeutung für das Unternehmenswachstum und die britische Wirtschaft zu erkennen.

Deshalb wird auch Khoury-Haq von der Co-op Group erwähnt. Und deshalb betont Horne: „Alle Unternehmensleiter müssen die Verantwortung für die Cybersicherheit ihrer Organisation übernehmen.“ Aus diesem Grund fördert der Bericht auch verschiedene Initiativen des NCSC, wie zum Beispiel:

• Der Verhaltenskodex für Cyber-Governance: Er soll Vorständen und Aufsichtsräten helfen, digitale Risiken besser zu managen.
• Das Schulungsprogramm für Cyber-Governance orientiert sich an den fünf Kernprinzipien des Kodex: Risikomanagement, Strategie, Personal, Vorfallplanung, Reaktion und Wiederherstellung sowie Qualitätssicherung und Aufsicht
• Die NCSC-Leitlinien zum Thema „Einbindung von Vorständen zur Verbesserung des Managements von Cybersicherheitsrisiken“ unterstützen CISOs bei der effektiveren Kommunikation mit ihren Vorständen.
• Die Grundsätze der Cybersicherheitskultur, die beschreiben, wie eine gute Sicherheitskultur aussieht und wie Verhaltensweisen geändert werden können.
• Das Cyber-Aktions-Toolkit zur Stärkung des Cyberbewusstseins bei Kleinunternehmern

Aus diesem Grund hat die Regierung – offenbar in einer koordinierten Aktion – die CEOs der FTSE 350-Unternehmen angeschrieben und sie eindringlich gebeten, das Ausmaß der Bedrohung zu erkennen.

„Zu lange war Cybersicherheit eine Angelegenheit des mittleren Managements und wurde erst im Krisenfall an die Führungsebene weitergeleitet. Es geht nicht darum, ob man Opfer eines Cyberangriffs wird, sondern darum, darauf vorbereitet zu sein, wenn es soweit ist.“ sagte der Sicherheitsminister Dan Jarvis bei der Vorstellung des Berichts. Bezeichnenderweise betonte er den Wettbewerbsvorteil, den bewährte Cybersicherheitspraktiken Unternehmen bieten können.

Resilienz aufbauen

Die gute Nachricht ist: Obwohl die Bedrohung zunimmt, behauptet das NCSC, dass die meisten beobachteten Aktivitäten nicht grundlegend neu sind – ob staatlich gefördert oder von Gruppen wie Scattered Spider durchgeführt. Das dürfte die Cyberresilienz etwas erleichtern. Doch was genau beinhaltet der Bericht? Neben der Auflistung von NCSC-Initiativen wie Active Cyber ​​Defence und Cyber ​​Essentials hebt das 100-seitige Dokument das Konzept des „Resilienz-Engineerings“ hervor.

Obwohl das Konzept seinen Ursprung in der Sicherheitstechnik hat, könnte es laut NCSC durch Initiativen wie die folgenden effektiv in den Cyberbereich übertragen werden:

Infrastruktur als Code: Ermöglicht es Organisationen, Systeme zuverlässig zu replizieren, um eine schnelle Wiederherstellung zu gewährleisten und eine vertrauenswürdige, unveränderliche Infrastruktur bereitzustellen.

Unveränderliche Backups: Ermöglicht eine effektive Wiederherstellung bei vollständigem Umgebungsverlust (einschließlich Identität, Cloud-Konfigurationen, Hypervisoren usw.).

Segmentierung: Zur Isolierung und Eindämmung, um die Auswirkungen während eines Ereignisses zu minimieren, oder „konsequent, um Vertrauensgrenzen zu schaffen“.

Geringstes Privileg: Um Schäden zu begrenzen und Zero-Trust-Ansätze zu unterstützen, soll dies für alle Dienste gelten.

Beobachtbarkeit und Überwachung: Zur Erkennung von Anomalien und zur Verbesserung des Lernens nach Vorfällen.

Chaos Engineering: Die bewusste Einführung von Fehlern bei der Validierung/Prüfung von Erkennungs- und Wiederherstellungsprozessen.

Robuste Abläufe: Dazu gehört auch, sicherzustellen, dass Krisenreaktionshandbücher digital oder physisch auf separaten Plattformen oder in gedruckter Form verfügbar sind.

Schauen Sie sich die Standards an

Peter Connolly, CEO bei Toro-Lösungenargumentiert, dass Best-Practice-Standards wie ISO 27001 Organisationen dabei helfen können, ihre Cyberresilienz zu verbessern.

„Es bietet einen strukturierten Rahmen für das Risikomanagement, der über die IT hinausgeht und auch Menschen, physische Sicherheit und Geschäftskontinuität umfasst“, erklärt er gegenüber ISMS.online. „Durch diesen integrierten Ansatz können Unternehmen die Auswirkungen von Vorfällen minimieren, kritische Abläufe aufrechterhalten und Kunden, Investoren und Partnern demonstrieren, dass Sicherheit für sie höchste Priorität hat.“

Connolly ergänzt, dass Organisationen die Einhaltung der ISO 27001 nutzen sollten, um Sicherheit in die alltägliche Geschäftskultur zu integrieren.

„Das bedeutet, Sicherheitsprinzipien in den Arbeitsalltag zu integrieren, anstatt sie als separate Aufgabe zu behandeln“, so sein Fazit. „Man sollte zunächst die kritischsten Risiken angehen und sicherstellen, dass Cybersicherheit, physische Sicherheit und Personensicherheit gemeinsam betrachtet werden. Dieser Ansatz schafft echte Resilienz und verleiht gleichzeitig international anerkannte Glaubwürdigkeit.“

Der Begriff „Resilienz“ wird im NCSC-Bericht 139 Mal erwähnt. Es ist an der Zeit, dass die britische Wirtschaft dies zur Kenntnis nimmt.