Hier finden Sie alles, was mit der Cybersicherheit im Vereinigten Königreich heute nicht stimmt ISMS.online

Hier finden Sie alles, was heute im Vereinigten Königreich an der Cybersicherheit nicht stimmt

Von Phil Muncaster • 23. Mai 2024

Einen nützlichen jährlichen Überblick über die Sicherheitslage britischer Unternehmen finden Sie bei der Regierung Umfrage zu Cybersicherheitsverstößen. Es bietet einen relativ detaillierten Einblick in das, was funktioniert und was, was häufiger vorkommt, nicht. Insgesamt geben drei Viertel der Unternehmen (93 % der mittleren und 98 % der großen Unternehmen) an, dass ihre Vorstände der Cybersicherheit „hohe Priorität“ einräumen. Aber sagen heißt nicht tun.

Es gibt eindeutig Raum für Verbesserungen in mehreren Bereichen, einschließlich der Reaktion auf Vorfälle, der Sicherheit der Lieferkette, der Rechenschaftspflicht des Vorstands und des Risikomanagements. Am besorgniserregendsten ist vielleicht das mangelnde Bewusstsein für staatliche Sicherheitsrahmen und -initiativen. Neben Best-Practice-Standards wie ISO 27001 könnten diese einen großen Beitrag zur Verbesserung der Cyber-Resilienz der britischen SPS leisten.

Raum für Verbesserung

Die Schlagzeile besagt, dass die Hälfte (50 %) der antwortenden Unternehmen angibt, in den letzten 12 Monaten irgendeine Form von Sicherheitsverstößen oder -angriffen erlebt zu haben – bei mittleren Unternehmen sind es 70 % (und bei großen Unternehmen 74 %). Dies ist ein erheblicher Anstieg gegenüber den jeweiligen Zahlen von 32 %, 59 % und 69 % im letzten Jahr, bedeutet aber nicht unbedingt mehr Verstöße – es könnte sein, dass noch mehr Verstöße entdeckt werden. Tatsächlich beginnt der Bericht mit einigen guten Nachrichten.

Laut der Studie, die auf einer Umfrage unter 2,000 britischen Unternehmen und Folgeinterviews mit 44 Unternehmen basiert, wird die Cyberhygiene immer besser. Der Bericht hebt einen jährlichen Anstieg der Zahl der Unternehmen hervor, die in folgenden Bereichen tätig sind:

Aktueller Malware-Schutz (von 76 % im Jahr 2023 auf 83 % im Jahr 2024)
Einschränkung der Administratorrechte (67 % bis 73 %)
Netzwerk-Firewalls (66 % bis 75 %)
Vereinbarte Prozesse für Phishing-E-Mails (48 % bis 54 %)

Dem Bericht zufolge handelt es sich hierbei um eine Umkehr des Musters, das in den vorangegangenen drei Jahren der Umfrage beobachtet wurde, als es in einigen Gebieten zu anhaltenden Rückgängen gekommen war. Es bestehen jedoch weiterhin Bedenken hinsichtlich folgender Punkte:

Risikomanagement: Weniger als ein Drittel (31 %) der Unternehmen führten im vergangenen Jahr Cyber-Risikobewertungen durch (63 % bei mittleren und 72 % bei großen Unternehmen). Darüber hinaus nutzte nur ein Drittel (33 %) eine Sicherheitsüberwachung (63 %, 71 %).

Lieferantenrisiko: Nur 11 % der Unternehmen prüfen Lieferkettenrisiken – bei mittelständischen Unternehmen sind es nur 28 % und bei Großunternehmen weniger als die Hälfte (48 %).

Vorstandsengagement: Nur 30 % der Befragten haben im Rahmen ihrer Funktion Vorstandsmitglieder, die direkt für Cyber verantwortlich sind, bei mittelständischen Unternehmen sind es bereits die Hälfte (51 %) und bei großen Unternehmen sind es 63 %. Dies ist seit letztem Jahr unverändert.

Strategie: Nur 58 % der mittelständischen Unternehmen und 66 % der Großunternehmen verfügen überhaupt über eine formelle Cybersicherheitsstrategie.

Reaktion auf Vorfälle: Nur ein Fünftel (22 %) verfügt über Pläne zur Reaktion auf Vorfälle, bei den mittleren und großen Unternehmen sind es 55 % bzw. 73 %.

Externe Hilfe: Nur 41 % der Befragten geben an, dass sie Informationen oder Beratung zum Thema Cybersicherheit von außerhalb der Organisation einholen, weniger als im Jahr 2023 (49 %). Nur 13 % kennen die National Cyber Security Centres 10-Schritte-Anleitung (37 %, 44 %) und nur 12 % sagten dasselbe Cyber-Grundlagen (43 %, 59 %).

Was die Experten denken

Marie Wilcox, Sicherheitsevangelistin bei Panaseer, argumentiert, dass selbst Verbesserungen in der Cyberhygiene nicht über die schlechte Sicherheitslage vieler britischer Unternehmen hinwegtäuschen können.

„Organisationen versäumen es immer noch, wesentliche Sicherheitskontrollen einzurichten. Bestenfalls liegen die Organisationen noch unter den Standards von 2021. Selbst große Unternehmen, die sich der Risiken bewusst sind, versäumen es oft, Kontrollen ordnungsgemäß umzusetzen – mindestens 29 % verfügen nicht über Kontrollen für das Patch-Management oder die Beschränkung des Zugriffs auf organisationseigene Geräte“, argumentiert sie.

„Angreifer neigen dazu, sich die am wenigsten hängenden Früchte auszusuchen. 98 % der Sicherheitsverletzungen könnten verhindert werden, wenn man sich auf Sicherheitsgrundlagen und eine bessere Cyber-Hygiene konzentriert. Wenn wir uns mit den richtigen Kontrollen und Richtlinien in Richtung Mittelfeld bewegen, können wir die überwiegende Mehrheit der Angriffe abwehren.“

Der Chef-Sicherheitsstratege von Cylera, Richard Staynings, weist darauf hin, dass das Risikomanagement durch Dritte ein kritischer Fehler vieler britischer Unternehmen ist. Er argumentiert, dass Anbieter Aufträge für kritische Infrastruktursektoren wie das Gesundheitswesen niemals einfach auf der Grundlage des niedrigsten Angebots erhalten sollten.

„Das Problem besteht darin, dass nur wenige Unternehmen [bewährte Sicherheitspraktiken] in ihren Verträgen mit Dritten durchsetzen. Daher ist es eine Grundvoraussetzung, sicherzustellen, dass sie über Richtlinien und Verfahren verfügen, die unseren eigenen Standards entsprechen, dass sie über Qualitätssicherung, Personalschulung und Zugangskontrollen verfügen „Sie sind nach ISO/IEC 27001 zertifiziert – dem weltweit bekanntesten Standard für Informationssicherheits-Managementsysteme (ISMS)“, fügt er hinzu.

Andy Kays, CEO von Socura, ist besonders bestürzt über den relativ geringen Anteil der Unternehmen, die formalisierte Pläne zur Reaktion auf Vorfälle eingerichtet haben – eine Tatsache, die er als „erstaunlich“ bezeichnet.

„Unternehmen werden im Brandfall immer einen Plan haben, werden aber bei einem Datenverstoß nicht die gleiche Sorgfalt walten lassen – was statistisch gesehen viel wahrscheinlicher ist.“ Das widerspricht dem gesunden Menschenverstand“, fährt er fort.

„Im Falle eines Verstoßes führen Unternehmen keine Aufzeichnungen, informieren weder die Polizei noch die Aufsichtsbehörden und bewerten das Ausmaß und die Auswirkungen des Vorfalls nicht. Sie schaffen es nicht, das Nötigste zu tun. Es ist auch wichtig zu beachten, dass Unternehmen nur sehr wenig tun, um Verstöße zu verhindern oder überhaupt aufzudecken.“

Aufbau einer widerstandsfähigeren Zukunft

Eines der enttäuschendsten Ergebnisse des Berichts ist das mangelnde Bewusstsein für staatliche Sicherheitsinitiativen wie „10 Steps“ und „Cyber Essentials“, die darauf abzielen, die Grundsicherheit für normale Unternehmen zu verbessern. Das Gleiche gilt für weltweit anerkannte Best-Practice-Sicherheitsstandards wie ISO 27001, auch wenn einige Befragte dies positiv bewerten. Matt Thomas, Leiter der britischen Märkte bei der NCC Group, argumentiert, dass dies für viele größere Unternehmen auf der To-Do-Liste stehen sollte.

„Während die ISO 27001-Zertifizierung Unternehmen in erster Linie den Weg ebnet, ihre Cyber-Resilienz zu erhöhen, gehen die Vorteile noch viel weiter. Unter dem Gesichtspunkt der Glaubwürdigkeit kann es zum Reputationsschutz beitragen. Und als weltweit anerkanntes Rahmenwerk kann es bei Prüfungen und der Anpassung von Strategien helfen und gleichzeitig sicherstellen, dass Unternehmen die Gesetze einhalten und kostspielige Bußgelder vermeiden“, sagt er gegenüber ISMS.online.

„Wenn ISO 27001 weiter verbreitet wird, könnten wir ein ganz anderes Bild sehen, wenn zukünftige Umfragen zu Cyber-Verstößen veröffentlicht werden. Unternehmen, die einen proaktiven Ansatz für ihre Cyber-Hygiene verfolgen, werden zweifellos weniger Opfer eines Cyber-Angriffs werden.“

Keith Fenner, General Manager EMEA und Diligent, kommt zu dem Schluss, dass EU-Gesetze wie NIS 2 und DORA viele Organisationen dazu zwingen werden, ihr Risikomanagement und ihre Berichterstattung zu verbessern.

„Zur Vorbereitung benötigen Unternehmen ein robustes IT-Compliance-Programm, das zunehmend durch KI- und Automatisierungsfunktionen unterstützt wird, damit sie Kontrollen mehreren Vorschriften zuordnen und Kontrollen kontinuierlich überwachen können, um die Wahrscheinlichkeit von Datenschutzverletzungen zu verringern“, sagt er gegenüber ISMS.online.

„Dieses Programm sollte Teil einer integrierten GRC-Plattform sein, um sowohl interne als auch externe Audits zu erleichtern, mehreren Stakeholdern der Organisation die Einsicht und Zusammenarbeit zu ermöglichen und eine optimierte Berichterstattung bis zum Vorstand zu ermöglichen, sodass Cyberrisiken in die Gesamtstrategie der Organisation integriert werden.“ . Schließlich sollten Vorstand und Management Schulungsprogramme und Zertifizierungen nutzen und ihre CISOs ansprechen, um ihre Cyberkompetenzen auszubauen, damit sie unternehmensweite Cyberrisiken effektiv steuern können.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster

Hier finden Sie alles, was heute im Vereinigten Königreich an der Cybersicherheit nicht stimmt

Raum für Verbesserung

Was die Experten denken

Aufbau einer widerstandsfähigeren Zukunft

Phil Muncaster

In Verbindung stehende Artikel

Von der Perimetersicherheit zur Identitätssicherung

Leben nach dem Stichtag: Wie die Einhaltung der DORA-Vorschriften zu operativer Stabilität führt

Das Zeitalter der Compliance: Wie Regulierung, Technologie und Risiko die Geschäftsnormen neu schreiben

Lesen Sie mehr von Phil Muncaster

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben