Hat die Cyberresilienz Großbritanniens ihren Höhepunkt erreicht?

Hat die britische Cyber-Resilienz ein Plateau erreicht?

Von Dan Raywood • 14. Mai 2024

Alle Unternehmen sollten eine höhere Cyber-Resilienz anstreben. Dies bedeutet, dass sie besser in der Lage sind, einen Angriff abzuwehren, ihn zu überleben und sich nach einem Vorfall zu erholen. Allerdings kann die Messung der Cyber-Resilienz eine Herausforderung sein. Dort ist die Regierung Längsschnittstudie zur Cybersicherheit kommt in.

Freigegeben früher in diesem JahrEs kommt zu dem Ergebnis, dass Unternehmen ihre Cyber-Resilienz im Vergleich zu Umfragen der Vorjahre kaum verbessert haben. Besonders besorgniserregend ist das mangelnde Interesse an Cyber Essentials und ISO 27001.

Die Belastbarkeit bleibt stabil

Der Schlüssel zu dieser Umfrage besteht darin, dass sie für jede jährliche „Welle“, die sie durchführt, dieselben 1000 Unternehmen verfolgt, um den zeitlichen Fortschritt mittlerer und großer britischer Unternehmen zu messen. Diese jüngste Welle (drei) zeigt, dass die Cyber-Resilienz trotz einer wahrscheinlichen Änderung der Budgets und Prioritäten im Zuge der Pandemie weitgehend stabil geblieben ist.

Auf der politischen Seite ist die Zahl der Unternehmen, die einen Geschäftskontinuitätsplan zur Cybersicherheit erstellt haben (76 % gegenüber 69 % vor zwei Jahren) und eine schriftliche Liste der Schwachstellen ihres Unternehmens (61 % gegenüber 54) leicht gestiegen %), einen schriftlichen Prozess zur Reaktion auf Vorfälle (59 % gegenüber 51 %) und eine Cyber-Versicherungspolice (79 % gegenüber 66 %).

Trotz dieser geringfügigen Verbesserungen argumentiert Brian Honan, CEO von BH Consulting, dass die Statistiken nicht als Indikator für die Cybersicherheitsresistenz eines Unternehmens herangezogen werden können.

„Viele dieser Punkte werden mittlerweile als Mindestanforderungen für Unternehmen angegeben, die unsere Cyber-Versicherung abschließen möchten“, sagt er gegenüber ISMS.online.

Er fügt hinzu, dass viele Unternehmen Cybersicherheit immer noch nicht als kritisches Geschäftsrisiko, sondern eher als IT-Problem betrachten.

„Je früher Unternehmen besser verstehen, wie sehr sie auf ihre IT-Systeme, das Internet und die Daten, die sie haben, angewiesen sind, desto eher werden sie erkennen, dass Cybersicherheit als kritisches Geschäftsrisiko behandelt und verwaltet werden sollte“, argumentiert er.

Simon Newman, CEO des Cyber Resilience Centre, erklärt gegenüber ISMS.online, dass seiner Meinung nach viele Unternehmen immer noch Probleme mit der grundlegenden Cyberhygiene haben.

„Einer der Hauptgründe ist ein vermeintlicher Mangel an Fähigkeiten oder Wissen, aber wir wissen auch, dass es eine echte Herausforderung darstellt, sie überhaupt erst dazu zu bringen, die Bedrohung zu verstehen“, argumentiert er.

Insbesondere hat er erlebt, dass Unternehmen denken, es sei das Beste, ein paar Wochen zu warten, bevor sie ihre Software aktualisieren, da sie „Geschichten“ über neue Updates hören, die Probleme verursachen.

Honan fügt hinzu, dass Unternehmen ihre Cybersicherheitsstrategie zur Stärkung ihrer Cybersicherheitsstrategie auf einem umfassenden Cyberrisikoprogramm mit ausgereiften Prozessen und Verfahren sowie umfassender Zustimmung und Führung durch die Geschäftsleitung stützen sollten.

Sind Chefs informiert?

Die Längsschnittumfrage ergab, dass 55 % der Unternehmen inzwischen ein Mitglied in ihrem Vorstand haben, zu dessen Aufgaben auch die Überwachung von Cybersicherheitsrisiken gehört. Auch der Anteil der Unternehmen, die berichten, dass ihr Vorstand über Cybersicherheit spricht, ist gestiegen – 43 % in diesem Jahr, gegenüber 37 % in der ersten Welle.

Laut Honan müssen Vorstände und Führungskräfte verstehen, dass eine immer größere Menge an Vorschriften rund um Cyber, Datenschutz, KI und das Internet der Dinge – sowohl im Vereinigten Königreich als auch in der EU – die Verantwortung für Cybersicherheit bei der Geschäftsleitung und dem Vorstand erhöht Ebene.

Vertrauen Sie dem Prozess

Leider scheint die Einhaltung von Best-Practice-Standards und -Rahmenwerken ins Stocken zu geraten. Die Umfrage zeigt, dass nur 38 % der Unternehmen derzeit die Best-Practice-Ratschläge von Cyber Essentials (entweder Standard- oder Plus-Zertifizierungen) oder ISO 27001 befolgen. Newman vom Cyber Resilience Centre sagt, dass diese Optionen hilfreich sein können, aber oft besteht die Herausforderung darin was er einen „uninformierten Kunden“ nennt, bei dem Benutzer nicht wissen, wo sie sich an technisches Fachwissen wenden können.

Newman fügt hinzu, dass das Bewusstsein und die Akzeptanz von Cyber Essentials nach wie vor zu gering sind – insbesondere bei kleineren Unternehmen, die nicht unbedingt den Wert darin erkennen, sich daran zu halten. Andere tun dies nur, um Vertragsanforderungen zu erfüllen. Er behauptet, ein Teil des Problems sei die Unfähigkeit der Regierung, den Wert von Cyber Essentials und Best-Practice-Ratschlägen des National Cyber Security Center (NCSC) zu fördern.

Newman argumentiert, dass auch die Kosten ein Problem seien, da sich die Gesamtausgaben für Cyber Essentials durch Zusatzleistungen oft auf bis zu 1000 £ belaufen. Obwohl die meisten Organisationen die erforderlichen Kontrollen implementiert haben, um Cyber Essentials zu erlangen, haben viele der Umfrage zufolge nicht die volle Akkreditierung erhalten.

Mit ein bisschen Hilfe

Die diesjährige Umfrage ergab, dass nur 19 % den ISO 27001-Standard einhalten – kaum eine Veränderung gegenüber Wave One (15 %). Dies scheint im Widerspruch zu der Aussage der Umfrage zu stehen, dass „die Ergebnisse der qualitativen Interviews darauf hindeuten, dass die ISO 27001-Zertifizierung von Unternehmen als die robusteste und umfassendste Akkreditierung angesehen wird, die es gibt.“

Honan von BH Consulting argumentiert, dass viele Unternehmen ISO 27001 für zu aufwändig oder zu kostspielig halten, um es zu erreichen und aufrechtzuerhalten.

„Während viele Unternehmen ISO 27001 als Rahmen für den Aufbau ihres Cybersicherheitsprogramms verwenden, unternehmen möglicherweise nicht alle den nächsten Schritt und streben eine Zertifizierung nach dem Standard an“, sagt er.

Die Erlangung einer Zertifizierung und die Aufrechterhaltung der Compliance können Zeit, Geld und Ressourcen kosten, obwohl externe Compliance-Spezialisten den Prozess mithilfe digitaler Tools erheblich rationalisieren können.

Durch die Zertifizierung nach einem Standard wie ISO 27001 kann ein Unternehmen gegenüber wichtigen Stakeholdern wie dem Vorstand, der Geschäftsleitung, Kunden und Aufsichtsbehörden nachweisen, dass es branchenweit anerkannte Best Practices für Cybersicherheit befolgt.

Könnte KI diesen Unternehmen dabei helfen, ihre Compliance-Reise zu beschleunigen? Laut Honan liegt der Schlüssel zu ISO 27001 und vielen aktuellen Cyber-Vorschriften in einem risikobasierten Sicherheitsansatz.

„Damit ISO 27001 auf Ihr Unternehmen anwendbar ist, muss es sich auf die Anforderungen des Unternehmens konzentrieren“, sagt er. „Obwohl Vorlagendokumente und sogar KI bei der Entwicklung Ihres ISO 27001-Projekts hilfreich sein können, würde ich darauf achten, dass die Ergebnisse dieser Tools nicht zu allgemein für Ihr Unternehmen sind.“

Dan Raywood

Dan Raywood schreibt seit 2008 über IT-Sicherheit und ist ehemaliger Analyst in der Informationssicherheitspraxis bei 451 Research. Er hat auf Messen wie 44CON, SecuriTay, SteelCon, Irisscon und Infosecurity Europe Vorträge gehalten, außerdem für eine Reihe von Anbieter-Blogs geschrieben und in Webcasts präsentiert.

Lesen Sie mehr von Dan Raywood

Internet-Sicherheit 30 September 2025

Wird der Grok-Verstoß zu echten Sicherheitsbedenken führen? Banner

Wird der Grok-Datenleck Sicherheitsbedenken bei GenAI hervorrufen?

Ein kürzlicher Vorfall hat Bedenken hinsichtlich des Umgangs von GenAI-Tools mit Daten geweckt. Ist es an der Zeit, sicherzustellen, dass Ihre Daten nicht in deren L... landen?

Dan Raywood

Internet-Sicherheit 29. Mai 2025

io Cybersicherheit und Datenschutz NIST-Framework erhält Facelift-Banner

Cybersicherheit und Datenschutz: Das NIST-Framework erhält ein neues Gesicht

NIST hat kürzlich Pläne angekündigt, sein Datenschutz-Framework zu aktualisieren und es organischer und weniger statisch zu gestalten. Ist dies für die Praxis von Vorteil?

Dan Raywood

Internet-Sicherheit 21 Januar 2025

Zero-Day-Schwachstellen Wie können Sie sich auf das unerwartete Banner vorbereiten?

Zero-Day-Schwachstellen: Wie können Sie sich auf das Unerwartete vorbereiten?

Warnungen globaler Cybersicherheitsbehörden zeigten, dass Schwachstellen häufig als Zero-Day-Angriffe ausgenutzt werden. Angesichts einer solch unvorhersehbaren Situation...

Dan Raywood