Cyberbedrohungen
Security as a Service: alternativlos
Die Befragung für die Computerwoche-Studie zu Sicherheit als Service zeigt bei näherem Hinsehen deutlich, dass künftig der Wechsel der Anwender zu einem Modell der Security as a Service alternativlos ist. Unser Autor zeigt auf, warum das so ist.
Security-as-a-Service ist eines der wichtigsten künftigen Geschäftsbereiche. Die Computerwoche hat in Zusammenarbeit mit Computerwoche Research anhand einer Umfrage diesen Bereich untersucht, und Trend Micro hat die Studie als Gold-Sponsor unterstützt. Zwischen den Antworten der Befragten und der Wirklichkeit scheint es Diskrepanzen zu geben: Denn mehr als zwei Drittel der Unternehmen in Deutschland glauben, bei Erkennung und Abwehr von Cyberangriffen „sehr gut“ oder „gut“ aufgestellt zu sein. Gleichzeitig berichten aber fast 90 Prozent derselben Unternehmen davon, dass sie in den vergangenen beiden Jahren von Cybervorfällen betroffen waren. Vier von fünf Anwendern nutzen auch bereits für die allgemeine Risikobewertung Managed Security Services.
Ergebnisse der Studie können Sie hier nachlesen. In solchen Untersuchungen ist es üblich, nur Highlights vorzustellen. Dabei enthalten die Rohdaten meist noch andere kleinere „Diamanten“, die für sich betrachtet eine eigene Geschichte erzählen.
Es ist bekannt, dass die Beurteilung gewisser Themen der IT-Security durch Geschäftsführung und IT-Sicherheitsabteilungen in den meisten Unternehmen unterschiedlich ausfällt. Die einen sind eher optimistisch, die anderen meist weniger. Unnötig zu erwähnen, dass der Optimismus eher in der Chefetage zu finden ist. Die Computerwoche-Studie hat deshalb auch die Antworten nach den Aussagen von Geschäftsentscheidern und IT (Security)-Entscheidern differenziert, in Einzelfällen auch danach, ob die Antworten von Unternehmen stammen, die nach eigenen Angaben bereits Opfer einer Cyberattacke mit erheblichem Schaden waren. Dadurch ergeben sich spannende Denkmuster!
Sicherheitsstandards - Gründe für Security-as-a-Service
Bei der Frage nach den Herausforderungen im Cybersicherheitsbereich wurde natürlich der Fachkräftemangel beklagt. Interessanterweise lag dieser Punkt aber lediglich auf Rang 5. Hauptprobleme sind offenbar der Aufwand für Implementierung (Platz 1) und die kontinuierliche Überwachung (Platz 2) von Sicherheitsstandards bzw. -vorgaben im Unternehmen. Spannend ist dabei auch die Erkenntnis, dass Geschäftsführungen vor allem die Frage der Implementierung anders betrachten als IT-Sicherheitsverantwortliche. Zwei Drittel der Geschäftsführungen halten sie für eine große Herausforderung, wohingegen nur ein Drittel der IT- und IT-Sicherheitsverantwortlichen das ebenso sehen.
Beide sind sich allerdings weitestgehend einig, wenn es um die kontinuierliche Überwachung geht. Jeweils etwas über 40% der Befragten beider Positionen betrachten dies als das zweitgrößte Problem. Dieser Punkt hat deswegen seinen „eigenen Reiz“, weil mit der nationalen Umsetzung der NIS2-Direktive, die für Januar 2024 in Deutschland geplant ist, nach BMI-Schätzungen ca. 30.000 Unternehmen neu unter die erweiterte Rechtsprechung für kritische Infrastrukturen fallen. Mit anderen Worten, etwa ein Drittel aller deutschen Unternehmen mit mehr als 50 Mitarbeitern werden sich in naher Zukunft mit genau diesen Aufgaben näher vertraut machen müssen. „Security as a Service“ könnte unter diesen Gesichtspunkten zur Mangelware werden!
Aber noch etwas anderes spielt in dieser Betrachtung eine Rolle: Der große Unterschied zwischen der Auffassung der IT und Geschäftsführung bezüglich der Aufwendungen zur Implementierung von Sicherheitsstandards kann zum Problem werden. Geschäftsführungen müssen nach NIS2 in einer Risikobewertung geeignete Security-Maßnahmen in Betracht ziehen und umsetzen. Die Maßnahmen müssen dabei angemessen und wirtschaftlich sein. Werden die Aufwände falsch und als zu teuer eingeschätzt, kann dies dazu führen, dass nötige Sicherheitsmaßnahmen am Rotstift des Risikomanagements scheitern. Hier gilt es für IT-Sicherheitsverantwortliche, bei Implementierung der Maßnahmen und vor allem ihrem Wirkungsgrad realistische Einschätzungen abzugeben.
Die eigenen Fähigkeiten verstehen
In der Studie schätzten knapp drei Viertel der Befragten die eigene Fähigkeit Angriffe abzuwehren, als „gut“ oder „sehr gut“ ein. 65% sind sich auch sicher, innerhalb von Stunden oder gar Minuten auf Vorfälle reagieren zu können. Auch hier gibt es Unterschiede in der Meinung der IT und der Geschäftsführung: Vor allem die Unternehmensleiter sehen ihre Teams dazu in der Lage, Angriffe in Minuten zu erkennen. Fast 63% sind davon überzeugt – aber „nur“ etwa 39% der IT Security-Fachabteilungen. Etwas mehr als 16% sind bezweifeln sogar, im Ernstfall überhaupt den Überblick zu behalten – praktisch undenkbar in Deutschlands Chefetagen, nicht einmal 3% antworteten dementsprechend. Aber ist das auch so?
Tatsächlich berichten nahezu die Hälfte derselben Befragten, durch einen Cyberangriff nennenswerte Schäden erlitten zu haben, wobei fast 40% der Geschäftsführungen diesen als „essenziell“ bezeichneten. Hierzu sei eine Bitkom Erkenntnis beigefügt: Die Hälfte der Unternehmen sehen sich laut der neuen Untersuchung aktuell durch Cyberangriffe in ihrer Existenz bedroht. Kein Wunder, dass die Ausgaben in IT-Sicherheitstechnologien steigen. Bei 14% des IT-Budgets sind sie durchschnittlich, so der Verband. Das sei zwar eine deutliche Zunahme gegenüber dem Vorjahr (9%), sie liegt aber noch unter der Bitkom-Empfehlung von 20%.
Auf eine neu entdeckte Bedrohung zeitnah zu reagieren, ist dabei eine Schlüsselfunktion zur Verteidigung gegen moderne Angriffe. Es darf aber bezweifelt werden, dass Unternehmen in der Fläche wirklich verstehen, was bei einer Attacke passiert. Cyberangreifer agieren oft abends oder kurz vor dem Wochenende. Zum einen sind die Mitarbeiter da gestresster und wollen in den Feierabend, zum anderen sind IT-Sicherheitsabteilungen oft nicht auf 24*7-Support eingestellt und daher schlicht nicht da, um diese Attacken zu beobachten. Ein zu diesem Zeitpunkt erfolgender Angriff hat größere Chancen erfolgreich zu sein. Im 5*8-Betriebsmodell dauert es dann oft Tage, bis der Vorfall tatsächlich untersucht wird, wenn er überhaupt als solcher wahrgenommen wird.
Gebrannte Kinder scheuen das Feuer
Interessant ist auch, wie Unternehmen mit nennenswerten Schäden auf bestimmte Fragen antworteten im Verhältnis zu solchen ohne diese Erfahrung. Erstere schätzen ihre eigenen Fähigkeiten deutlich kritischer ein und stehen der Inanspruchnahme von Fachpersonal bzw. Serviceangeboten für den Incident Response-Fall und einer 24*7 Überwachung im Schnitt um 20% positiver gegenüber als die Kollegen, denen vergleichbare Schäden nicht entstanden waren.
Ob der Optimismus von noch „schadenfreien“ Unternehmen gerechtfertigt ist, lässt nicht sicher beurteilen. In der Studie gaben nur etwas über 28% der Befragten an, durch Penetrationstests oder vergleichbare Maßnahmen die eigenen Fähigkeiten tatsächlich zu prüfen. Leider erleben wir in Incident Response-Fällen immer wieder, dass Unternehmen bei der Selbsteinschätzung viele Faktoren nicht wahrnehmen. Einer der wichtigsten ist, dass sie einen tatsächlichen Angriff unterschätzen.
Fazit
Das Angebot von Security-as-a-Service könnte in naher Zukunft zur Mangelware werden. Die von NIS2 beglückten Unternehmen werden damit zu kämpfen haben, die neuen Auflagen umzusetzen und einzuhalten. Security-Dienstleistungen wie z.B. Incident Response Services werden zudem in Verträgen dauerhaft eingebunden werden - die Direktive spricht von einem Incident-„Mandate“. Service-Partner werden im Ernstfall daher „Triage“ betreiben und ihre Dienstleistungen vorwiegend den Kunden zur Verfügung stellen, mit denen sie Planungssicherheit durch feste Verträge haben.
Dies alles kommt zu einer Zeit, in der viele Unternehmen der Ansicht sind, dass ihre Cybersicherheit gut oder sehr gut ist, aber ohne dies überprüft zu haben. Auf die Frage, ob sie das eigene Unternehmen als besser oder schlechter im Vergleich zu anderen Unternehmen derselben Branche und/oder Größenordnung sehen, antworteten dann auch nahezu alle, sie seien eher „besser“ bis „sehr viel besser“. Nun, wahrscheinlich hatten wir bei der Studie einfach nur Glück, die Besten in ihrer Sparte zu befragen. Andernfalls verschätzen sich wohl einige bei der Beurteilung der eigenen Leistungsfähigkeit. Wir können nur anbieten, diese zu testen. Hier erfahren Sie mehr.