BlackBerry-Studie: Eine große Mehrheit berichtet von einem Vorfall innerhalb der vergangenen zwölf Monate. [...]
Deutsche Unternehmen werden immer wieder von Lücken in und Angriffen auf ihre Software-Lieferkette überrascht. Das geht aus einer neuen Studie von BlackBerry hervor, die auf einer Umfrage unter hundert deutschen IT- und Cybersecurity-Entscheidern basiert. In den vergangenen zwölf Monaten haben 81 Prozent der befragten Unternehmen einen Angriff auf oder eine Schwachstelle innerhalb ihrer Software-Lieferkette festgestellt. Ein erfolgreicher Angriff kann schwerwiegende Folgen für das Geschäft haben.
Angriffe auf deutsche Unternehmen jeder Größe sind keine Seltenheit und die meisten Entscheider verfolgen schon eine Strategie, um sich abzusichern. BlackBerry zeigt allerdings in seiner neuen Studie, dass die Software-Lieferkette ein blinder Fleck in der Sicherheitsstrategie der meisten Unternehmen darstellt. Denn knapp Vier von Fünf Unternehmen (79 Prozent) wurden im vergangenen Jahr auf einen Teil ihrer Software Supply Chain aufmerksam gemacht, der ihnen vorher unbekannt und der ungeschützt war. Die größten Gefahrenpotentiale bergen Schwachstellen in Webbrowsern (30 Prozent) und Betriebssystemen (27 Prozent).
Ein besorgniserregender toter Winkel, denn die Befragten berichten von ernsten Konsequenzen. Die meisten wurden Opfer von Datenverlust (57 Prozent), erlebten finanzielle Einbußen (53 Prozent) und den Verlust von geistigem Eigentum (51 Prozent). Hinzu kommen die Beeinträchtigung des Geschäfts (47 Prozent) und ein Reputationsschaden (40 Prozent). Um sich vollständig von einem Angriff zu erholen brauchten 59 Prozent der Unternehmen meistens länger als eine Woche.
Erfolgversprechende Sicherheitsmaßnahmen sind den Entscheidungsträgern nicht bekannt
Aus der Studie geht hervor, dass Entscheider vor allem auf Datenverschlüsselung (54 Prozent), Schulungen für Mitarbeiter zum Sicherheitsbewusstsein (39 Prozent) und eine Vulnerability Disclosure Policy (39 Prozent) setzen, um ihre Software-Versorgungskette abzusichern. Eine Vulnerability Disclosure Policy legt fest, wie ein ethischer Hacker seine Informationen über entdeckte Schwachstellen in Systemen ermitteln und weitergeben soll.
Eine sehr effektive Methode, um einem Angriff vorzubeugen nutzen lediglich knapp ein Drittel der befragten – die Software Bill of Materials (SBOM) wird nur von 34 Prozent der Unternehmen eingesetzt. In der digitalen Stückliste werden alle Software-Bausteine aufgeführt die eingekauft oder verwendet werden. Eine SBOM erlaubt es schnell und einfach einen Überblick über die eigene Software zu erhalten, sie zu auf Schwachstellen hin zu untersuchen und die Cybersicherheit auszubauen. Die Lösung erlaubt es Akteuren Licht in die die Dunkelstellen ihrer Lieferketten zu bringen.
Auf die Frage, warum die Unternehmen eine Lösung nicht einsetzen, die ihre Cybersicherheitslage verbessern kann, machten die Umfrageteilnehmer ein mangelndes technisches Verständnis (39 Prozent), den Fachkräftemangel (37 Prozent) und das Fehlen wirksamer Tools (34 Prozent) verantwortlich. Es fehlt den Unternehmen sowohl an den nötigen Arbeitsstunden als auch an dem nötigen Wissen, um die Software-Lieferkette abzusichern.
Moderne Lösungen leisten einen wichtigen Beitrag, um zuverlässig eine SBOM automatisch zu erstellen. Sie dienen zudem häufig dazu, Software auf Schwachstellen und handwerkliche Fehler zu überprüfen. Dank ihrer Genauigkeit vermeiden die Lösungen dabei False Positives, was viel Aufwand und Zeit spart. Unternehmen haben mit Lösungen dieser Art die Chance, wirksam ihre Cybersicherheit zu stärken, ohne sich von Fachkräftemangel und fehlemden Know-how ausbremsen zu lassen. Die Studie zeigt, dass bisher nicht einmal jedes fünfte Unternehmen diesen Weg geht.
Zeitkritische Reaktionen keine Priorität
Der kommende Cybersicherheitsstandart NIS2 tritt im Oktober 2024 in Kraft und doch zeigt der Report, dass sich ein Graben zwischen Vorgaben und der Prioritäten der Studienteilnehmer auftut. 64 Prozent der Befragten Unternehmen in der Bundesrepublik müssen sich an die kommenden Vorgaben halten und 54 Prozent fühlen sich sehr gut oder gut auf die neuen Richtlinien vorbereitet. Diese gibt vor, dass betroffene Unternehmen den Behören innerhalb von 24 Stunden nach einem Angriff diesen melden müssen. Trotzdem gibt die große Mehrheit der Unternehmen (71 Prozent) an, das sie mehr als einen Tag benötigen, um eine Sicherheitslücke zu identifizieren. Damit würden Sie die Standards nicht erfüllen und stehen etwaigen Konsequenzen gegenüber.
Be the first to comment