Resilienz-Bemühungen greifen noch zu kurz

Globale Studie von Immersive Labs: Durchschnittliche Reaktionszeit hat sich als Resultat der Erfahrungen mit Log4j und anderen viel beachteten Schwachstellen von 2021 bis 2022 von 29 auf 19 Tage verkürzt. [...]

Immersive Labs stellte vor kurzem die zweite Ausgabe seines jährlichen Cyber Workforce Benchmark Report vor. Aufsetzend auf eine Analyse proprietärer Daten aus einem Zeitraum von einem Jahr, beleuchtet die Studie, wie es um die Widerstandsfähigkeit von Unternehmen gegenüber Bedrohungen bestellt ist. Die Ergebnisse zeigen, dass sich die durchschnittliche Reaktionszeit auf Cyberangriffe von 2021 bis 2022 als Resultat der Auswirkungen der Log4j-Krise und anderer viel beachteter Schwachstellen um etwa ein Drittel – von 29 auf 19 Tage – verkürzt hat.

Für die Studie wertete Immersive Labs die Ergebnisse von 1,1 Millionen Simulationen und Labs für technische Teams bis hin zu Führungskräften über einen zwölfmonatigen Zeitraum von April 2022 bis April 2023 aus. Der von Immersive Labs entwickelte Resilience Score spielte eine Schlüsselrolle bei der Ableitung von Trends und deren Abgleich mit Branchen-Benchmarks. Ziel der Studie ist es, IT-Verantwortlichen die nötigen Informationen an die Hand zu geben, um strategische Lücken zu schließen, Risiken zu minimieren und unternehmensweit nachhaltige Widerstandsfähigkeit gegenüber Bedrohungen aufzubauen.

Die Verbesserung der durchschnittlichen Reaktionszeit auf neue Bedrohungen sagt insofern viel über den allgemeinen Zustand der Cyber-Resilienz aus, als dass eine schnellere Reaktionszeit ein kleineres Zeitfenster für Angriffe und ein geringeres Risiko geschäftsschädigender Auswirkungen bedeutet. Die Log4j-Krise gilt als Wendepunkt und fungierte angesichts ihrer weitreichenden Folgen als Haupttreiber für dieses erhöhte Dringlichkeitsbewusstsein. Obwohl die Entdeckung der Schwachstelle auf Dezember 2021 zurückdatiert, steht Log4j bei den Nutzerinnen und Nutzern der Immersive Labs Plattform nach wie vor ganz oben auf der Prioritätenliste: Zwei der fünf am häufigsten begonnenen CVE-Labs im letzten Jahr waren Log4j-bezogen.

„Führungskräfte sollten sicherstellen, dass ihre gesamte Workforce, unabhängig vom Erfahrungslevel, über das Know-how, die Fähigkeiten und das Urteilsvermögen verfügt, um aktuellen und neu aufkommenden Bedrohungen souverän zu begegnen – und dass sie das auch belegen können“, erklärt James Hadley, CEO und Gründer von Immersive Labs. „Die Erkenntnisse unserer Studie unterstreichen, wie wichtig kontinuierliches praxisbezogenes Training ist, wenn es darum geht, Qualifikationslücken zu identifizieren und zu schließen, bevor es zu spät ist – zu wissen, wie man sich im Worst-Case-Szenario am besten verhält, um den Schaden in Grenzen zu halten, ist allerdings ebenso wichtig.“

Weitere Trends

Unternehmen bereiten ihre Workforce nicht ausreichend auf die Phase nach einem Cybersicherheitsvorfall vor: Um Risiken effektiv zu minimieren, müssen Unternehmen vor und nach einem Vorfall vorbereitet sein. Obwohl Unternehmen sicherstellen, dass ihre Resilienz-Bemühungen das MITRE ATT&CK Framework abdecken, stellte Immersive ein deutliches Ungleichgewicht zugunsten der Frühphase des Angriffslebenszyklus fest, was darauf hindeutet, dass Cybersicherheitsverantwortliche ihre Unternehmen möglicherweise Risiken in der Phase nach einem Vorfall aussetzen.
Nachwuchskräfte suchen im Gegensatz zu erfahrenen Cybersicherheitsexpertinnen und ‑experten verstärkt die Herausforderung: Nachwuchskräfte tendieren dazu, sich mit schwierigeren Übungen herauszufordern, halten sich im Vergleich zu erfahreneren Cybersicherheitsexpertinnen und -experten eher über Bedrohungen auf dem Laufenden und absolvieren im Durchschnitt komplexere Lerninhalte. Für eine effektive Vorbereitung auf aktuelle und neu aufkommende Bedrohungen gilt es jedoch, Mitarbeitende in allen Karrierephasen einzubeziehen.
Trotz immer raffinierterer Bedrohungen nimmt die Widerstandsfähigkeit weltweit zu: In puncto Widerstandsfähigkeit konnten leichte Fortschritte erzielt werden, insbesondere von denjenigen, die sich auf Schlüsselbereiche wie die Beurteilung der Fähigkeiten von Bewerberinnen und Bewerbern (46 Prozent) und Sicherheitsteams (30 Prozent) im Umgang mit immer raffinierteren Cyberbedrohungen konzentrierten.
Finanzdienstleister schneiden am besten ab: Ein Unterschied von nur sechs Prozent bei den wichtigsten Resilienz-Kennzahlen macht deutlich, dass regulierte Branchen insgesamt gesehen nur geringfügig besser abschneiden als weniger regulierte Branchen und im Durchschnitt nicht wesentlich besser auf Angriffe vorbereitet sind. Dennoch schneiden Finanzdienstleister tendenziell am besten ab: Die Branche stellt sieben der zehn besten Unternehmen, was größtenteils auf das Engagement im Hinblick auf das kontinuierliche Training und Benchmarking von Teams und den daraus resultierenden unternehmensweiten Kompetenzaufbau zurückzuführen ist.