Studie: Nur 30 Prozent der Unternehmen haben ausreichenden Einblick in ihre Angriffsoberfläche

Eine Tenable-Studie des Ponemon Institute zeigt: 60 Prozent der befragten Unternehmen weltweit haben in den vergangenen zwei Jahren mindestens zwei geschäftsschädigende („business disrupting“) Cyber-Probleme erlebt. Diese wurden als Cyberangriffe definiert, die Datenschutzverletzungen oder erhebliche Störungen und Ausfallzeiten bei Geschäftsprozessen, Produktions oder Betriebsmitteln verursachten. [...]

Führungskräfte können laut der Pokemon Studie die Kosten der Cyberrisiken nicht richtig einschätzen. (c) pixabay
Führungskräfte können laut der Pokemon Studie die Kosten der Cyberrisiken nicht richtig einschätzen. (c) pixabay

Ein weiteres Ergebnis der Studie: Obwohl die schädlichen Angriffe gut dokumentiert sind, messen mehr als die Hälfte (54 Prozent) der Unternehmen weltweit die geschäftlichen Kosten nicht – deshalb können sie diese nicht beurteilen. Daraus lässt sich schließen, dass die Verantwortlichen keine risikobasierten Geschäftsentscheidungen treffen können, die auf präzisen und quantifizierbaren Metriken beruhen. Die Folgen sind fehlende praxisrelevante Einblicke für das C Level und die Vorstände.

Die Digitale Transformation hat eine komplexe Computing Umgebung aus Cloud, DevOps, Mobilgeräten und IoT geschaffen. Die verschiedenen Assets sind der Grund dafür, dass die Angriffsoberfläche größer wurde. Unternehmen haben deswegen Schwierigkeiten, ihre Cyber Exposure jederzeit vollständig zu verstehen. Das zeigen die Ergebnisse der Umfrage: Von den 2.410 befragten IT und Infosec Entscheidern aus sechs Ländern, gibt weniger als ein Drittel (29 Prozent) zu Protokoll, dass sie ausreichende Einblicke in ihre Angriffsoberfläche haben (also traditionelle IT, Cloud, Container, IoT und Operational Technology (OT)). Damit können sie ihre Exposure gegenüber Risiken nicht verringern.

Zu wenig Personal

Dieser mangelnde Einblick wird dadurch verschlimmert, dass fast 60 Prozent der Teilnehmer angaben, ihre Sicherheitsteams wären personell zu schwach besetzt, um rechtzeitig auf Schwachstellen zu scannen. Lediglich 35 Prozent scannen, wenn Bewertungen zeigen, dass sensible Daten gefährdet sind. Der Bericht zeigt, dass weder Tools noch Ansätze der Unternehmen die nötigen Einblicke liefern, um Cyberrisiken in der digitalen Ära zu verwalten, zu messen und zu reduzieren.

Global betrachtet glauben nur 38 Prozent der Unternehmen, die geschäftliche Kosten von Cyberrisiken messen, dass ihre Messungen sehr genau sind. Im Großen und Ganzen heißt das jedoch, dass sie ohne zuverlässige Informationen darüber entscheiden, wie sie Ressourcen verwenden, in welche Technologien sie investieren und wie sie Bedrohungen priorisieren. Und sie geben zu, die KPIs nicht anzuwenden, die sie eigentlich für wichtig halten, um Cyberrisiken zu messen und zu verstehen:

  • 64 Prozent bewerteten die „Zeit bis zur Beurteilung“ als essentiellen Aspekt, allerdings messen ihn nur 49 Prozent
  • 70 Prozent nannten die „Zeit bis zur Behebung“ besonders wichtig, doch nur 46 Prozent messen sie
  • Lediglich 30 Prozent der Befragten sind der Ansicht, dass ihr Unternehmen KPIs der Cyberrisiken in praxisrelevante Schritte umsetzen kann

Damit tappt die Führungsebene in Hinblick auf die wahren Kosten der Cyberrisiken ihrer Unternehmen im Dunkeln. Wenn CISOS und andere Sicherheitsentscheider sich nicht darauf verlassen können, dass ihre Auswertungen exakt sind, werden sie wichtige Informationen über die Kosten an die Unternehmensführung nur widerwillig weitergeben.

„Cyberrisiken sind Geschäftsrisiken“

„In der digital getriebenen Wirtschaft sind Cyberrisiken mit Geschäftsrisiken gleichzusetzen. Umso bedrohlicher ist es, dass Unternehmen zwar geschäftsschädigende Vorfälle erleben, aber deren finanziellen Folgen nicht genau messen können“, sagt Bob Huber, CSO, Tenable. „Die vorliegende Studie zeigt eindrücklich, dass die meisten Unternehmen bisher keine Sicherheitsmetriken implementiert haben, die der Bedeutung der Cybersicherheit als Geschäftsfunktion gerecht werden. CISOs brauchen jedoch zuverlässige Metriken, damit sie die richtigen Entscheidungen über Ressourcen, Investments und die Priorisierung der Bedrohungen treffen können.“

Die Studie wurde unter 2.410 IT- und Sicherheitsexperten in den USA, Großbritannien, Deutschland, Australien, Mexiko und Japan durchgeführt. Alle Teilnehmer haben eine Rolle im Bereich Bewertung und/oder Management von Investitionen in Cybersecurity Lösungen inne.


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*