Der CrowdStrike-Vorfall, der im Juli weltweit unzählige Bildschirme dauerhaft blau leuchten ließ und die Weltwirtschaft ins Stocken brachte, war offenbar für viele Unternehmen ein Weckruf. Und zwar nicht nur für diejenigen, deren Systeme direkt davon betroffen waren.
93 Prozent aller befragten IT- und Cybersecurity-Fachkräfte der Studie „OTRS Spotlight: Corporate Security 2024“ haben auf den Vorfall reagiert und Maßnahmen ergriffen, um sich auf künftige Vorfälle dieser Art besser vorzubereiten. Das beliebteste Mittel: Knapp die Hälfte der Befragten (45 Prozent) hat ihre IT- und Software-Landschaft diversifiziert, um weniger abhängig von einzelnen Software-Anbietern zu werden. Für die Studie hat das Softwareunternehmen OTRS AG in Zusammenarbeit mit dem Marktforschungsunternehmen Pollfish 476 IT- und Cybersecurity-Fachkräfte befragt, darunter 74 in Deutschland.
Besser spät als nie: Security-Teams rüsten nach CrowdStrike-Vorfall auf
Viele der direkt betroffenen Unternehmen waren wohl nur unzureichend darauf vorbereitet, die Auswirkungen des Vorfalls mit eigenen Mitteln einzudämmen. Die meisten haben die von CrowdStrike beschriebenen Maßnahmen zur Behebung des Problems ergriffen (44 Prozent) und/oder den bereitgestellten Fix installiert (43 Prozent), sobald dieser verfügbar war.
Nur 38 Prozent konnten auf erweiterte Echtzeit-Monitoring- und Warnsysteme zurückgreifen, die in einem solchen Fall ein schnelles Eingreifen ermöglichen. 40 Prozent aller Unternehmen – ob betroffen oder nicht – haben solche Systeme erst nach dem Vorfall eingeführt. Fast ebenso viele (jeweils 39 Prozent) haben im Nachgang zusätzliche Tests für neue Patches und Updates oder einen Incident Response Plan eingeführt beziehungsweise den bestehenden aktualisiert. Nur drei von zehn der betroffenen Unternehmen verfügten bereits über einen robusten Incident Response Plan, mit dessen Hilfe sie das Problem schnell identifizieren, isolieren und beheben konnten. Etwa genauso viele (31 Prozent) setzten bereits Unified Endpoint Management (UEM) ein, womit sie die betroffenen Systeme schnell identifizieren und geeignete Maßnahmen (remote) einleiten konnten. Knapp ein Viertel aller Unternehmen (24 Prozent) führte nach dem Vorfall UEM ein.
Erschwerte Bedingungen für IT-Security-Teams
Trotz der ergriffenen Maßnahmen besteht weiterhin Handlungsbedarf. Mit einem Plus von elf Prozent sehen aktuell nur etwas mehr Befragte als im Vorjahr ihr Unternehmen optimal auf Sicherheitsvorfälle vorbereitet (2023: 44 Prozent; 2024: 49 Prozent). Die größte Herausforderung für die Security-Teams: die jährlich steigende Zahl von Sicherheitsvorfällen. Mehr als acht von zehn verzeichneten in den vergangenen zwölf Monaten einen leichten (56 Prozent) oder sogar starken Anstieg (26 Prozent).
In dieser sich rasant verändernden Bedrohungslandschaft sehen die mit Abstand meisten Teams auch die größte Herausforderung bei der Incident Response (34 Prozent). An zweiter Stelle folgt mit 15 Prozent die Durchführung umfassender Post Incident Reviews. Gleichauf mit jeweils zwölf Prozent liegen die mangelnde Integration zwischen Tools, die rechtzeitige und angemessene Kommunikation mit der Öffentlichkeit sowie der Mangel an qualifiziertem Personal.
IT-Security-Teams setzen verstärkt auf Automatisierung
Diesen Herausforderungen begegnen die Security-Teams häufiger als im Vorjahr unter anderem damit, ihre Incident Response-Prozesse stärker zu automatisieren. Im vergangenen Jahr hatte nur knapp die Hälfte der Befragten (49 Prozent) Routineaufgaben automatisiert und gleichzeitig die menschliche Kontrolle über kritische Entscheidungen beibehalten. In diesem Jahr ist der Anteil auf 57 Prozent gestiegen.
Weitere 21 Prozent (2023: 19 Prozent) nutzen grundlegende Automatisierungen für Warnmeldungen und verlassen sich ansonsten stark auf menschliche Entscheidungen. 16 Prozent automatisieren so viel wie möglich und beschränken menschliches Eingreifen bei der Incident Response auf ein Minimum. Nur sechs Prozent automatisieren ihre Prozesse bisher überhaupt nicht und verlassen sich vollständig auf menschliches Eingreifen.
Realitätsnahe, klare und einfach umsetzbare Richtlinien für IT-Security
„Es ist ein Katz-und-Maus-Spiel: Angreifer machen sich neue Technologien wie Künstliche Intelligenz und Machine Learning zunutze, um immer häufiger, schneller und raffinierter anzugreifen. Auf der anderen Seite jagen die Security-Teams ihnen hinterher und versuchen, ihre Prozesse durch Automatisierung ebenfalls zu verschlanken und zu beschleunigen“, erläutert Jens Bothe, Vice President lnformation Security bei der OTRS AG. „Doch es ist ein ungleicher Kampf. Denn Organisationen sind an viele, oft undurchsichtige Spielregeln gebunden, an die sich böswillige Akteure nicht halten. Die Verpflichtungen, die sich für Unternehmen aus Regulierungen wie NIS-2 oder DORA ergeben, sind zwar notwendig und richtig, entfalten ihre Wirkung aber erst zeitversetzt. Gesetzgeber müssen hier schneller agieren und frühzeitig und umfassend IT-Security-Experten einbinden, um realitätsnahe, klare Richtlinien zu entwickeln, die für Unternehmen schnell und einfach umsetzbar sind.“
(pd/OTRS AG)