Die Situation, mit der IT-Verantwortliche im Jahr 2020 konfrontiert wurden, war bis dato beispiellos. Ohne jegliche Vorwarnung mussten IT-Abteilungen es großen Teilen der Belegschaft quasi über Nacht ermöglichen, nahtlos aus dem Homeoffice heraus zu arbeiten.
Nun, ein Jahr später, sind die anfänglichen Herausforderungen überwunden, zumindest zum größten Teil. Doch der Druck auf die IT-Sicherheitsabteilungen, allen voran den CISOs (Chief Information Security Officers), ist nach wie vor hoch. Es gilt auch langfristig hybride Arbeitsformen zu gewährleisten und abzusichern sowie im Wettlauf mit Cyberkriminellen niemals aus dem Tritt zu geraten. Denn gerade letztere wussten die allgemeine Verunsicherung des vergangenen Jahres für ihre Zwecke zu nutzen.
Heute stehen wir einer äußerst diversifizierten Bedrohungslandschaft gegenüber. Es gibt eine fast unendliche Bandbreite verschiedener Angriffsmethoden – wobei sich jedoch ein gemeinsamer Nenner herauskristallisiert: Fast alle Angriffe versuchen das menschliche Verhalten auszunutzen, um über die „Schwachstelle Mitarbeiter“ den entscheidenden Zugang zu Unternehmenssystemen zu erlangen. So ist es vielleicht nicht verwunderlich, dass CISOs auf der ganzen Welt von ähnlichen Herausforderungen und Belastungen berichten.
So beurteilen CISOs weltweit die Gefährdungslage für ihr Unternehmen in den nächsten 12 Monaten. Quelle: Proofpoint
Im weltweiten Durchschnitt sind es fast zwei Drittel aller CISOs (64 Prozent), die befürchten, dass ihre Organisation in den nächsten 12 Monaten einem Cyberangriff zum Opfer fallen könnte. Der Anteil der Security-Verantwortlichen aus Deutschland, die diese Sorge teilen, ist mit 79 Prozent nochmals deutlich höher. Dabei handelt es sich im internationalen Vergleich um den zweithöchsten Wert aller 14 untersuchten Länder.
Vielleicht noch gravierender ist aber folgende Aussage: Mehr als ein Jahr nach dem Beginn einer Pandemie, die die Bedrohungssituation nachhaltig verändert hat, sind 79 Prozent der deutschen CISOs der Meinung, dass ihre Organisation nicht auf einen gezielten Cyberangriff vorbereitet ist. Im weltweiten Durchschnitt waren nur 66 Prozent der Sicherheitsverantwortlichen ähnlich besorgt.
79 Prozent der CISOs aus Deutschland sind der Ansicht, dass ihr Unternehmen nicht auf einen gezielten Cyberangriff vorbereitet ist. Quelle: Proofpoint
Zwar mögen diese Ergebnisse angesichts der Erfahrungen des letzten Jahres verständlich erscheinen. Dennoch ändert dies nichts daran, dass mit dem Abklingen der Pandemie auch der neuen Bedrohungslandschaft angemessen begegnet werden muss.
In einem ersten Schritt müssen Unternehmen jetzt herausfinden, wer in ihren Organisationen am anfälligsten für Angriffe ist, mit welchen Arten von Angriffen Mitarbeiter konfrontiert werden und wie jeder – vom CISO bis zum Endanwender –, eine Rolle dabei spielen kann, diese Angriffe abzuwehren.
Lesen Sie den aktuellen Bericht „State of the Phish 2021“
Risikofaktor Mitarbeiter?
Während 70 Prozent der befragten deutschen CISOs glauben, dass ihre Mitarbeiter ihre Rolle beim Schutz des Unternehmens vor Cyberbedrohungen verstehen, halten 59 Prozent menschliches Versagen allerdings noch immer für das größte Risiko für die Sicherheit ihrer Organisation. Vorsätzliches Foulspiel, das unbeabsichtigte, jedoch fahrlässige Klicken auf bösartige Links, das Nichterkennen von Phishing und schlechte Passworthygiene sind nur einige der Probleme, die CISOs auf Trab halten.
Da viele Anwender nach wie vor zumindest zeitweise remote arbeiten, sind diese Sorgen dringlicher als früher. Zwei von drei CISOs glauben demnach auch, dass Remote-Arbeit das Risiko für ihr Unternehmen steigert. Und es ist leicht zu verstehen, warum. In ungewohnten Arbeitsumgebungen sind wir tendenziell anfälliger für Fehler und Fehleinschätzungen. Und das wiederum macht uns anfälliger für Cyberangriffe.
So können Homeoffice-Arbeitsplätze durch die Verwendung privater Netze und Endgeräte auch Änderungen der vorhandenen Sicherheitspraktiken notwendig machen. Leider sind viele Anwender immer noch nicht ausreichend für diese Umgebungen geschult – nur 60 Prozent der CISOs sind im weltweiten Durchschnitt der Meinung, dass ihre Mitarbeiter für die Arbeit von zu Hause aus angemessen ausgestattet sind.
Das muss sich ändern. Und zwar schnell. Eine Rückkehr zur alten Normalität wird es nicht geben. Die Art und Weise, wie wir arbeiten, hat sich für immer verändert. Und das ist keine schlechte Sache. Während wir Büroumgebungen neugestalten und unsere Mitarbeiter befähigen, mehr Verantwortung für ihre Arbeitsweise zu übernehmen, haben wir die Möglichkeit, das Gleiche für die Verteidigung gegen Cyberrisiken zu tun. Wir müssen Strategien entwickeln, die die wichtige Rolle unserer Mitarbeiter bei der Sicherheit unserer Unternehmen berücksichtigen.
Oft sind einzelne Angestellte Ziel der Cyberkriminellen
Welche Bedrohung darf es heute sein?
Moderne Unternehmen sind mit einer Vielzahl potenzieller Bedrohungen konfrontiert, und Cyberkriminelle nutzen sie alle – alte wie neue. Zu den Angriffen, die etwa einem Drittel der CISOs derzeit Kopfzerbrechen bereiten, gehören hierzulande Insider-Bedrohungen (36 %), Ransomware (35 %) und Business Email Compromise (BEC, 33 %).
Es gibt keine Einheitslösung zum Schutz vor einer so vielfältigen Bedrohungslandschaft. Zwar können einige Tools und technische Kontrollen vor mehr als einer Art von Angriffen schützen, doch das ist nur eine Facette einer effektiven Cyberabwehr. Angreifer müssen nur einen Weg finden, um ihr Opfer zu überlisten – bei der Abwehr hingegen gilt es, alle potenziellen Angriffswege im Blick zu behalten.
Es hilft jedoch zu wissen, wer angegriffen wird. Denn die Kenntnis der anfälligsten Benutzer und der Angriffe, derer sie ausgesetzt sind, macht es deutlich einfacher, Prioritäten bei der eigenen Cyberverteidigungsstrategie zu setzen.
Hier können Sie die Umfrage „The Voice of the CISO“ herunterladen
Verbesserung ist nötig
Trotz der zugegeben etwas düster anmutenden Bedrohungslage, gehen zwei von drei CISOs davon aus, dass sie bis 2022/23 besser gerüstet sein werden, um Cyberangriffe abzuwehren und sich davon zu erholen. Und fast alle beabsichtigen ihre Cyberabwehr zu verbessern, um dies zu erreichen. Die meisten prognostizieren Verbesserungen bei den wichtigsten Sicherheitskontrollen, der Unterstützung für Remote-Arbeit und ein erhöhtes Sicherheitsbewusstsein.
Unabhängig von den Bedrohungen, mit denen der CISO heute, morgen oder in zwei Jahren konfrontiert wird, bilden die Menschen die entscheidende letzte Verteidigungslinie. Diese Verteidigung aufzubauen bedeutet, eine wachsame und sachkundige Belegschaft zu schaffen, ob im Büro, zu Hause oder anderswo.
Je mehr jeder Benutzer über die Bedrohungen weiß, mit denen er konfrontiert ist, über die Methoden, die dahinterstehen, und darüber, wie sein Verhalten den Unterschied zwischen Erfolg und Misserfolg ausmachen kann, desto besser ist er in der Lage, seinen Arbeitgeber vor Schaden zu bewahren.