Wenn erfolgreiche Cyberattacken entdeckt werden, stellen Digitalforensikerinnen und -forensiker oftmals fest, dass der Angriff bereits vor Tagen, Wochen oder gar Monaten begonnen hat. Die digitalen Spuren zeigen dann, dass die Internetkriminellen zum Beispiel über einen verseuchten E-Mail-Link eine Backdoor platziert hatten, die zuerst schlummerte und viel später erst aktiv ausgenutzt wurde.

Aber auch die dann folgenden Aktivitäten der Angreifenden werden häufig erst spät aufgedeckt, entsprechend hoch sind die Folgeschäden. Vielen Unternehmen scheint es aber nicht bewusst genug zu sein, dass viele Cyberangriffe so ablaufen.

Wie die aktuelle Studie "Security as a Service 2023" von Computerwoche, CSO und CIO in Zusammenarbeit mit A1 Digital, Trend Micro und Forcepoint ergeben hat, glauben die meisten Unternehmen an schnelle Security-Reaktionen. 38 Prozent wollen innerhalb von Minuten die Risiken einschätzen und priorisieren können, weitere 27 Prozent denken, dies in einigen Stunden zu schaffen. Nur 22 Prozent meinen, sie benötigten Tage dafür.

Wer aber denkt, ein Cyberrisiko oder einen aktuellen Angriff in kurzer Zeit erkennen, bewerten und mit Gegenmaßnahmen versehen zu können, hat die kritische Lage durch die sich verschärfenden Cyberbedrohungen noch nicht richtig im Blick. Das kann gefährlich sein.

Eigene Cyberabwehr wird überschätzt, Standards unterschätzt

Wie die Studie aufzeigt, sind die befragten Unternehmen zwar von ihren Fähigkeiten zur Erkennung und Abwehr von Cyberangriffen überzeugt, trotzdem aber beklagen sie nennenswerte Schäden. So sehen sich mindestens 70 Prozent der Unternehmen gut oder sehr gut in der Cybersicherheit aufgestellt. Gleichzeitig berichten nur neun Prozent, dass es bei ihnen keine Cybervorfälle gab, aber 48 Prozent hatten nennenswerte Schäden.

Wer aber meint, er habe eine gute Abwehr trotz eintretender Schäden, erwartet entweder nicht genug von seiner Cybersicherheit oder aber hält die Folgeschäden für unausweichlich. In beiden Fällen dürften die Konzepte für die Cybersicherheit nicht den richtigen Rückwind für eine zuverlässige Umsetzung erhalten.

Nun ist Cybersicherheit ohne Frage kein Bereich, der sich leicht überblicken und bewältigen ließe. Man sollte hier für jede Hilfe dankbar sein, wenn sie denn zuverlässig und erprobt ist. Genau das leisten bekanntlich IT-Sicherheitsstandards, sie sorgen für Struktur und Prozesse in der Cybersicherheit. Doch die befragten Unternehmen sehen bei den Standards für IT-Sicherheit weniger die Helfer in der Not - stattdessen könnte man den Eindruck erlangen, sie wären für so manches Unternehmen ein lästiges, aber vertraglich oder rechtlich notwendiges Übel.

So stufen 44 Prozent der Unternehmen die Implementierung von IT-Security-Standards als die größte Herausforderung in der Security-Organisation ein, die Überwachung der Einhaltung liegt mit 39 Prozent immer noch auf Platz 2. Nun ist der Aufwand bei der Umsetzung von IT-Sicherheitsstandards ohne jeden Zweifel hoch, doch auch der daraus resultierende Wert sollte gesehen werden.

Security Services könnten noch mehr helfen

Wenn Aufwände hoch und interne Ressourcen gering sind, wie dies bei den Unternehmen mit ihrem chronischen Fachkräftemangel in der IT-Sicherheit der Fall ist, sollte man an die Nutzung von Dienstleistungen denken.

Tatsächlich sagen auch 97 Prozent der Unternehmen, dass sie auf Dienstleister in der Security setzen. 18 Prozent der Befragten haben zur Steuerung dieser Dienstleister sogar eine eigene Unit, 81 Prozent verwenden auch ein Tool für das Multi-Provider-Management in der IT-Sicherheit.

Security Services sind also eindeutig etabliert bei den Unternehmen und in die Organisation integriert, doch es stellt sich die Frage, wofür die Unternehmen die Security Services beziehen.

Auch diese Frage kann die Studie beantworten: Zu den Aufgaben der Security-Dienstleister gehören bei 39 Prozent der Unternehmen die Überwachung der Security-Policies. Ebenso bei 39 Prozent erstellen die Dienstleister die technische Architektur für Ansätze wie Zero Trust.

Die größte Herausforderung in der Security aber war die Umsetzung der IT-Sicherheitsstandards. Dann sollten entsprechende Dienstleistungen aber noch viel stärker genutzt werden, damit die Security-Policies die Standards abbilden und damit professionelle Schutzmaßnahmen einfordern.

Komplexität ist ein Security-Risiko

Den Unternehmen ist durchaus bewusst, wie komplex die Cybersicherheit ist und wie vielschichtig und mehrstufig Cyberangriffe sein können. So sagen 45 Prozent der Befragten, dass die komplexen Cyberangriffe sowie die fehlenden Informationen über die bedrohten Prozesse und Daten eine technische Herausforderung für sie darstellen.

Wenn aber die Attacken komplex und die Informationen darüber eher dünn sind, treffen Komplexität und mangelnde Visibilität aufeinander - eine gefährliche Mischung. Wären die Attacken eher einfach gestrickt, und man hätte nicht so viele Informationen darüber, könnte man das Glück haben, den Angriff trotzdem zu erkennen und zeitnah abzuwenden. Doch komplexe Attacken, über die man nicht viel weiß, sind ein echtes Security-Risiko, das dringend auf die Agenda der Unternehmensleitung muss.

Den Ergebnissen der Studie "Security as a Service 2023" zufolge, werden IT-Sicherheitsdienstleistungen in 46 Prozent der Fälle gewählt, um der Komplexität der Security zu begegnen. Umgekehrt bedeutet dies aber, dass sich über die Hälfte der Unternehmen selbst der Komplexität stellt. Die zuvor erwähnten nennenswerten Schäden, über die die befragten Unternehmen klagen, dürften eine Folge davon sein.

Es mangelt an Expertise bei Security-Entscheidungen

An der sich verschärfenden Cyberbedrohungslage kann man als Unternehmen nichts ändern, wohl aber an der Einschätzung der eigenen Cybersicherheit und an der Nutzung von Security Services. Hier sind die Entscheiderinnen und Entscheider für Cybersecurity in den Unternehmen gefragt.

Die Studie offenbart, dass es nicht die CISOs sind, die hier im "Lead" sind - es sind die CIOs, die in der Security entscheiden oder zumindest beraten. So entscheiden die CIOs bei 22 Prozent der Unternehmen über Security, bei 40 Prozent sind sie dazu beratend tätig. Unter den CISOs sind aber nur zwölf Prozent Entscheidende und 30 Prozent Beratende. Security wird also weiterhin oftmals nicht von den sogenannten "Security-Verantwortlichen" verantwortet, jedenfalls nicht, wenn es um Entscheidungen und Bewertungen geht.

Wenn aber Security und die Cyberangriffe so komplex sind, wie es die Unternehmen wahrnehmen, ist Expertise vonnöten, um die eigenen Sicherheitsmaßnahmen und die Angriffsrisiken bewerten zu können. Die CIOs haben viele andere Aufgaben und Fähigkeiten, man kann deshalb nicht erwarten, dass sie die gleiche Expertise wie die CISOs haben, wenn es um Security geht.

Fazit: Dienstleister und CISOs müssen ran

Es zeigt sich: Viele Unternehmen glauben an ihre guten oder sehr guten Fähigkeiten in der Cybersicherheit, erleiden aber gleichzeitig deutliche Schäden. Sie beklagen Komplexität, nutzen aber nicht einmal zur Hälfte eine externe Unterstützung, um mehr Transparenz bei den Cyberattacken zu erlangen.

Entscheidend wäre es nun, erfahrenen CISOs mehr Entscheidungsbefugnisse an die Hand zu geben, sie könnten in aller Regel die eigene Sicherheit und die Risiken durch Cyberattacken passender einschätzen. Sie würden dann schnell zur Einsicht kommen, dass die eigenen Kräfte für die sich steigernden Cyberbedrohungen nicht ausreichen und würden verstärkt zu Security Services greifen.

Diese gehören zwar bei fast allen Unternehmen bereits dazu, doch sie werden nicht immer dort eingesetzt, wo die größten Herausforderungen und technischen Probleme gesehen werden oder bestehen. Das muss sich dringend ändern.

Studiensteckbrief

Herausgeber: CIO, CSO und COMPUTERWOCHE

Studienpartner: A1 Digital (Platin), Trend Micro (Gold), Forcepoint (Silber)

Grundgesamtheit: Oberste (IT-)Verantwortliche in Unternehmen der DACH-Region: Beteiligte an strategischen (IT-)Entscheidungsprozessen im C-Level-Bereich und in den Fachbereichen (LoBs); Entscheidungsbefugte sowie Experten und Expertinnen aus dem IT-(Security-)Bereich

Teilnehmergenerierung: Persönliche E-Mail-Einladung über die exklusive Unternehmensdatenbank von CIO, CSO und COMPUTERWOCHE sowie - zur Erfüllung von Quotenvorgaben - über externe Online-Access-Panels

Gesamtstichprobe: 373 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 23. bis 30. Mai 2023

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung und Durchführung: Custom Research Team von CIO, CSO und COMPUTERWOCHE in Abstimmung mit den Studienpartnern