IoT IoT4 Industry & Business

Programme zur Cyber-Resilienz greifen zu kurz

zur Übersicht
Programme zur Cyber-Resilienz greifen zu kurz: Mehr als die Hälfte der Mitarbeitenden sind nicht gegen Cyberangriffe gewappnet. Bild: Creativeart/Freepik

Immersive Labs stellt seine von Osterman Research durchgeführte Studie „2023 Cyber Workforce Resilience Trend Report“ vor. Programme zur Cyber-Resilienz greifen laut der Studie zu kurz: Mehr als die Hälfte der Cybersicherheitsverantwortlichen räumt ein, dass ihre Mitarbeitenden nicht gegen Cyberangriffe gewappnet sind

Immersive Labs, der Marktführer im Bereich der mitarbeiterzentrierten Cyber-Resilienz, stellt seine von Osterman Research durchgeführte Studie „2023 Cyber Workforce Resilience Trend Report“ vor. Die Studie zeigt, dass die stetige Zunahme von Cyberangriffen und die sich verändernde Bedrohungslandschaft dazu führen, dass immer mehr Unternehmen ihren Fokus auf den Aufbau nachhaltiger Cyber-Resilienz richten. Viele dieser Programme greifen jedoch zu kurz und können die praktischen Cyber-Fähigkeiten der Teams nicht belegen. Im Rahmen der Studie wurden 570 Cybersicherheits- und Risikoverantwortliche in britischen, US-amerikanischen und deutschen Unternehmen mit mindestens 1.000 Mitarbeitenden befragt. Obwohl 86 Prozent der Unternehmen über ein Cyber-Resilienz-Programm verfügen, mangelt es mehr als der Hälfte der Befragten zufolge an einem ganzheitlichen Ansatz zur Beurteilung der Cyber-Resilienz.

Oben auf der To-Do-Liste

Die Stärkung der Cyber-Fähigkeiten steht im Jahr 2023 für viele Unternehmen ganz oben auf der Liste der strategischen Prioritäten. Widerstandsfähigkeit aufseiten von Cybersicherheitsteams (83 Prozent) und der allgemeinen Workforce (75 Prozent) aufzubauen, werden dabei als die beiden wichtigsten Schwerpunktbereiche genannt. Zwar haben Unternehmen Maßnahmen zur Implementierung von Cyber-Resilienz-Programmen ergriffen. Dennoch räumen 53 Prozent der Befragten ein, dass die Mitarbeitenden des Unternehmens nicht ausreichend gegen zukünftige Cyberangriffe – ganz gleich, welcher Art – gewappnet sind. Etwas mehr als die Hälfte der Befragten gibt an, dass es an einem ganzheitlichen Ansatz zur Bewertung der Cyber-Resilienz mangelt. Diese Zahlen deuten darauf hin, dass Cyber-Resilienz zwar eine Priorität ist und Programme vorhanden sind, die bestehenden Strukturen und Trainingsmethoden jedoch ineffektiv sind. „In Anbetracht einer sich ständig verändernden Bedrohungslandschaft, in der Ransomware, Supply-Chain-Risiken und Schwachstellen Cybersicherheitsverantwortliche umtreiben, ist das Thema Cyber-Resilienz heute in aller Munde. Obwohl es vielversprechend ist, dass Unternehmen und Führungskräfte Cyber-Resilienz-Strategien und -Programme implementieren, verfehlen viele leider immer noch ihr Ziel“, erklärt James Hadley, CEO und Gründer von Immersive Labs. „Trotz all der Präsenzschulungen und Zertifizierungen gibt die Hälfte der Befragten an, dass Mitarbeitende, Cybersicherheitsteams und das Unternehmen als Ganzes nicht ausreichend vorbereitet sind. Da wird schnell klar, dass aktuelle Programme umstrukturiert werden müssen, um eine erfolgreiche Cyber-Resilienz-Agenda voranzutreiben.“

Die Studie kam zu weiteren aufschlussreichen Erkenntnissen, die den Bedarf an effektiveren – und modernisierten – Cyber-Resilienz-Programmen, die unternehmensweit angelegt und nicht auf Cybersicherheitsteams beschränkt sind, unterstreichen. Darunter:

  • Unternehmen bezweifeln, dass ihre Mitarbeitenden wissen, wie sie auf einen Cybersicherheitsvorfall reagieren sollen: Zwei von drei Unternehmen sind der Meinung, dass 95 Prozent ihrer Mitarbeitenden nicht wissen, wie sie sich bei der Aufarbeitung eines Cybersicherheitsvorfalls verhalten sollen. Den Geschäftsbetrieb ohne wichtige IT-Systeme aufrechtzuerhalten, zeitkritische Prozesse manuell abzuwickeln und es zu vermeiden, den Recovery-Prozess durch das Anschließen kompromittierter Geräte an das Netzwerk zu beeinträchtigen, zählt dabei zu den Schwerpunktaufgaben.
  • Unternehmen stellen die Verlässlichkeit von Branchenzertifizierungen, Präsenzschulungen und Ad-hoc-Lernpfaden beim Aufbau von Cyber-Resilienz infrage: Während fast alle Unternehmen Branchenzertifizierungen fördern, bezeichnen sie nur 32 Prozent als effektiv bei der Eindämmung von Cyberbedrohungen. Präsenzschulungen werden zu selten angeboten, um effektiv zu sein: Nur etwa ein Viertel (27 Prozent) der Befragten gibt an, dass sie monatlich an Schulungen teilnehmen. Fast die Hälfte der Befragten (46 Prozent) ist der Meinung, dass ihre Mitarbeitenden trotz jahrelangen Sicherheitsschulungen und Phishing-Tests nicht wüssten, wie sie mit einer Phishing-E-Mail umgehen sollen.
  • Den meisten Unternehmen fehlt ein dediziertes Framework mit Kennzahlen zur Messung und zum Nachweis der Cyber-Resilienz: Um die Cyber-Resilienz von Teams gegenüber Vorstand und C-Level Executives belastbar nachzuweisen, sind Kennzahlen entscheidend. Dennoch gibt fast die Hälfte (46 Prozent) der befragten Cybersicherheits- und Risikoverantwortlichen an, nicht über die erforderlichen Kennzahlen zu verfügen, um die Widerstandsfähigkeit ihrer Mitarbeitenden im Falle eines Cyberangriffs nachzuweisen. Nur etwa 6 Prozent der Unternehmen verfügen über aussagekräftige Kennzahlen, wie Response-Zeiten bei der Behebung von Schwachstellen, tracken Intrusion Rates, internen Datenverlust und die Häufigkeit verschiedener Bedrohungsarten.
  • Das Thema Cyber-Resilienz der Vorstands- und obersten Führungsebene gegenüber zu kommunizieren, ist unerlässlich, um Veränderungen anzustoßen: Über das letzte halbe Jahr gesehen, hat der Vorstand in weniger als der Hälfte (46 Prozent) der Unternehmen einen Nachweis der Cyber-Resilienz vom Cybersicherheitsteam verlangt; in 51 Prozent der Unternehmen wurde ein solcher von der obersten Führungsebene verlangt. Die Vorstands- und die oberste Führungsebene für die Bedeutung der Cyber-Resilienz zu sensibilisieren, ist ein wichtiger Schritt, wenn es darum geht, mehr Unterstützung zu erhalten. Cybersicherheits- und Risikoverantwortliche sollten das Thema Cyber-Resilienz in den Mittelpunkt der Kommunikation stellen, anstatt sich auf Einzelmaßnahmen, wie die Einführung neuer Cybersicherheitslösungen, zu konzentrieren.

„Traditionelle Ansätze, ohne kontinuierliches Training, sind angesichts immer raffinierterer Bedrohungen schlichtweg nicht mehr zweckmäßig“, so Hadley weiter. „Unternehmen, die ihre Cyber-Resilienz-Agenda vorantreiben wollen, sollten sich darauf konzentrieren, Cyber-Fähigkeiten kontinuierlich zu beurteilen und zu verbessern und dies anhand belastbarer Daten zu belegen. Es braucht zeitgemäße Lösungen im Bereich Cybersicherheitstrainings und eine Workforce, die über das notwendige Know-how verfügt, um aktuellen und neu aufkommenden Bedrohungen in der Praxis souverän zu begegnen.“

weitere aktuelle Meldungen

Verwandte Artikel