Incident-Response-Pläne: Ist Schweiz «cyberresilient»?
Laut der aktuellen Kaspersky-Studie scheint das Thema «Incident Response» beziehungsweise Vorbereitung auf Cyberangriffe in Unternehmen in der Schweiz noch ausbaufähig zu sein. Die Umfrage wurde von Arlington Research im Auftrag von Kaspersky im Juni 2023 durchgeführt. Dabei wurden insgesamt 200 IT-Entscheidungsträger in Deutschland, 50 in Österreich und 50 in der Schweiz zum Thema Incident Response und Cybersicherheit befragt.
Die Studie zeigt, warum Unternehmen in der Schweiz schlecht auf Cyberangriffe vorbereitet sind und wie sie dank Incident-Response-Methoden cyberresilienter werden. So haben lediglich vier von zehn (44,0 %) Incident-Response-Pläne griffbereit, die im Falle eines Angriffs das Team anleiten; etwa ebenso so viele (40,0 %) haben ein Incident-Response-Playbook zur Hand. Ein Incident-Response-Plan ist auf eine Vielzahl von Vorfällen anwendbar und unterstützt Mitarbeiter bei der Vorfallreaktion. Unternehmen scheint es dabei generell an Vorgaben und präventiven Massnahmen zu fehlen, wie sie auf Vorfälle reagieren oder ihnen vorbeugen können. Im vergangenen Jahr wurden mehr als 33.000 Straftaten im Bereich der digitalen Kriminalität in der Schweiz gemeldet. 28,0 % der Unternehmen in der Schweiz verfügen laut aktueller Kaspersky-Studie demnach über eine Cyberversicherung, die im Schadensfall zumindest die gröbsten Kosten abdecken würde. Die Ergebnisse dieser Untersuchung können als weiteren Beleg gelesen werden, dass Schweizer Unternehmen, gerade auch KMU, mit dem Thema Cybersicherheit eher nachlässig umgehen, wie wir an dieser Stelle schon berichtet haben.
Umgang mit Sicherheitsvorfällen
Kommt es zu einem Angriff oder einer Malware-Infektion weiss auch nur ein Viertel der Unternehmen in der Schweiz, was mit den betroffenen Geräten geschehen soll. Nur ein Viertel (24,0 %) der Unternehmen in der Schweiz hat eine zentral dokumentierte Ablage für kompromittierte Geräte. Diese ist für die Forensik jedoch von Bedeutung, da nur so der Ursprung eines Angriffs identifiziert werden kann. In den Unternehmen in der Schweiz fehlt es an Vorgaben, wie mit Sicherheitsvorfällen umzugehen ist: nur etwa die Hälfte (48,0 %) der Unternehmen hat Richtlinien, wie Sicherheitsvorfälle zu dokumentieren sind und annähernd genauso wenige (44,0 %) haben eine definierte Stelle für die Meldung von Vorfällen.
Mangel an präventiven Sicherheitsmassnahmen
Um Cybersicherheitsvorfällen vorzubeugen, haben zu wenige Unternehmen entsprechende Massnahmen implementiert: Weniger als ein Drittel (32,0 %) nutzt Netzwerksegmentierung, um Geräte voneinander abzuschotten. Nur ein Drittel (38,0 %) führt präventive Audits durch. Der Grossteil (86,0 %) verzichtet zudem auf Simulation / Emulation in Bezug auf Adversaries and Threats (via Table Top Exercise (TTX) oder Adversary Emulations). Ohne das Testen kritischer Prozesse kann jedoch nicht sichergestellt werden, dass diese im Ernstfall funktionieren und sie unterstützen.
Ein ähnliches Bild ergibt sich beim Thema Patch-Management: Nur rund die Hälfte der Unternehmen (54,0 %) hat eine entsprechende Richtlinie dafür. Dabei gehören Sicherheitslücken in Anwendungen und Betriebssystemen zu den häufigsten Angriffsvektoren in Unternehmen. Für Kai Schuricht, Lead Incident Response Specialist bei Kaspersky, liegt das an der Komplexität des Patchens: „Zum einen lassen sich zwar Sicherheitslücken relativ einfach stopfen, zum anderen ist der Vorgang aber meist etwas komplizierter als man denkt. Entscheiden sich Unternehmen, ihre Systeme zu aktualisieren, dauert dies einige Zeit. Denn diese müssen erst getestet, freigegeben und dann verteilt werden. Das dauert und vergrössert natürlich das Zeitfenster, in dem die Systeme verwundbar sind. Auch das Zeitfenster für erfolgreiche Angriffe verlängert sich. Ein entsprechend durchdachtes und damit effizientes Patch-Management kann hier unterstützen und die unterschiedlichen Anforderungen von beispielsweise IT-Sicherheit und Produktion gleichzeitig berücksichtigen.“
Quelle: www.kaspersky.de
