Trellix-Studie: Ein Cyber-Angriff kommt selten allein

Einfach ein Kästchen für mehr IT-Security ankreuzen statt zu investieren, davon träumen viele Vorstände, während ihre CISOs verzweifeln. Sie bleiben ungehört, selbst bei wiederholten Cyber-Angriffen. Trellix-Chef Sascha Plathen hofft auf den Gesetzgeber und fühlt sich durch eine wenig erbauliche Studie bestätigt.

Aus einem Hacker-Schaden klug werden, gar das Budget für IT-Security erhöhen? Zu wünschen wäre es den IT-Verantwortlichen ja. Erst recht, wenn deren Vorstände nicht erst dann handeln würden, wenn das Kind schon in den Brunnen gefallen ist.

Aber sich offen und modern gebende Vorstände plaudern halt gerne über eine Fehlerkultur in ihrem Unternehmen, ermuntern Mitarbeiter bisweilen sogar, sich in ihrem Tatendrang nicht aus Angst vor eben jenen Fehlern bremsen zu lassen. Der Irrtum ist dem unternehmerischen Denken schließlich kohärent. Setze zehn Ideen um, und wenn nur zwei davon Früchte tragen, habe sich das Engagement eines unternehmerisch denkenden Mitarbeiters doch schon gelohnt. Verboten wird indes den forschen Mitarbeitenden, den gleichen Fehler zweimal zu machen! In eigener Fehlerkultur-Angelegenheit sind Vorstände aber oft kein Vorbild.

Man fragt sich, ob es eine Fehlerkultur in Sachen IT-Security und Schutz des Unternehmensnetzwerkes überhaupt geben darf? Es geht ja nicht um den Flop irgendeines neuen Produkts, sondern um nichts weniger als die Lebensader einer Firma.

Fehleranalyse aus erfolgreichen Hackerangriffen

Leider müssen erst Schäden aus Cyberangriffen entstehen, um Fehler und Mängel bei IT-Security klar zu erkennen. Und hat man sie identifiziert, heißt das noch lange nicht, dass daraus auch Konsequenzen gezogen werden. Aufschluss gibt die Fehleranalyse aus erfolgreichen Hackerangriffen, die der IT-Security-Hersteller Trellix (vormals Fireeye) aus der Befragung "Mind of the CISO" von weltweit 500 IT-Leitern mit mindestens 1.000 Beschäftigten ermittelte. Die Studie deckt grundlegende Fehler auf, die deutsche CISOs nennen:

• Die Hälfte gab einen Mangel an SOC-Analysten als Grund für einen Cyber-Vorfall an.
• 53 Prozent nennen gefährliche Wissenslücken, die das zuständige Team handlungsunfähig machten.
• Für 30 Prozent waren die Attacken zu komplex für das zuständige Team - und das,
• obwohl 50 Prozent der befragten deutschen CISOs (global 63 Prozent) zuvor bereits mit einer massiven Cyber-Attacke konfrontiert waren.

Aus letzterer Antwort kann man den Schluss ziehen, dass bei weiten nicht alle Unternehmen Konsequenzen aus Schäden durch Cyberangriffe gezogen und ihr Unternehmensnetzwerk gestärkt haben. Die Ursachen mögen auf der Hand liegen, doch viele CISOs dringen mit ihren Forderungen nach einer Erhöhung der IT-Sicherheitsmaßnahmen nicht bis in die Vorstandetage durch.

Man ahnt auch warum, wenn man sich die Maßnahmen anschaut, die einige Vorstände dann doch getroffen hatten:

• Ein Drittel der deutschen CISOs nahmen den Angriff zum Anlass, um die allgemeine Sicherheitsstrategie zu überdenken. Unserer Meinung nach viel zu wenige.
• Immerhin wurde laut der weltweiten Trellix-Studie in 46 Prozent der Fälle mehr Budget für zusätzliche Technik bzw. Tools bereitgestellt - in Deutschland geschah dies bei 43 Prozent, wie die Befragten berichteten.
• 43 Prozent implementierten umgehend neue Frameworks und Standards.
• Weiterhin setzten 30 Prozent im Anschluss auf mehr Automatisierung und Orchestrierung, um ein besseres Incident-Management zu schaffen.

Zwischenfazit: Aus Fehlern und Missständen kann die Mehrheit der CISOs eben nicht lernen, weil es die Mehrheit nicht schafft, Vorstände auf mehr Investitionen in IT-Security festzunageln. Und dass, obwohl jeder zweite IT-Sicherheitsverantwortliche in deutschen Firmen mehrfache Erfahrung mit Cyber-Attacken machen musste, wie die CISOs zu Protokoll geben.

Ankreuzen eines Kästchens, wäre schön - genau deshalb kommt NIS2

Den gleichen Fehler zweimal machen zu müssen, will wohl kein IT-Leiter. Wie es besser sein könnte, wissen sie genau: 9 von 10 deutsche CISOs geben nämlich an, dass ein schwerer Cyber-Angriff hätte verhindert werden können, wäre ein umfassender XDR-Ansatz im Unternehmen implementiert gewesen. "Damit wird der Einfluss effizienter Technologie auf SecOps-Teams und zugehörige Prozesse deutlich", schlussfolgert die Studie.

Und jetzt die bittere Erkenntnis für verantwortliche Vorstände und Geschäftsführer, die Trellix-Deutschland-Chef Sascha Plathen ihren mit auf den Entscheidungsweg gibt: "Cyber-Resilienz geht über das simple Ankreuzen eines Kästchens hinaus".

Da aber genau diese Haltung wohl so unausrottbar ist wie die organisierte Kriminalität, muss der Gesetzgebe die Zügel anziehen und zunächst die Mehrheit der Vorstände vor sich selbst schützen, bevor er resilientere IT-Netzwerke per NIS2-Richtlinie verordnet. Der "nächste wichtige Schritt", sagt Plathen. "Die damit verbundenen Anforderungen übersteigen nicht nur die des deutschen IT-Sicherheitsgesetzes 2.0, sondern beziehen auch die Cyber-Sicherheit von internationalen Unternehmen mit ein. Nur so können weltweit die Voraussetzungen für eine bessere Cyber-Resilienz geschaffen werden," hofft der Trellix-Deutschland-Chef, wie alle Manager aus der Security-Branche.