Laut der Cost of a Data Breach Study 2019 (PDF), einer Studie des Ponemon Institutes im Auftrag von IBM, ist die überwiegende Mehrheit der Unternehmen unzureichend vorbereitet, um auf Cybersicherheitsvorfälle zu reagieren zu können. So gaben 77 Prozent der 3.655 Befragten an, Krisenplan für Cyberangriffe im Unternehmen zu besitzen.
Andere Studien zeigen zwar, dass Unternehmen, die im Stande sind, innerhalb von 30 Tagen einen Cyberangriff einzudämmen, im Durchschnitt über 1 Million US-Dollar an Folgekosten einzusparen. Die Defizite hinsichtlich der Krisenreaktion auf IT-Sicherheitsvorfälle sind in den letzten vier Jahren des Ponemon-Reports aber gleichbleibend geblieben.
Von den befragten Unternehmen, die über einen solchen Plan verfügen, testen wiederum mehr als die Hälfte (54 Prozent) ihre Pläne nur unregelmäßig. Im Ergebnis stehen sie häufig vor großen Herausforderungen, die komplexen Prozesse und die Koordination nach einem Cyberangriff effektiv zu steuern.
Automation steckt noch in den Kinderschuhen
In der diesjährigen Studie untersuchte Ponemon erstmals die Auswirkungen von Automation auf die Cyber-Abwehrkräfte. Im Fokus standen dabei Technologien, die den menschlichen Eingriff bei der Identifizierung und Eindämmung von Cyberangriffen oder -verletzungen ergänzen oder ersetzen. Darunter fallen künstliche Intelligenz, maschinelles Lernen, Analytics und Orchestrierungswerkzeuge.
Weniger als ein Viertel (23 Prozent) der Befragten gab an, Automation im Sicherheitskontext im eigenen Unternehmen signifikant anzuwenden. 77 Prozent berichteten, dass sie Automation nur moderat, unbedeutend oder gar nicht nutzen.
Gleichwohl legen die Studienergebnisse eine positive Korrelation zwischen dem Einsatz von Automation und der Abwehrfähigkeit nahe. So sehen sich diejenigen Unternehmen, die Automation umfangreich einsetzen, gegenüber dem Durchschnitt besser befähigt, Cyberangriffe zu verhindern (69 Prozent vs. 53 Prozent), zu erkennen (76 Prozent vs. 53 Prozent), darauf zu reagieren (68 Prozent vs. 53 Prozent) oder diesen einzudämmen (74 Prozent vs. 49 Prozent).
Im Schnitt sparten die Unternehmen, die Sicherheitsautomatisierung weitreichend einsetzen, 1,5 Millionen US-Dollar bei den Gesamtkosten nach einem erfolgreichen Cyberangriff, im Gegensatz zu Unternehmen, die sie nicht oder nur bedingt nutzen.
Fachkräftemangel und Komplexität der IT-Landschaft bremst Cyber-Resilienz aus
Der anhaltende IT-Fachkräftemangel stellt Unternehmen vor eine große Herausforderung. So haben die Teilnehmer der Studie, im Schnitt mit zehn bis 20 unbesetzten Stellen zu kämpfen. In Folge dessen können sie Reaktionspläne für Sicherheitsvorfälle nur unzureichend ordnungsgemäß warten und testen. Tatsächlich gab weniger als ein Drittel (30 Prozent) der Befragten an, dass die Personalkapazität ausreicht, um ein hohes Maß an Cyber-Resilienz zu gewährleisten. Ganze 75 Prozent der Befragten berichteten über mäßig hohe bis hohe Schwierigkeiten bei der Einstellung und Bindung von geeignetem Cybersicherheitspersonal.
Ferner berichtete fast die Hälfte der Befragten (48 Prozent), dass ihr Unternehmen zu viele separate Sicherheitstools einsetzt. Dadurch werde der IT-Betrieb komplexer und es gestalte sich schwieriger, die Bedrohungslage zu erfassen.
Im Gegenzug berichten Unternehmen in der Studie, dass die Cyberabwehr verbessert werden könne, indem die ihre IT-Landschaft weniger komplex gemacht werde. In der Gruppe der Befragten, die sich als sehr resilient bezeichnen (sogenannte Top-Performer), berichtet mehr als die Hälfte (53 Prozent), dass sie über die richtige Anzahl von IT-Sicherheitslösungen und -technologien verfügen. In der Gesamtstichprobe können dies nur 30 Prozent von sich behaupten.
Führungskultur ist entscheidend
Unternehmen profitieren in der Regel von Rückendeckung seitens ihres Vorstands oder ihrer Geschäftsführung. Gelichwohl berichten lediglich zwei Drittel (66 Prozent) der Befragten, dass dem Top-Management bewusst ist, dass die Widerstandsfähigkeit gegen Cyberangriffe die Umsätze beeinflusst. Weitere 56 Prozent der Befragten geben an, dass das auch für die Marke und Reputation gilt.
Ebenso findet die Kommunikation mit Führungskräften über den Stand der Cyber-Resilienz bei den Top-Performern häufiger statt. Mehr als die Hälfte der Befragten (51 Prozent) aus dieser Gruppe informieren die Chefetage oder den Vorstand darüber, wie wirksam Cyber-Resilienz in der Prävention, Erkennung, Eindämmung und Reaktion auf Cyberangriffe ist. Von der Gesamtheit aller Unternehmen tun dies im Schnitt nur 40 Prozent. Im Ergebnis verzeichnen die Top-Performer um ein Drittel weniger Störungen der Geschäftsprozesse oder IT-Dienste als der Durchschnitt (30 Prozent bei den Top-Performern gegenüber 45 Prozent beim Rest).
Das steigende Bewusstsein für IT-Sicherheit führt dazu, dass im Top-Management das Verständnis wächst, dass Automation, maschinelles Lernen, KI und Orchestrierung Risiken reduzieren und die IT-Abwehrfähigkeit stärken können. Die Führungskultur macht dabei einen großen Unterschied. Durch steigendes Bewusstsein wachsen Investitionen in Werkzeuge und Personal, um die Widerstandsfähigkeit gegen Cyberangriffe zu verbessern.
Obwohl das Bewusstsein für Cyber-Bedrohungen in der Chefetage erfreulicherweise wächst, ist noch viel Basisarbeit erforderlich. Im digitalen Geschäft sind Verfügbarkeit der IT, Datenintegrität und Datenschutz drei Grundpfeiler, um die es kein Drumherum gibt. Insbesondere nachzügelnde Unternehmen laufen Gefahr, aufgrund mangelnder Vorbereitung und fehlender Managementunterstützung auf größere Unterbrechungen und Ausfälle zu stoßen und dadurch Wettbewerbsnachteile zu erleiden.