Kommentar: Mirko Bulles, Director Technical Account Management EMEA/APAC bei Armis
Seit den Ursprüngen der Cybersicherheit besteht ein ständiger Henne- und Ei-Konflikt zwischen Compliance und Cybersicherheit. Es geht in dieser Auseinandersetzung wiederkehrend darum, wer zuerst und mehr Aufmerksamkeit erhält. Die meisten Unternehmen neigen dazu, erst dann zu handeln, wenn sie Opfer eines Sicherheitsverstoßes durch Cyberkriminelle wurden. Andere reagieren erst dann, wenn Geldstrafen aufgrund von Compliance-Verstößen ihre Geschäftsentwicklung bedrohen. In Wirklichkeit sind beide Bereiche miteinander verbunden und oft ist die Einhaltung von Vorschriften erforderlich, um die Bemühungen im Bereich der Cybersicherheit zu unterstützen. Gleichzeitig wird mehr Budget benötigt, um mit der sich ständig wandelnden Cyber-Bedrohungslandschaft und dem zunehmenden IT-Sprawl, also der unüberschaubaren Einführung von immer mehr IT-Geräten, -Komponenten, Software und Schnittstellen Schritt zu halten. Letztendlich ist es doch eine Mischung aus Menschen, Prozessen und Technologien (PPT), die Unternehmen vor Cyberangriffen schützt, nicht die bloße Einhaltung von Vorschriften. Noch schlimmer ist, dass die meisten Unternehmen im Bereich kritischer Infrastrukturen wie Transport, Gesundheitswesen, Lebensmittel und Energie nicht nur von Cyberkriminellen bedroht sind, sondern auch von nationalstaatlichen oder zumindest von ihnen unterstützten Akteuren.
Trotz des Risikos ständiger Cyberangriffe und der täglich zunehmenden Bedrohungen steuern viele IT- und OT-Sicherheitsexperten in DACH ihre Sicherheitstools bis zu einem gewissen Grad manuell. Die Ergebnisse einer aktuellen Umfrage des Marktforschungsunternehmens Censuswide unter 651 IT-Sicherheitsexperten in der DACH-Region zeigen, dass weniger als die Hälfte der Unternehmen über eine automatisierte IT-Sicherheitssoftware zur Erkennung von APTs verfügen, die als die gefährlichsten Gruppen identifiziert wurden und oft von staatlichen Akteuren unterstützt werden. Im Gegenteil, 43 Prozent dieser Unternehmen suchen manuell nach verdächtigem Verhalten durch vordefinierte Warnungen. Der Grund dafür könnte ein Mangel an finanziellen Mitteln sein, aber es mutet seltsam an, dass in der Befragung mehr als 66 Prozent der Befragten angaben, dass ihre Unternehmen über eine Cyber-Versicherung verfügen, von denen jedoch nur 51 Prozent eine Cyber-Versicherung gegen Sicherheitsvorfälle haben, die von Bedrohungsakteuren wie APT-Gruppen verursacht wurden oder aber als Cyber-Warfare betrachtet werden könnten.
Die Notwendigkeit einer automatischen Erkennung von Sicherheitsrisiken, die die Reaktionszeit auf Infiltrationen und Cyber-Angriffe verkürzen würde, scheint weniger wichtig zu sein als der Abschluss einer Cyber-Versicherung. Dieses Ergebnis deutet darauf hin, dass die Deckung potenzieller Schäden wichtiger zu sein scheint als die Schadensvermeidung zuvor. Diese Schlussfolgerung passt auch zu dem eingangs erwähnten Bild des Konflikts zwischen Cybersicherheit und Compliance. Die Mehrheit der befragten Experten gab an, dass sie derzeit dabei sind, zusätzliche technische und organisatorische Maßnahmen zu ergreifen, um im Falle von KRITIS-Betreibern mit den neuesten Vorschriften wie dem IT-Sicherheitsgesetz 2.0 oder im Falle von Krankenhäusern für B3S konform zu sein.
Das Problem bleibt jedoch bestehen: Man kann nur das schützen, was man auch sehen kann. Solange es darum geht, ein potenzielles Chaos zu bereinigen und den Strafverfolgungsbehörden zu zeigen, dass das Unternehmen die Vorschriften eingehalten hat, werden diese Themen nicht angegangen werden. Führungskräfte müssen verstehen, dass die Einhaltung von Vorschriften und der Abschluss von Cyberversicherungen nicht vor einem Sicherheitsvorfall schützen, sondern dass es die Fähigkeiten von Menschen, funktionierende Prozesse und innovative Technologien bedarf, um das Unternehmen vor Cyberangriffen zu schützen. Transparenz ist der Schlüssel zum Schutz der verschiedenen IT-, OT-, IoT- und IomT-Umgebungen. Zu wissen – um welche Assets es sich handelt, wie viele es sind, wo sie sich befinden, wie sie sich verhalten, wie wichtig sie sind und ob sie in irgendeiner Weise verwundbar sind – das alles sind Fragen, auf die letztlich alle Organisationen Antworten finden müssen, insbesondere in diesen Zeiten der Unsicherheit.