Firmenfachbeitrag 31.08.2020, 09:00 Uhr

Cyber Resilience wird zu Top-Priorität

Eine Studie der AWK Group und C-Level zeigt auf, wie Unternehmen aller Wirtschaftssektoren mit Cybersicherheit und Cyber Resilience umgehen. Die Studie soll Führungskräften helfen, die damit verbundenen Herausforderungen zu meistern und Potenziale erfolgreich zu nutzen.
Massnahmen gegen Cyberangriffe sollten definiert und Abläufe trainiert werden
(Quelle: AWK)
Cyber Resilience ist die Fähigkeit, sich einem wandelnden Umfeld anzupassen und die Auswirkungen eines Cyberangriffs auf den Betrieb des Unternehmens zu minimieren. Cyber Security ist eine tragende Säule der Resilienz. In einem resilienten Unternehmen wird die Cyber Security in den systemischen Ansatz der Cyber Resilience integriert. Resiliente Organisationen sind fähig, Risiken und Chancen durch Veränderungen zu antizipieren und auf diese auf angemessene Weise zu reagieren.
Im Rahmen der Studie «Cyber Resilienz – Den Fortbestand des Unternehmens sichern» von AWK Group und C-Level wurden rund 100 Entscheidungsträger auf Basis eines strukturierten Fragebogens zur Cyberresilienz ihrer Unternehmen befragt. Die vollständige Studie kann gratis heruntergeladen werden unter: www.awk.ch/news-insights
Zusätzlich wurden die Themenbereiche mit ausgewählten Teilnehmenden in Interviews vertieft. Befragt wurden Entscheider aus Grossunternehmen, mittelständischen Firmen und Organisationen der öffentlichen Hand. 18 Prozent der Studienteilnehmer stammen aus den Sektoren Mobilität und Logistik, dicht gefolgt von den Banken, der klassischen und herstellenden Industrie sowie den Versicherungen.
Die Studienergebnisse unterstreichen, dass die Wichtigkeit einer hohen Cyber Resilience für die Sicherung des Fortbestehens bei den Führungskräften zwar breit anerkannt ist, deren konsequente Umsetzung jedoch in vielen Unternehmen hinterherhinkt.

Cyber Resilience als relevantes Handlungsfeld identifiziert, aber lückenhaft umgesetzt

88 Prozent der befragten Entscheidungsträger erachten Cyber Resilience als Top-Thema und 75 Prozent der Befragten gaben an, dass ihr diesbezügliches Budget in den letzten zwei Jahren angestiegen ist. Bei rund einem Viertel der Teilnehmenden erfolgte sogar ein starker Anstieg des entsprechenden Budgets.
Ein wirkungsvoller Schutz gegen Cyberbedrohungen wird von 70 Prozent der befragten Unternehmensentscheider als ein Differenzierungsmerkmal am Markt wahrgenommen und nicht nur als Voraussetzung für professionelles Handeln. Dies entspricht einer Steigerung von 7 Prozent gegenüber einer Befragung aus dem Jahr 2018. Die Einstufung der Relevanz von Cyber Security liegt erwartungsgemäss bei den ICT-Unternehmen mit einer Zustimmungsrate von 100 Prozent am höchsten, dicht gefolgt von den Banken (92 %) und der öffentlichen Hand (80 %). Die tiefste Relevanz hat Cyber Security im Gesundheitswesen sowie in Industrie- und Dienstleistungsbetrieben.
Nur jeder fünfte Studienteilnehmer hält sein Unternehmen für ausreichend resilient im Fall einer Cyberattacke
Quelle: AWK
Auch 76 Prozent der Verwaltungsräte anerkennen die Wichtigkeit des Themas. Erstaunlich ist jedoch, dass nur die Hälfte von ihnen auch messbare Ergebnisse von ihrer Unternehmensleitung einfordert. Aus Unternehmenssicht erwarten die Befragten von ihrem Verwaltungsrat insbesondere eine tonangebende Unterstützung in Bezug auf die entsprechenden und Werte und Kultur, die Freigabe und Zuweisung von personellen und finanziellen Ressourcen sowie Orientierungshilfe hinsichtlich des erforderlichen Sicherheitslevels.
Trotz hohem Bewusstsein und steigenden Budgets beurteilt lediglich jeder fünfte Entscheider sein Unternehmen als ausreichend resilient. 77 Prozent der Befragten bekundeten, dass die erforderlichen Fähigkeiten nur teilweise oder noch nicht vorhanden sind. Als Gründe dafür nannten sie beispielsweise Herausforderungen im Bereich der IT-Architektur wie Schnittstellenprobleme oder mangelndes technisches und fachliches Know-how. Hinzu kommen Widerstände aus den Fachabteilungen sowie fehlende personelle und finanzielle Ressourcen. Erstaunlich ist, dass 9 Prozent der Studienteilnehmenden Widerstände in der IT-Abteilung als Herausforderung erwähnten.
Da 70 Prozent der Befragten die Cybersicherheit als Differenzierungsmerkmal beurteilen, stellt sich die Frage, warum sich oft nur ein Promille der Belegschaft mit dem als geschäftskritisch eingestuften Erfolgsfaktor befasst.

Umgang mit Cyberangriffen weist Potenzial nach oben auf

Während die Firmen ihre Sicherheitsmassnahmen laufend verbessern, zeigen auch Angreifer eine immer grössere Raffinesse. So stellt sich leider immer weniger die Frage, ob das eigene Unternehmen getroffen wird, sondern wann. Die erwartete Zeitspanne bis zur Erkennung eines verdeckten Angriffs wird heute etwas pessimistischer beurteilt als noch vor zwei Jahren. Die Antworten zeigen eine Verschiebung hin zu längeren Zeiten, bis ein Angriff entdeckt wird. Dass drei von vier Befragten angaben, einen Angriff innerhalb weniger Tage zu erkennen, beurteilen wir als unerwartet optimistisch, zeigen doch andere Studien, dass es im Durchschnitt sogar mehr als 200 Tage dauern kann, bis ein Unternehmen einen Cyberangriff bemerkt. Zur Erkennung von Angriffen betreiben 38 Prozent der Befragten ein umfassendes Security Logging und Monitoring der eigenen Infrastruktur. 23 Prozent gaben an, dass sie zusätzlich auch den Cyber-Sicherheitszustand ihrer Service Provider, Zulieferer und Partner beurteilen. Bei den Banken und Versicherungen haben sogar 53 Prozent der Antwortenden die Cybersicherheit ihres Ökosystems im Blick.
Nachdenklich stimmen die Aussagen in Bezug auf die Erholungsfähigkeit im Fall eines Angriffs: 54 Prozent der befragten Unternehmen verfügen über definierte Kontinuitätsanforderungen. 12 Prozent davon überprüfen diese jedoch nicht regelmässig. Alle anderen Befragten verlassen sich im Ereignisfall auf ihre Improvisationsfähigkeit oder kennen etwaige Vorbereitungsmassnahmen nicht.

Handlungsempfehlungen

Basierend auf der Studie geben wir folgende Empfehlungen:
  • Der Aufbau von Cyber Resilience gelingt nicht von heute auf morgen. Im Unternehmen muss zunächst kommuniziert und akzeptiert werden, dass die Vorbereitung auf den Eintritt einer digitalen Krisensituation heute notwendiger ist denn je zuvor.
  • Die zum Einsatz kommenden Sicherheitstechnologien und -mechanismen müssen regelmässig überprüft, aktualisiert und getestet werden, da sich im Zeitalter der Digitalisierung sowohl die Bedrohungen als auch die Unternehmen selbst kontinuierlich verändern.
  • Beim Aufbau und Erhalt der Cybersicherheit und -resilienz sollte ein risikobasierter Ansatz für das Management von Informationsrisiken gewählt werden. Hierzu müssen sowohl der Risikoappetit des Unternehmens identifiziert als auch die Ownership der Risiken definiert werden. Eigner der Risiken ist typischerweise das Business.
  • Wichtig ist die Sicherung von Wertschöpfungsketten über die Grenzen der eigenen Organisation hinweg. Denn Wertschöpfungsketten werden immer komplexer und erfordern ein sicherheitsbewusstes Zusammenspiel ganzer Ökosysteme, die immer weniger unter der eigenen, ausschliesslichen Kontrolle sind.
  • Festlegen, wie man Vorhaben und Attacken im Umfeld der Cybersicherheit kommuniziert. Hierzu zählt neben gesetzlichen Meldepflichten auch der Austausch mit Investoren, Partnern, Lieferanten, Kunden und Mitarbeitenden.
  • Verwaltungsräte sollten sich als Sparringspartner des Managements positionieren und aktiv über den Risikoappetit diskutieren.

Fazit

Die Corona-Krise hat uns vor Augen geführt, dass die Vorbereitung auf den Eintritt einer digitalen Krisensituation heute notwendiger ist als je zuvor. Für den Aufbau und die Verankerung einer resilienten Unternehmenskultur auf allen Ebenen der Organisation ist zielbewusstes Handeln auf Verwaltungsrats- und Führungsebene deshalb von zentraler Bedeutung. Das Ziel der Cyber Resilience ist stets die Sicherstellung des Fortbestandes des Unternehmens unter herausfordernden Bedingungen.
Zum Autor
Adrian Marti
AWK Group AG
Adrian Marti verantwortet als Chief Information Security Officer (CISO) die Sicherheitsstrategie, das Risiko- sowie das Business Continuity Management und weitere sicherheitsrelevante Bereiche der AWKGruppe. Marti hatte seine berufliche Laufbahn bei der Keller AG für Druckmesstechnik in Winterthur gestartet und sich im weiteren Verlauf seiner Karriere zum Certified Information Security Professional (CISSP ISC2), Certified Information Security Manager (CISM ISACA), Certified in Risk and Information Systems Control (CRISC ISACA) und zertifizierten Lead Auditor ISO 27001:2005 weitergebildet.
Zum Unternehmen: AWK ist mit über 330 Mitarbeitenden eines der grössten unabhängigen Schweizer Beratungsunternehmen für Strategieentwicklung, Informationstechnologie und Digitalisierung. Das Unternehmen ist schweizweit tätig mit Standorten in Zürich, Bern, Basel und Lausanne. Seine Dienstleistungen umfassen Consulting, Engineering und Projektmanagement.
Mehr Informationen: www.awk.ch, www.awk.ch/news-insights
Dieser Beitrag wurde von der AWK Group AG zur Verfügung gestellt und stellt die Sicht des Unternehmens dar. Computerworld übernimmt für dessen Inhalt keine Verantwortung.



Das könnte Sie auch interessieren