Cyber Security Month – Grund zum Feiern?

Im Oktober 2019 ist wieder „European Cyber Security Month“ unter der Schirmherrschaft der Europäischen Union. 30 Tage lang verfolgt die EU mit verschiedenen Aktionen rund um Cybersecurity das Ziel, das Bewusstsein der Öffentlichkeit für die Bedeutung von Cybersicherheit zu schärfen. Auch andere Organisationen, Unternehmen und Vereine sind aufgerufen, Cybersecurity im Oktober mit eigenen Veranstaltungen zu fördern. Der erste ECSM fand im Jahr 2011 statt, seitdem hat sich bei der Cybersecurity einiges getan –im Guten wie im Schlechten. Und wie sieht der Trend nach acht Jahren aus? Gewinnen die Angreifer oder die Verteidiger? Klar ist, dass die Entscheidung knapp ausfällt. Seit Jahren halten sich Angriffe und Abwehrmaßnahmen die Waage, je nach Studie zugunsten der einen oder der anderen. So sieht die VdS Schadenverhütung GmbH eher Grund zur Freude. Durch den kostenlosen Quick-Check haben Sicherheitsverantwortliche die Möglichkeit, eine Selbstbewertung ihrer Cybersicherheit anhand von 39 Fragen durchzuführen. In den letzten 12 Monaten haben 1700 Firmen mitgemacht, seit Bestehen des Quick-Check waren es 5000 Unternehmen.

Glaubt man dem Gesamtergebnis von 2018 / 2019 zeigt sich eine deutlich positive Tendenz gegenüber dem Vorjahr. So verbesserte sich der Reifegrad in den Teilbereichen „Technik“ um 7%-Punkte auf 64% und im Bereich „Organisation“ sogar um 8%-Punkte auf 64% gegenüber dem Vorjahr. Allerdings sind Selbsteinschätzungen immer mit Vorsicht zu genießen. Oftmals wissen Verantwortliche nicht genau, wie es wirklich mit ihrer Cybersicherheit aussieht und geben grünes Licht, wo höchstes gelb oder gar rot angebracht wäre. Die 64% Reifegrad im Bereich Organisation, einschließlich Mitarbeiterinformation, Zugangsverwaltung und Richtlinien beispielsweise klingt zu gut, um wahr zu sein. Weder sind Awareness-Kampagnen auf dem Markt stark nachgefragt noch verfügen die allermeisten Firmen, und beim VdS geht es vor allem um den Mittelstand, über vernünftige Sicherheitsrichtlinien, die angewandt, gepflegt und überwacht werden. Anders wäre beispielsweise nicht zu erklären, dass nur die Hälfte aller IT-Experten relativ sicher sagen kann, dass Ex-Kollegen über keine Zugriffsrechte mehr verfügen. Das ergab eine Befragung des Sicherheitsherstellers Ivanti, in der auch herauskam, dass die größte Herausforderung für IT-Profis beim Onboarding und Offboarding von Mitarbeitern darin besteht, dass der Prozess nicht klar definiert ist (24 Prozent), dicht gefolgt von fehlender Automatisierung (23 Prozent). Noch alarmierender: Abgesehen davon gab die Hälfte aller Umfrageteilnehmer an, dass sie jemanden kennen, der noch Zugang zu den Anwendungen und Daten eines ehemaligen Arbeitgebers hat.

Auch die VdS-Befragung zeigt in einigen Bereichen Defizite am generellen Willen und Verständnis der Teilnehmer. Weit abgeschlagen rangiert zum Beispiel der Teilbereich „Management", der die Aktivitäten der Betriebe zum Thema IT-Outsourcing und Cloud Computing subsummiert. Für diese Themen haben über 60 % der Unternehmen noch immer keine Sicherheitsanforderungen definiert. Und bei weit über der Hälfte existieren zudem keine Richtlinien zum Umgang mit einem Sicherheitsvorfall oder ein Wideraufbauplan nach dem Ausfall kritischer Systeme. Beide Maßnahmen sind zum einen absolut essentiell und kosten zum anderen wenig bis gar kein Geld. Warum es nach wie vor so schwierig zu sein scheint, die Hausaufgaben zu machen und den ersten Schritt vor dem zweiten zu gehen, ist unerklärlich. Schließlich schätzen die Analysten von Gartner, dass schon im Jahr 2020 etwa 95% aller Sicherheitsverletzungen in der Cloud durch Bedien- und Konfigurationsfehler der Anwender verursacht werden.

Abgesehen davon, gelten die altbekannten Regeln, um für einen Grundschutz seiner digitalen Werte zu sorgen. Wer die befolgt, hat zumindest die gröbsten Fehler vermieden:

1. Regelmäßige Updates durchführen.

2. Netzverbindungen durch VPNs, Proxys und Firewalls schützen

3. Daten verschlüsseln, sowohl auf Servern als auch auf Endgeräten

4. Passphrasen statt Passwörtern und 2-Faktor Authentifizierung nutzen

5. Need-to-know und Least Privilege-Konzepte umsetzen

6. Mitarbeiter mit sinnvollen Awareness-Kampagnen sensibilisieren

Wer diese Maßnahmen bis zum nächsten ECSM 2020 umsetzt, trägt dazu bei, dass die Studien endlich eindeutig zu Gunsten der Verteidiger tendieren werden.