Zum Jahreswechsel veröffentlichen viele Unternehmen Reports. Die Erfahrungen und Expertise der Anbieter können Unternehmen helfen, eine passende IT-Strategie zu entwickeln. Neben Trends spielen auch Lessons learned eine Rolle und es gibt jede Menge Zahlen und Fakten zum Geschehen und der Entwicklung in der IT.
Ein Trend zieht sich durch alle Berichte: ohne Technologie fällt es Unternehmen in einer zunehmend unberechenbaren Welt schwerer, agil und widerstandsfähig zu bleiben.
Time to rethink resilience
Ein Bericht von Ericsson führt an, dass Unternehmen dank Digitalisierung und Automatisierung besser auf disruptive Ereignisse vorbereitet sind. Führungskräfte sollten dazu weg von einer erholungsorientierten reaktiven Strategie hinzu langfristigen, präventiven Resilienzmodellen schwenken. Zunehmend komplexe Cyberattacken aber auch durch den Klimawandel verursachte Naturkatastrophen und unvorhersehbare Ereignisse wie Krisen, Pandemien oder anhaltende globale Konflikte werden weiter Herausforderungen bleiben. Firmen müssen künftig besser vorbereitet sein, um z. B. Lieferengpässe oder Ausfälle zu vermeiden.
Laut der Studie von Ericssen nehmen bisher nur 49% der befragten Unternehmen die Resilienzplanung ernst und verfügen über eine klar definierte Strategie für den Umgang mit störenden Ereignissen. Fast alle dieser Unternehmen investieren dem Bericht zufolge stark in die Bereiche KI, Automatisierung und Digitalisierung.
Krieg. Energiekrise. Naturkatastrophen. Pandemien. Unsere Welt ist immer komplexer geworden, und die Zeit für die Einführung von Resilienzstrategien ist jetzt gekommen. Für Unternehmen war dies noch nie so wichtig wie heute, wenn sie langfristig wettbewerbsfähig und nachhaltig bleiben wollen.
Patrik Hedlund, leitender Forscher des Ericsson Consumer & IndustryLab bei Ericsson
Hedlund warnt auch, dass eine proaktive statt reaktive Resilienz Teil der Strategien werden muss. Bisher setzen Unternehmen noch zu oft auf kurzfristige, auf Redundanz basierende Ausfallsicherheit statt auf eine langfristige, auf Effizienz basierende Strategie.
Datengesteuerte und agile Unternehmen können sich schneller an sich verändernde Umstände anpassen. Dem Bericht zufolge wird es für Unternehmen in Zukunft noch wichtiger sein, über die nötigen Werkzeuge zu verfügen. Im Rahmen einer proaktiven Resilienzstrategie können u. a. durch KI-gestützte Vorhersagen (Predictive Analytics) potenzielle Störungen verhindert oder deren Folgen zumindest abgemildert werden. Gleichzeitig warnt der Bericht aber auch vor neuen Risiken und Schwachstellen, die Zentralisierung und Cloud-Basierung mit sich bringen können.
Nur ein paar Klicks von der Katastrophe entfernt
Eine neue Studie belegt: wurde ein Unternehmen erst einmal angegriffen, sind 63% der kritischen Anlagen nur einen Sprung von der Kompromittierung entfernt. 81% der kritischen Anlagen sind nicht mehr als zwei Angriffstechniken von der Katastrophe entfernt. 94% der kritischen Anlagen können in vier oder weniger Schritten von einem Hacker nach dem ersten Angriffsvektor kompromittiert werden.
Für den Bericht untersuchte das XM Research-Team ein Jahr lang Daten und fast 2 Millionen Entitäten (Endpunkt, Datei, Ordner oder Cloud-Ressource), die ein Hacker in einem Angriffspfad auf dem Weg zu kritischen Ressourcen nutzen kann. Dabei kam das Team zu alarmierenden Ergebnissen:
- 73% der wichtigsten Angriffstechniken beinhalten falsch verwaltete oder gestohlene Anmeldedaten.
- Im Durchschnitt können 75% der kritischen Ressourcen eines Unternehmens kompromittiert werden.
- 78% der Unternehmen sind durch jede neue RCE-Technik (Remote Code Execution) gefährded.
- 95 % der Benutzer in Unternehmen haben langfristige Zugangsschlüssel, die offengelegt werden können.
- Die Hauptangriffsvektoren in der Cloud sind Fehlkonfigurationen und ein allzu freizügiger Zugang.
XM Cyber betont, dass es nicht ausreicht, nur die Bedrohungen und Warnungen zu überwachen. Unternehmen müssen den Kontext von Schwachstellen und die Angriffswege verstehen, die diese Schwachstellen einem Angreifer bieten, in Ihre kritischen Anlagen einzudringen. Die erfolgreichsten Angriffstechniken sind immer eine Kombination aus Schwachstellen, Fehlkonfigurationen und falsch verwalteten oder gestohlenen Zugangsdaten.
Es ist ein Irrglaube zu glauben, dass das Patchen von CVEs alles beheben und laterale Bewegungen stoppen wird. Die Untersuchung zeigt, dass fast 30% der Angreifertechniken Fehlkonfigurationen und Anmeldeinformationen ausnutzen, um das Unternehmen zu kompromittieren und in die Organisation einzudringen.
aus dem Bericht von XM Cyber
Auch XM Cyber sieht die Cloud als Risiko für Unternehmen. Vor allem hybride Clouds machen 28% aller Unternehmen anfällig für plattformübergreifende Angriffe.
Speziell für Startups gibt es den State of Startup Security-Report von Vanta. 75% der befragten Inhaber kleiner Unternehmen, Gründer, CEOs, CTOs und andere Entscheider über organisatorische Sicherheit sind der Meinung, dass sie ihre Sicherheit verbessern sollten, und 20% der Startups haben keinen Sicherheitsfahrplan.
Vertrauen ist nicht länger implizit!
Eine zukunftsfähige Strategie basiert auf dem Zero-Trust-Ansatz. Im Wesentlichen basiert das Konzept auf der Annahme, dass ein Unternehmen keinem Benutzer, Gerät und keiner Kommunikationsbeziehung vertrauen sollte, bis sie sich als vertrauenswürdig erwiesen haben. Diesen Ansatz im eigenen Unternehmen konsequent zu verfolgen, ist nicht immer einfach. Veraltete und legacy Technologie wie auf dem Perimeter basierende Verteidigungssysteme behindern und erschweren die Umsetzung einer Zero-Trust-Strategie.
General Dynamics hat 300 IT- und Programm-Manager in US-amerikanischen Bundes-, Zivil- und Verteidigungsbehörden befragt. Gemäß einer präsidialen Anordnung aus dem Jahr 2021 sind diese Einrichtungen zur Einführung eines Zero-Trust-Modells verpflichtet. Für 58% ist Legacy-Technologie die größte Herausforderung. 50% haben Schwierigkeiten, die richtige Technologie für die Umsetzung von Zero Trust zu bestimmen. Der Mangel an Fachwissen ist für 48% eine Hürde. In einem Leitfaden sind die Ergebnisse der Studie zusammengefasst. Ab Seite 18 gibt es praktische Tipps, wie der Schritt zum Zero-Trust-Modell gelingen kann.
Eine vergleichbare Studie von Optiv kommt zu einem ähnlichen Ergebnis. Das Unternehmen für Cybersicherheitssoftware und -dienstleistungen befragte 150 Führungskräfte des Bereiches Cybersicherheit. Für 44% davon stellen zu viele alte Technologien, die Zero Trust nicht unterstützen, ein großes Hindernis dar. Für 47% bemängelten Silos bzw. zu viele interne Stakeholder für verschiedene Komponenten von Zero Trust.
Für einen Benchmark, wie weit Unternehmen der eigenen Branche oder Region bei der Umsetzung sind, empfehlen wir den The State of Zero Trust Security 2022-Report von Okta, einem Entwickler von Software für das Identitäts- und Zugriffsmanagement.
Bedrohungslandschaft, Schwachstellen und kulturelle Herausforderungen
Wie wichtig der Zero-Trust-Ansatz ist, zeigt auch der Halbjahresbericht zur Lage der Cyberbedrohungslandschaft von SonicWall. Die Bedrohungsforscher der SonicWall Capture Labs verzeichneten in der ersten Hälfte des Jahres 2022 2,8 Milliarden Malware-Treffer. Vor allem die Zahl der Angriffe durch Kryptojacking-Malware und Malware im Zusammenhang mit IoT stieg rasant. Zu den beliebtesten Angriffszielen zählten Behörden, Bildungseinrichtungen und das Gesundheitssystem.
Auch von der Unit 42 bei Palo Alto Networks gibt es einen Bericht zur Bedrohungslage. Hierfür wurde vor allem die Entwicklung in Bezug auf Ransomware betrachtet. Erschreckendes Ergebnis ist die Zunahme von Ransomware-as-a-Service. Das senkt die technische Barriere und macht Ransomware fit für den massentauglichen Einsatz. Ebenfalls alarmierend ist die Zunahme an Zero-Day-Exploits. Das führt uns wieder zum Zero-Trust-Ansatz.
Den Ernst der Lage bestätigt auch der Bericht der Shadow Server Foundation. Die analysierte letztes Jahr mehr als eine Million einzigartige Malware-Samples in ihren Sandboxen und listen mittlerweile 1,5 Milliarden Muster in ihrem Malware-Repository.
Allerdings sind Kreativität der Angreifer und Angriffsmuster nur ein Teil des Schreckensszenarios. Viele Unternehmen und Institutionen laden Cyberkriminelle regelrecht ein und lassen die Tür gleich sperrangelweit offen.
Eine große Angriffsfläche bieten vulnerable Accounts. Vor allem Bildungseinrichtungen sind durch eine freizügige Vergabe von Admin-Rechten leichte Beute. Eine Umfrage unter 59 Mitgliedern der Educause IT Support Services Community Group ergab, dass auch 2022 noch 30% der befragten Einrichtungen allen Mitarbeitern automatisch und ohne Rückfrage Admin-Rechte gewähren. Nur etwa ein Drittel plant, strengere Richtlinien für die Vergabe von Verwaltungsrechten an Nicht-IT-Mitarbeiter und Fakultätsmitglieder einzuführen
Die Probleme, die mit der Vergabe von Admin-Rechten an Endbenutzer in Hochschuleinrichtungen verbunden sind, sind eher kultureller als technischer Natur. Es bedarf der Unterstützung durch die Leitung, um die Umsetzung zu fördern. Eine technische Lösung ist nicht genug. Es muss eine damit verbundene Änderung der Politik geben.
Conclusion des Educause-Berichtes
Als technische Grundlage zu mehr Sicherheit empfehlen sich Mehrwegeauthentifizierung (MFA) und passwortlose, usergebundene Anmeldeverfahren. Ping Identity und Yubico sind Spezialisten auf diesem Gebiet. In einem White Paper erfahren interessierte Anwender, wie es geht.
Auch fehlerhafte Konfigurationen sind bei potentiellen Angreifern äußerst beliebt. Gerade in Cloud- und SaaS-Landschaften kommt es immer wieder (und immer öfter) zu Fehlkonfigurationen. Damit setzt sicher 2022 SaaS Security Survey Report von Adaptive Shield auseinander. Für den in Zusammenarbeit mit CSA erstellten Report wurde der Stand der SaaS-Sicherheit aus der Sicht von CISOs und Sicherheitsexperten in heutigen Unternehmen betrachtet. Als Hauptursache für SaaS-Fehlkonfigurationen werden mangelnde Sichtbarkeit und zu viele Abteilungen mit Zugang genannt.
Hierbei kann Technologie helfen. Viele Lösungen für das Schwachstellen-Management berücksichtigen Rahmenwerke, Standards, Best Practices und Herstellervorgaben bei der Prüfung von Konfigurationen auch in Multi-Cloud-Umgebungen.
Not macht erfinderisch
Shadow IT ist ebenfalls eine Bedrohung der IT. Mangelnde bzw. fehlerhafte, nicht funktionierende Software und Netzprobleme verursachen nicht nur immer wieder hohe Supportkosten – sie machen Mitarbeiter auch sehr kreativ. In hybriden Arbeitsplatzumgebungen ist die Herausforderung noch einmal größer. Für ihren Global State Of WAN 2022-Report befragte Aryaka über 1.600 Entscheidungsträger in Unternehmen auf der ganzen Welt zu ihren Prioritäten.
Der Report ist in vier Bereiche gegliedert: Remote- und Hybridarbeit und hybride Arbeitstrends, Anwendungsnutzung und -leistung, Managing Complexity, Netzwerk- und Sicherheitskonvergenz. In den letzten beiden Teilen geht es auch um Implementierungspläne und -budgets sowie wahrgenommene Hindernisse und Ansätze sowie Vorteile für die Einführung von SD-WAN und SASE und MPLS-Migration.
Im WAN der Zukunft spielen Zero Trust und Cloud entscheidende Rollen. Wer mehr über SDWAN bzw. NaaS – das Netzwerk der Zukunft – erfahren möchte, worauf es bei der Auswahl ankommt und welche Anbieter sich eignen, sollte den passenden Key Criteria Report und Market Radar von GigaOm lesen.
A pros pos IoT
Die Bedrohung von IoT-Assets ist real. Immer realer wird sie auch für das industrielle IoT und damit viele KRITIS-Betreiber. Barracuda kennt den State of the Industrial IoT. Die deprimierende Einsicht: unsichere Fernzugriffe, fehlende Netzwerksegmentierung und unzureichende Automatisierung lassen Unternehmen offen für Angriffe. Das vom Anbieter beauftragte Institut befragte 800 Teilnehmer aus vielen Branchen, darunter Landwirtschaft,
Biotechnologie, Bauwesen, Energie, Gesundheitswesen, Fertigung, Einzelhandel, Telekommunikation, Großhandel, aber auch Behörden aus den Vereinigten Staaten, Europa und Australien. In Europa wurden Unternehmen aus UK, Frankreich, Deutschland, Österreich, der Schweiz, Benelux und Skandinavien befragt.
Auch IIoT kommt nicht mehr ohne SASE, Zero Trust und Cloud aus. Allerdings hat der Bereich seine ganz eigenen Herausforderungen. Im GigaOm-Market-Radar gibt es Hilfestellung bei der Auswahl geeigneter Werkzeuge. Der Key Criteria Report verrät, worauf es bei der Auswahl ankommt.
Zudem verweisen wir an dieser Stelle auf das IT-Sicherheitsgesetz 2.0, wonach Betreiber kritischer Infrastruktur ab diesem Jahr (2023) verpflichtet sind, die Inventarisierung der IT-Assets zu automatisieren und Systeme zur Angriffserkennung einsetzen müssen.
Herr Kaiser!
Bei all den Risiken, Gefahren und Bedrohungen erfreuen sich Cyberversicherungen immer größerer Beliebtheit. Die steigen jedoch auch im Preis. Für die Versicherer wird es immer teurer, für die Schäden – und Versäumnisse – ihrer Klienten einzustehen. Viele der Assekuradeure bestehen daher ihrerseits auf der Ergreifung bestimmter Maßnahmen – sonst gibt’s keinen Schadenersatz.
Der Preis für Cyber-Versicherungsschutz stieg allein im 4. Quartal 2021 um 130%. Eine Entspannung gab es weder 2022 noch ist die für 2023 in Sicht. 82% der befragten Versicherer erwarten, dass die Cyber Cyber-Versicherungsprämien in den nächsten zwei
nächsten zwei Jahren weiter steigen werden. Panaseer zeichnet für den Cyber Insurance Market Trends Report verantwortlich.
Fazit: IT wird zum Kern der Wertschöpfung. Das sagt nicht nur Cap Gemini. Unsere Redaktion hat hat das schon 2019 auf dem Open Source Summit erkannt, als sich Zalando als „We are a Software Company“ vorstellte.
Wie man IT zum Kern seiner Wertschöpfung macht, weiß Kaseya:
- Integration von Tools ist wichtig
- Die Bekämpfung von Cyber-Bedrohungen bleibt eine Priorität
- Automatisierung ist der Schlüssel zur Modernisierung
Einen Ausblick auf die Cyber-Risiken 2023 hat Flowmon by Progress.
