Die Studie „2023 Cyber Workforce Resilience Trend Report“ zeigt, dass immer mehr Unternehmen ihren Fokus auf den Aufbau nachhaltiger Cyber-Resilienz richten. Gründe dafür sind die stetige Zunahme von Cyberangriffen und die sich verändernde Bedrohungslandschaft. Viele dieser Cyber-Resilienz-Programme greifen jedoch zu kurz und können die praktischen Cyber-Fähigkeiten der Teams nicht belegen.
Die Studie zur IT-Sicherheit wurde von Osterman Research im Auftrag von Immersive Labs, einem der Marktführer im Bereich der mitarbeiterzentrierten Cyber-Resilienz, durchgeführt. Im Rahmen der Studie wurden 570 Cybersicherheits- und Risikoverantwortliche in britischen, US-amerikanischen und deutschen Unternehmen mit mindestens 1.000 Mitarbeitenden befragt. Obwohl 86 % der Unternehmen über ein Cyber-Resilienz-Programm verfügen, mangelt es mehr als der Hälfte der Befragten zufolge an einem ganzheitlichen Ansatz zur Beurteilung der Cyber-Resilienz.
Schlussfolgerung:
modernisierte Cyber-Resilienz-Programme müssen her
Die Zahlen der Studie deuten, laut Immersive Labs, darauf hin, dass Cyber-Resilienz zwar eine Priorität ist und Programme vorhanden sind, die bestehenden Strukturen und Trainingsmethoden jedoch ineffektiv sind. Die Studie käme zu weiteren aufschlussreichen Erkenntnissen, die den Bedarf an effektiveren – und modernisierten – Cyber-Resilienz-Programmen, die unternehmensweit angelegt und nicht auf Cybersicherheitsteams beschränkt sind, unterstreichen, heißt es in der Zusammenfassung des Dienstleisters. Darunter:
- Unternehmen bezweifeln, dass ihre Mitarbeitenden wissen, wie sie auf einen Cybersicherheitsvorfall reagieren sollen.
- Unternehmen stellen die Verlässlichkeit von Branchenzertifizierungen, Präsenzschulungen und Ad-hoc-Lernpfaden beim Aufbau von Cyber-Resilienz infrage.
- Den meisten Unternehmen fehlt ein dediziertes Framework mit Kennzahlen zur Messung und zum Nachweis der Cyber-Resilienz.
- Um die Cyber-Resilienz von Teams gegenüber Vorstand und C-Level Executives belastbar nachzuweisen, sind Kennzahlen entscheidend.
- Das Thema Cyber-Resilienz der Vorstands- und obersten Führungsebene gegenüber zu kommunizieren, ist unerlässlich, um Veränderungen anzustoßen.
Ergebnisse der Studie in Zahlen
Die Stärkung der Cyber-Fähigkeiten steht im Jahr 2023 für viele Unternehmen ganz oben auf der Liste der strategischen Prioritäten. Widerstandsfähigkeit aufseiten von Cybersicherheitsteams (83 %) und der allgemeinen Workforce (75 %) aufzubauen, werden dabei als die beiden wichtigsten Schwerpunktbereiche genannt.
Zwar haben Unternehmen Maßnahmen zur Implementierung von Cyber-Resilienz-Programmen ergriffen. Dennoch räumen 53 % der Befragten ein, dass die Mitarbeitenden des Unternehmens nicht ausreichend gegen zukünftige Cyberangriffe – ganz gleich, welcher Art – gewappnet sind. Etwas mehr als die Hälfte der Befragten gibt an, dass es an einem ganzheitlichen Ansatz zur Bewertung der Cyber-Resilienz mangelt. Darüber hinaus:
- Zwei von drei Unternehmen sind der Meinung, dass 95 % ihrer Mitarbeitenden nicht wissen, wie sie sich bei der Aufarbeitung eines Cybersicherheitsvorfalls verhalten sollen.
- Während fast alle Unternehmen Branchenzertifizierungen fördern, bezeichnen sie nur 32 % als effektiv bei der Eindämmung von Cyberbedrohungen. Präsenzschulungen werden zu selten angeboten, um effektiv zu sein: Nur etwa ein Viertel (27 %) der Befragten gibt an, dass sie monatlich an Schulungen teilnehmen. Fast die Hälfte der Befragten (46 %) ist der Meinung, dass ihre Mitarbeitenden trotz jahrelangen Sicherheitsschulungen und Phishing-Tests nicht wüssten, wie sie mit einer Phishing-E-Mail umgehen sollen.
- Dennoch gibt fast die Hälfte (46 %) der befragten Cybersicherheits- und Risikoverantwortlichen an, nicht über die erforderlichen Kennzahlen zu verfügen, um die Widerstandsfähigkeit ihrer Mitarbeitenden im Falle eines Cyberangriffs nachzuweisen. Nur etwa 6 % der Unternehmen verfügen über aussagekräftige Kennzahlen, wie Response-Zeiten bei der Behebung von Schwachstellen, tracken Intrusion Rates, internen Datenverlust und die Häufigkeit verschiedener Bedrohungsarten.
- Über das letzte halbe Jahr gesehen, hat der Vorstand in weniger als der Hälfte (46 %) der Unternehmen einen Nachweis der Cyber-Resilienz vom Cybersicherheitsteam verlangt; in 51 % der Unternehmen wurde ein solcher von der obersten Führungsebene verlangt. (eve)