Cyber-Security – Unterschätzte Disziplin digitaler Präsenz
Die CIMA Beratung + Management GmbH (CIMA) hat zusammen mit Mastercard im Rahmen eines gemeinsamen Pilotprojektes die Cybersicherheit von insgesamt 1.015 kleinen und mittleren Unternehmen untersucht. Im Ergebnis konnte aufgedeckt werden, dass nur ein Bruchteil der analysierten Unternehmen über umfassende Sicherheitsleistungen verfügt, während hingegen bei rund einem Viertel deutliche Schwachstellen in ihren internetbasierten Systemen und Netzwerkdiensten identifiziert wurden. Die Erkenntnisse und Ergebnisse sind in die Entwicklung des praxisorientierten Monitoring-Tools „MyCyberRisk“ eingegangen, dass bei der alltäglichen Optimierung der Cybersicherheit unterstützt.
Kleine und mittlere Unternehmen (KMU) geraten zunehmend ins Visier von Cyberkriminellen
Spam und Phishing-Attacken gehören mittlerweile zu den Klassikern, Malware, Ransomware oder DDoS-Attacken reihen sich zunehmend auf der Tagesordnung ein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zuletzt 116,6 Millionen neue Schadprogramm-Varianten gezählt. Die Dunkelziffer dürfte noch um einiges höher liegen. Eine erhöhte Aufmerksamkeit beim Schutz von IT-Infrastruktur und Unternehmensnetzwerken ist daher heute relevanter denn je, denn Angriffe dieser Art laufen oftmals unbemerkt ab. Sie können bei betroffenen Unternehmen zu immensen Schäden führen, da diese nicht mehr oder nur bedingt auf ihre Systeme zugreifen können. Für Unternehmen bedeutet dies, ihre IT und Daten als wichtigstes Unternehmensgut bestmöglich zu schützen. Hauptangriffspunkte für Cyber-Attacken sind vielfach einzelne Sicherheitslücken, die sich durch schlecht abgeschirmte webseitige Systeme wie Websites oder E-Mail-Dienste bieten.
Im Rahmen des Kooperationsprojektes zwischen cima und Mastercard wurden im Zeitraum zwischen Oktober und November 2022 neun zentrale Sicherheits-Aspekte frei zugänglicher webbasierter Unternehmenssysteme Netzwerkdiensten betrachtet und bewertet. Hierzu gehörten unter anderem Softwarepatching, Netzwerkfilterung und Anwendungssicherheit. Die zentralen Fragestellungen lauteten dabei: Wie sicher ist der Internetauftritt der Unternehmen? Welche Drittparteien haben Zugriff auf Ihre sensibelsten Geschäftsdaten? Wo sind unentdeckte Schwachstellen? Begleitet wurde das Projekt durch das Bayerische Staatsministerium für Wirtschaft, Landesentwicklung und Energie sowie den Handelsverband Bayern.
„Nachdem der Fokus der letzten Jahre auf der Optimierung der digitalen Sichtbarkeit lag, kommt es nun auf die Verbesserung der digitalen Sicherheit an.“
Achim Gebhardt, Leiter cima.digital
Die Ergebnisse: Licht, aber leider auch viel Schatten – über 25% haben große Sicherheitslücken
Konkret stellt sich die Situation wie folgt dar:
- 6% der Organisationen haben eine äußerst schlechte Cybersecurity-Leistung und weisen in den allermeisten untersuchten Sicherheitsbereichen erhebliche Sicherheitslücken auf.
- 10% der Organisationen haben mindestens eine Software-Schwachstelle in ihren internetbasierten Systemen, die ausgenutzt werden könnte, um unbefugten System- und Netzwerkzugang zu erlangen.
- 10% der Organisationen haben einen oder mehrere unsichere Netzwerkdienste, die mit dem Internet verbunden sind, was für Kriminelle ein leichtes und häufig genutztes Mittel ist, um sich unbefugten Zugang zum Netzwerk zu verschaffen.
Mit Blick auf die Analyseergebnisse lassen sich 5 zentrale Herausforderungen ableiten, die Unternehmen auf dem Weg zu einer verbesserten Sicherheitsperformance begegnen.
- Sichtbarkeit: mangelnde Informationen über Drittanbieter und Dienstleister, Online-Systeme und -Verfahren
- Verlässlichkeit: Bestehende Bewertungen sind oft nicht in der Lage, das Ausmaß und die Auswirkungen von Cyberrisiken genau zu quantifizieren
- Kosten: Teure Investitionen in Lösungen für das unternehmerische Cyber-Risk-Management
- Kontrolle: Mangelnde Fähigkeit, Analysen außerhalb des Arbeitszyklus, so oft wie nötig und bei Drittanbietern durchzuführen
- Produktivität: Die kontinuierliche Überwachung von Cyber-Risiken Dritter ist arbeitsintensiv und erfordert erhebliche Ressourcen
Einzelne oder eine Kombination dieser Faktoren führen dazu, dass Sicherheitslücken im Unternehmen häufig entweder nicht richtig erkannt werden oder ggf. bestehenden Schutzmaßnahmen nicht adäquat eingesetzt werden. Deshalb werden Themen wie zielgerichtetes Cyberrisiko-Management sowie ein kontinuierliches Monitoring der eigenen digitale Umgebung immer wichtiger. Dies trägt maßgeblich dazu bei, die erforderliche Transparenz über die eigenen Cyberrisiken herzustellen sowie notwendige Maßnahmen zur Abwehr dieser Risiken zu erkennen und umzusetzen.
Cyber-Risiken erkennen, bewerten und abwehren
Um gezielt auf diese Punkte und die spezifischen Bedürfnisse von kleineren und mittelständischen Unternehmen einzugehen, wurde aufbauend auf den Ergebnissen der gemeinsamen Untersuchung das Monitoring-Tools „MyCyberRisk“ entwickelt. Es ermöglicht eine kontinuierliche Überwachung der eigenen Cyberhygiene, ohne hierbei auf umfassendes IT-Fachwissen zurückgreifen zu müssen. „My Cyber Risk“-Tool zeigt dem Unternehmen aktuelle Schwachstellen auf. Die herunterladbaren Berichte führen das Unternehmen zielgerichtet durch die Problemlandschaft, und helfen bei der Priorisierung und den notwendigen Maßnahmen zur Behebung. Das lizenzbasierte, einfach im Unternehmen zu implementierendes Analysetool von cima und Mastercard hilft, den Schutz von IT-Infrastrukturen und frei zugänglichen Unternehmensnetzwerken herzustellen und bündelt die folgenden Leistungen:
- Persönlicher Cyber-Risiko-Score der unternehmerischen Online-Umgebung
- Eigenes Sicherheitsprofil mit einer Liste von entdeckten Schwachstellen, geordnet nach Wichtigkeit und Ausmaß des Problems
- Detaillierte Berichte zu den aufgedeckten Sicherheitslücken, als PDF zum Download verfügbar
- Risikoplan mit ausführbaren Handlungsanweisungen, um die Schwachstellen zu beheben
Auf dem persönlichen Dashboard werden dem Anwender laufend aktuelle Daten zu den Sicherheitsanalysen in neun verschiedenen Security-Bereichen zur Verfügung gestellt und mit möglichen Handlungsempfehlungen versehen.
Wer sich damit noch nicht gewappnet genug fühlt, kann zusätzlich zum MyCyberRisk, welches in Jahreslizenzform erworben wird, Hilfe durch einen Cyber Coach beziehen. In individuellen Terminen können dabei die Analyseergebnisse und Problemlösungen näher erläutert und Hilfe bei der Umsetzung erworben werden.
Sie finden zahlreiche weitere Informationen und Kontaktdaten zur cima.digital und MyCyberRisk auf der Internetseite der cima.
DigitalisierungGewerbe