Bericht zur Cyber-Resilienz 2023
Das ist Artikel Teil 4 von 14 In diesem Bericht.
August 01, 2023 / 3 Lesezeit in Minuten
Insider-Cyber-Bedrohungen sind ein wachsendes Geschäftsrisiko
Man geht davon aus, dass bis 2025 die Hälfte aller Cyber-Ereignisse auf menschliches Versagen oder böswillige Handlungen zurückzuführen sein wird.
Wesentliche Erkenntnisse
- Die Kunden steigerten sich im Jahr 2022 von einem „basic“ auf ein „managed“ Gesamtprofil des Insiderrisikos.
- Zwei von fünf Unternehmen gaben an, über keinerlei Kontrollen im Security Operations Center (SOC) zu verfügen.
- Fast die Hälfte aller Unternehmen hat ihre End-of-Life-Software nicht von den Anwendungssystemen abgekoppelt.
Das Insider-Risiko ist eine ständige Sorge für Unternehmen. Das liegt daran, dass Menschen von Natur aus Fehler machen können, und Bedrohungselemente nutzen häufig genau diese Schwachstelle aus. Man geht davon aus, dass bis 2025 die Hälfte aller Cyber-Ereignisse auf menschliches Versagen oder böswillige Handlungen zurückzuführen sein wird. Auf diese Tatsache müssen sich die Unternehmen einstellen.1 Neue digitale Geschäftsmodelle bringen zusätzliche Herausforderungen mit sich. So können z. B. befristet Beschäftigte Schwachstellen verursachen, und die erweiterten Zugriffsmöglichkeiten auf Netzwerke durch Dritte können die Sicherheit gefährden.
Phishing ist nach wie vor der am weitesten verbreitete Vektor für den ersten Netzwerkzugriff, wodurch der Insider – oder der Mitarbeiter – an vorderster Front steht. Der Cocktail aus zunehmender sozialer Raffinesse, Ermüdung der Benutzer und gezieltes, kontextbasiertes Phishing vergrößern dieses Risikos immens.2 Cyber-Kriminelle ändern ihre Methoden ständig und nutzen aktuelle Ereignisse aus. Aktuell werden zahlreiche Phishing-Emails versendet, die sich inhaltlich den Konflikt zwischen der Ukraine und Russland zunutze machen, um bei den Empfängern eine emotionale Reaktion auf den Krieg hervorzurufen, und diese gleich zum Klicken zu bewegen, noch bevor sie darüber nachdenken können. Es zeichnet sich ein neuer Trend ab: Beim so genannten „Novel Phishing“ oder „Led-by-Consent-Phishing“ bringen die Angreifer die Nutzer dazu, bösartigen Cloud-Anwendungen Berechtigungen zu erteilen. Sobald sie angeklickt werden, können diese bösartigen Anwendungen auf legitime Cloud-Dienste und die Daten der Benutzer zugreifen. Leider wird immer noch viel zu wenig in Schulungen und Simulationen von Phishing-Übungen zur Minderung von Cyber-Risiken investiert, obwohl genau diese die wichtigste Gegenmaßnahme zur Abwehr von Ransomware-Angriffen darstellen.3 Auch wenn bestimmte Fälle von Cyber-Kriminalität im Jahr 2022 zurückgingen, verschaffen sich bestimmte Datenzugriffsvermittler weiterhin unbefugt Zugriff auf Kundennetzwerke und Infrastrukturen. Weiterhin versuchen Datenvermittler und Ransomware-Akteure, auf opportunistische Weise Daten und Zugriff von Unternehmensmitarbeitern zu erwerben, und dabei werden am liebsten Schwachstellen ausgenutzt.4 Diese Masche führt zudem zu einem weiteren Insider-Bedrohungsrisiko, bei dem Cyber-Kriminelle unverhohlen Mitarbeiter ansprechen, ob diese bereit sind, die Daten ihres Unternehmens zu ihrem eigenen persönlichen Vorteil zu verkaufen. Der Diebstahl von Daten, geschützten Informationen, geistigem Eigentum und Geschäftsgeheimnissen sind Teile dieses Risikos.
In dem Maße, wie die Systemintegration und die Abhängigkeit der Unternehmen von Dritten weiter zunehmen, steigt auch der Bedarf an einer verstärkten Überwachung der Insiderrisiken. Unternehmen werden sich stärker auf die Notwendigkeit von Endpoint Detection and Response (EDR), Security Operations Center (SOC) und Netzwerksicherheit konzentrieren müssen. Nachdem das Modell des hybriden Arbeitsplatzes weiterhin bestehen bleiben wird, wird man die Themen sichere Arbeitsverfahren und Schutz vor Datenverlusten auch künftig im Auge behalten müssen.
Ergebnisse der ergänzenden Red-Flag-Kontrolldaten in Bezug auf Ransomware: Aon Kundenbericht
Die von Aon durchgeführte Umfrage unter den führenden Versicherungsanbietern zeigt, dass die Datensicherheit zu den fünf größten Bereichsrisiken gehört.4 Ein besorgniserregender Trend zeigt sich jedoch, wenn man alle Branchen betrachtet: Die Mehrheit der Unternehmen meldet erhebliche Lücken in ihren Datensicherheitskontrollen, was den Bedarf an verbesserten Cyber-Sicherheitsmaßnahmen verdeutlicht. Den CyQu-Daten zufolge sind die Scorewerte in den Bereichen Governance und Datenschutz leicht gestiegen, da die Kunden im Jahr 2022 von einem „basic“ zu einem „managed“ Risikoprofil übergegangen sind. Interessanterweise gab es bei der Sensibilisierung und Schulung der Benutzer die größten Verbesserungen in allen Datensicherheitskategorien. Dieser Trend deutet darauf hin, dass kontinuierliche Investitionen in Schulungen zum Thema Cyber-Risiken nicht nur vorteilhaft, sondern für Unternehmen, die die zunehmende Bedrohung durch Insider-Risiken eindämmen wollen, von entscheidender Bedeutung sind.
CyQu-Scorewerte für Datensicherheit
Datensicherheit | 2021 | 2022 | Veränderung |
---|---|---|---|
Datenklassifizierung | 2.0 | 2.2 | +.2 |
Sensibilisierung und Schulung der Nutzer | 2.6 | 3.1 | +.5 |
Datenschutz | 2.3 | 2.6 | +.3 |
Governance | 2.3 | 2.6 | +.3 |
Risikomanagement | 2.0 | 2.4 | +.4 |
CyQu-Risiko-Reifegrad-Scoring
Initial: 1.0 - 1.9
Basic: 2.0 - 2.5
Managed: 2.6 - 3.4
Advanced: 3.5 - 4.0
Fast die Hälfte aller Unternehmen (49 Prozent) haben ihre End-of-Life-Software nicht von den Anwendungssystemen abgekoppelt, was ihre Anfälligkeit für Cyber-Bedrohungen erhöhen kann. Erschwerend kommt hinzu, dass 40 Prozent der Unternehmen nicht über die notwendigen SOC-Kontrollen verfügen, was das Insider-Risiko noch weiter erhöht. Diese Daten unterstreichen die Bedeutung von robusten Cyber-Sicherheitsmaßnahmen zur Eindämmung von Insider-Bedrohungen. Bezüglich der EDR-Kontrollen zeigen die CyQu-Daten ein robusteres Bild, da 70 Prozent der Kunden angaben, dass die EDR-Kontrollen ihres Unternehmens alle Arbeitsplätze abdecken.
47%
geben an, dass ihre End-of-Life-Software nicht von den Anwendungssystemen abgekoppelt ist
40%
geben an, über keinerlei Kontrollen im Security Operations Center (SOC) zu verfügen
70%
geben an, dass die EDR-Kontrollen ihres Unternehmens alle Arbeitsplätze zu 100 % abdecken
Referenzen
1 „Vorhersagen 2023: Die Cyber-Sicherheitsbranche konzentriert sich auf den Faktor Mensch.” Gartner. Bericht. 25. Januar 2023. https://www.gartner.com
2 „ENISA Bedrohungslandschaft 2022.“ Bericht. Europäische Union. November 2022. ENISA Bedrohungslandschaft 2022 — ENISA (europa.eu)
3 „Globale Ransomware-Schadenskosten werden bis 2021 voraussichtlich auf 20 Milliarden Dollar (USD) steigen.“ Artikel. Cybersecurity Ventures. Abgerufen von https://www.cybersecurityventures.com. Schulungen zur Schärfung des Bewusstseins für Cyber-Bedrohungen: Erfolg beginnt mit einem sinnvollen Engagement der Menschen | Aon
4 Trends zum Beobachten: Cyber Q4/2022 Globale Markteinblicke. Aon. Bericht. Januar 2023. Cover – Q4/2022 Globale Markteinblicke (aon.com)
Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.
Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.
Cyber-
Management in sechs vorgestellten Risikobereichen
Der diesjährige Bericht dient als Leitfaden für Führungskräfte, um den Risikoreifegrad ihres Unternehmens mit dem anderer Unternehmen vergleichen zu können und um bessere Entscheidungen für den Umgang mit Cyber-Risiken in den sechs vorgestellten Risikobereichen zu treffen: Cyber-Risiken, betriebliche Risiken, Lieferkettenrisiken, Insiderrisiken, Reputationsrisiken und systemische Risiken.