Risk Management
Cyber Risk Index (2H’ 2021): An Assessment for Security Leaders
We take a look at our latest Cyber Risk Index (CRI) findings across North America, Europe, Asia-Pacific, and Latin/South America, to help security leaders better understand, communicate, and address their enterprise’s cyber risk.
Originalbeitrag von Jon Clay, VP, Threat Intelligence
2021 veröffentlichte Trend Micro den Cyber Risk Index (CRI) einmal im ersten Halbjahr und ein zweites Mal im zweiten Halbjahr, um die Veränderungen von Cyberrisiken in der Wahrnehmung der Unternehmen zu messen. In beide Umfragen waren Nordamerika, Europa, der asiatisch-pazifischen Raum und Latein-/Südamerika einbezogen, um so einen wirklich globalen Überblick über die Cyberrisiken zu erhalten, mit denen Unternehmen heute konfrontiert sind.
Der CRI, eine Gemeinschaftsaktion von Trend Micro und dem Ponemon Institute, beruht auf einer Umfrage in Unternehmen, um anhand gezielter Fragen die Diskrepanz zwischen dem aktuellen Sicherheitsniveau der Organisationen und der Wahrscheinlichkeit eines Angriffs zu messen. Im zweiten Halbjahr 2021 befragten wir über 3.400 Betriebe vieler Größen und Branchen in den vier Regionen. Der CRI für die Organisationen wird auf der Grundlage von zwei Bereichen ermittelt:
- Ihre Fähigkeit, sich auf gegen sie gerichtete Cyberangriffe vorzubereiten (Cyber Preparedness Index - CPI)
- Die aktuelle Bewertung der gegen sie gerichteten Bedrohungen (Cyber-Bedrohungsindex - CTI)
Diese beiden Werte werden verwendet, um das Cyber-Gesamtrisiko einer Organisation auf einer Skala von -10 bis +10 zu berechnen, wobei negative Ergebnisse ein höheres Niveau darstellen. Wir ermittelten den CRI, indem der CTI vom CPI abgezogen wird (CRI = CPI - CTI).
The Global and Regional CRI
Der aktuelle globale Cyber-Risiko-Index liegt bei -0,04, was ein erhöhtes Risikoniveau und einen leichten Anstieg gegenüber 0,42 im ersten Halbjahr 2021 bedeutet. Organisationen in Nordamerika, Europa und im asiatisch-pazifischen Raum haben ihr Cyberrisiko im zweiten Halbjahr 2021 verbessert, während das Risiko für Latein- und Südamerika im Vergleich zur ersten Jahreshälfte gestiegen ist.
Es bietet sich jedoch ein uneinheitliches Bild, denn betrachtet man die vier Regionen im Detail, so zeigt sich, dass der CRI für Nordamerika mit -0,01 knapp unter Null lag, wobei sich der CPI von 4,07 auf 5,35 verbesserte (ein höherer CPI-Wert bedeutet ein geringeres Risiko) und sich der CTI von 5,34 auf 5,36 leicht verschlechterte (ein höherer CTI bedeutet ein höheres Risiko).
Unternehmen in Latein-/Südamerika waren dem Bericht zufolge in der zweiten Jahreshälfte am wenigsten darauf vorbereitet, Cyber-Bedrohungen wirksam abzuwehren oder auf sie zu reagieren. Die Region Asien/Pazifik erreichte einen positiven CRI-Wert, was bedeutet, dass sie besser vorbereitet ist als die anderen Regionen. Weitere Einzelheiten zu den Regionen entnehmen Sie dem Originalbeitrag.
Der Gesamt-CRI für Europa verbesserte sich von -0,22 auf -0,15. Überraschenderweise war Europa schlechter vorbereitet, aber sein Bedrohungsindex verbesserte sich stärker, so dass sich sein CRI insgesamt verbesserte.
Ergebnisse für Deutschland
Für Deutschland wies der Index in der zweiten Jahreshälfte 2021 einen Wert von -0,08 – dies entspricht jeweils einem erhöhten Cyberrisiko. Dabei gaben 87 Prozent der deutschen Befragten (weltweit 84 Prozent) an, in den letzten zwölf Monaten von einem oder mehreren erfolgreichen Cyberangriffen betroffen gewesen zu sein. 35 Prozent wurden dabei auf ein bis zwei Vorfälle aufmerksam, 10 Prozent allerdings auf mehr als zehn Vorfälle innerhalb eines Jahres. In den kommenden zwölf Monaten rechnen zwei Drittel der Befragten (66 Prozent) mit einem eher wahrscheinlichen bis sehr wahrscheinlichen Sicherheitsvorfall in Bezug auf ihre Kundendaten.
Cybersecurity-Vorfälle, aufgrund derer Informationen öffentlich wurden, betrafen in den letzten zwölf Monaten sogar mehr als 80 Prozent (genau: 82 Prozent) der befragten Unternehmen in Deutschland. Mehr als jedes zehnte Unternehmen (15 Prozent) litt dabei unter mehr als zehn Vorfällen innerhalb eines Jahres. Dass es in ihrem Unternehmen in den nächsten zwölf Monaten zu einem Datenvorfall kommt, bei dem Informationen (z. B. geistiges Eigentum) preisgegeben werden, halten 74 Prozent eher bis sehr wahrscheinlich.
In den vorangegangenen zwölf Monaten wurden knapp neun von zehn Befragten in Deutschland (87 Prozent) ein oder mehrmals Ziel von Cyberangriffen, die in die Netzwerke und/oder die Systeme des Unternehmens eingedrungen sind. Dabei sind sich 84 Prozent der Befragten einig, dass diese Cyberangriffe in den kommenden zwölf Monaten eher bis sehr wahrscheinlich sind.
Die Details des CRI für das 2. Halbjahr
Ein genauerer Blick auf die Ergebnisse zeigt auch die Bereiche, die in den einzelnen Regionen die größten Sorgen bereiten.
1. Die fünf größten Sicherheitsrisiken
Angesichts der anhaltenden weltweiten Covid-19-Pandemie sowie zahlreicher erfolgreicher Ransomware-Angriffe und Dateneinbrüche scheinen viele Unternehmen der Meinung zu sein, dass einige Bereiche ihrer Vorkehrungen (Preparedness) nun mehr Anlass zur Sorge geben als in der Vergangenheit. Die fünf größten Sicherheitsrisiken im Zusammenhang mit der Infrastruktur sind:
- Mobile/Remote Mitarbeiter
- Cloud-Computing-Infrastruktur und -Anbieter
- Anwendungen von Drittanbietern
- Böswillige Insider
- Mobile Geräte wie Smartphones
Mitarbeiter, die remote oder mobil arbeiten, bereiten Unternehmen die größte Sorge, und die bleibt wahrscheinlich auch weiterhin bestehen. Des Weiteren besteht die Sorge wegen mobiler Geräte, die von den Mitarbeitern zunehmend für die Abwicklung von Geschäften remote genutzt werden. Auch überrascht es nicht, dass bei der in letzter Zeit beschleunigten Cloud-Implementierung dieser Bereich der Infrastruktur zu Sicherheitsbedenken führt. Sowohl die mobilen Mitarbeiter als auch Cloud-Implementierungen bringen eine höhere Abhängigkeit von Drittanbieteranwendungen mit sich, die von den Befragten als Bedrohung wahrgenommen wird.
2. Mangelnde Vorbereitung
Weltweit gaben die Befragten von allen Bereichen dem „Vorbereitetsein“ (Preparedness) den niedrigsten Wert. Da immer mehr Unternehmen zur Unterstützung der schnellen Code-Entwicklung in die Cloud gehen, ist DevOps ein Bereich, der für die Sicherung dieser Umgebung innerhalb eines Unternehmens ein echtes Problem darstellt.
3. Erfolgreiche Cyberangriffe scheinen unausweichlich
Bei der Frage nach Angriffen in den letzten 12 Monaten und zukünftigen Angriffen im nächsten Jahr lassen die Ergebnisse für das Jahr 2022 nichts Gutes erwarten. Weltweit erlebten 84 % einen oder mehrere erfolgreiche Angriffe, und 35 % wurden in den letzten 12 Monaten von sieben oder mehr erfolgreiche Angriffen heimgesucht. Darüber hinaus gaben 76 % an, in den nächsten 12 Monaten mit einer gewissen bis hohen Wahrscheinlichkeit einen erfolgreichen Angriff zu erwarten. Auch wenn dies ein Rückgang um 10 % gegenüber dem ersten Halbjahr ist, scheint dies erneut darauf hinzuweisen, dass die Unternehmen wissen, dass sie nicht ausreichend auf die Abwehr neuer Angriffe vorbereitet sind.
Die wichtigsten globalen Bedrohungen
Der CRI soll Unternehmen dabei helfen, zu verstehen, wo ihre größten Risiken liegen, und Bereiche zu identifizieren, in denen sie ihre Abwehrbereitschaft verbessern können. Die Bedrohungen, welche Verantwortlichen weltweit am meisten Sorgen bereiten, sind Ransomware auf Platz eins, gefolgt von Phishing/Social Engineering und Denial-of-Service-Angriffe (DoS). Deutsche Unternehmen fürchten zudem besonders zielgerichtete Angriffe (APTs / Advanced Persistent Threats). Die am schwerwiegendsten eingeschätzten negativen Folgen einer Sicherheitsverletzung sind beschädigte Systeme, Kosten für externe Experten sowie der Verlust von Kunden.
Eine bemerkenswerte Bedrohung stellt DoS dar, da wir beobachten, dass einige Ransomware-as-a-Service-Gruppen dies in einem mehrfachen Erpressungsangriff einsetzen. Man-in-the-Middle-Angriffe nehmen möglicherweise zu, weil die Wahrnehmung besteht, dass Angriffe auf die Lieferkette (eine Form von MitM) mehr werden.
Verbesserungen für das Cyberrisiko
Die gute Nachricht des CRIs der zweiten Hälfte 2021 ist, dass die Unternehmen allmählich verstehen, dass sie ihr Cyberrisiko senken müssen, indem sie einen Prozess der Verbesserung von Mitarbeitern, Prozessen und Technologie (PPT) innerhalb ihres Unternehmens anstoßen. Da der CRI alle drei Bereiche einschließt, kann eine Verbesserung des Gesamt-CRI über eine oder alle dieser Kategorien erfolgen.
Die Ergebnisse zeigen auch die Bereiche des Vorbereitetseins, an denen am meisten gearbeitet werden muss, um das hohe Risiko zu senken. Dazu gehören unter anderen die Sicherheit in der DevOps-Umgebung, ausreichende Befugnisse und Ressourcen der CISOs, um ein starkes Sicherheitsniveau zu erreichen, angemessene Investitionen in führende Sicherheitstechnologien wie maschinelles Lernen, Automatisierung, Orchestrierung, Analytik und/oder Tools für künstliche Intelligenz und Ressourcen für die Bewertung von Sicherheitsrisiken Dritter (einschließlich der Cloud und der gesamten Lieferkette).
Um diese Problemfelder anzugehen, sollten CISOs und Sicherheitsverantwortliche eine einheitliche Cybersicherheitsplattform anstreben, anstatt in mehrere unzusammenhängende Einzelprodukte im gesamten Unternehmen zu investieren, denn Unternehmen brauchen eine umfassende Transparenz, um Bedrohungen besser zu verstehen und zu entschärfen.
Es muss eine Plattform sein, die auf kontinuierliche Bedrohungsüberwachung, Risikoeinblicke, erweiterte Erkennung und Reaktion (XDR) baut und bewährte Ansätze wie Zero Trust unterstützt. Ebenso wichtig ist eine umfassende Integration mit Drittanbieterdiensten wie Firewalls, SIEM, SOAR usw. All diese Funktionen und Möglichkeiten tragen dazu bei, die Komplexität für die Sicherheitsteams zu verringern, so dass sie nur die wichtigsten Bedrohungen untersuchen können.
Auf der Website www.trendmicro.com/cyberrisk finden Sie weitere Einzelheiten und Informationen und können den CRI-Rechner ausprobieren, um den CRI Ihres Unternehmens mit den aktuellen Ergebnissen zu vergleichen.