Wenn es um IT-Sicherheit geht, ist das Budget in den meisten Unternehmen unzureichend – ein besorgniserregender Trend, den der OT+IoT Cybersicherheitsreport des Security-Spezialisten Onekey bestätigt. Angesichts der stetig wachsenden Bedrohungslage sollten Unternehmen nicht nur ihre Schutzmaßnahmen verstärken, sondern sich auch gezielt auf potenzielle Cybervorfälle vorbereiten.
Mehr als 2.000 neue Schwachstellen werden jeden Monat in Software bekannt, und etwa 15 Prozent werden als „kritisch“ eingestuft. Das hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ermittelt. „Angesichts dieser Bedrohungslage sollte die deutsche Industrie ihre Cyberresilienz weiter stärken“, rät Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens Onekey. Doch wie können Unternehmen ihre Cyberresilienz verbessern?
Industrie in der Pflicht: Wie Unternehmen ihre Cyberresilienz verbessern können
Laut dem OT+IoT Cybersecurity Report 2024 von Onekey hat die Industrie im vergangenen Jahr die Softwaresicherheit in vernetzten Geräten, Maschinen und Anlagen vernachlässigt. Die Grundlage des Reports über die Sicherheit von industriellen Steuerungen (Operational Technology, OT) und in Geräten für das Internet der Dinge (Internet of Things, IoT) bildet eine Umfrage unter 300 Führungskräften aus der Industrie. „In Sachen Sicherheit haben viele Unternehmen einen großen Nachholbedarf“, erläutert der Onekey-CEO. „Das Thema Cyberresilienz gehört in diesem Jahr ganz oben auf die Agenda.“
Laut der Studie sollte die Cybersicherheit bei rund zwei Dritteln der befragten Unternehmen nach eigener Einschätzung verbessert werden. Ein Drittel davon stuft das für die Hackerabwehr verwendete Budget selbst als „begrenzt“ ein. Bei 27 Prozent der Firmen liegt die Budgetsituation in Bezug auf Aktionen zur Erhöhung der Cybersicherheit im Unklaren. Lediglich 34 Prozent der befragten Unternehmen verfügen über ein nach eigener Einschätzung „angemessenes“ oder sogar „signifikantes“ Budget für Initiativen zur Stärkung der Cyberresilienz. „Es ist dem anderen zwei Dritteln anzuraten, ihr IT-Sicherheitsbudget im neuen Jahr zu klären und zügig aufzustocken“, empfiehlt Wendenburg.
Vertragliche Sicherheit reicht nicht aus – Wie Unternehmen ihre Cyberresilienz wirklich stärken
Im Rahmen der Umfrage wollte Onekey wissen, mit welchen Maßnahmen die Firmen ihre Cyberresilienz prüfen. Demnach führen 36 Prozent Bedrohungsanalysen durch, 23 Prozent veranlassen Penetrationstests, 22 Prozent setzen auf Intrusion Detection, also die aktive Überwachung von Netzwerken, und 15 Prozent bevorzugen Schwachstellen-Assessments (Mehrfachnennungen waren möglich). 19 Prozent stärken die Sicherheit durch Netzwerk-Segmentierung, so dass ein erfolgreicher Einbruch in ein Segment nicht das gesamte Firmennetz kompromittiert.
Laut Umfrage setzen 38 Prozent der Unternehmen auf vertragliche Sicherheitszusagen ihrer IT-Dienstleister und Lieferanten. Ob das ausreicht, ist fraglich – denn viele große Sicherheitsvorfälle betrafen auch Anbieter mit „vertraglich zugesicherter Sicherheit“, darunter Cloudflare, CrowdStrike und Cisco.
Ein knappes Drittel (32 Prozent) der in der Studie befragten Unternehmen hat Verfahren eingerichtet, um aus Sicherheitsvorfällen zu lernen und notwendige Verbesserungen umzusetzen. „Vordefinierte Geschäftsprozesse, die den Umgang mit Hackerangriffen sowohl während einer Attacke als auch im Nachgang festlegen, sollten eigentlich zum selbstverständlichen Sicherheitsrepertoire jeder Firma gehören“, erklärt Wendenburg. „Angesichts der fortwährenden Bedrohungslage sollte jede Unternehmensleitung für den Fall der Fälle ausreichende Vorbereitungen treffen.“
Anzeige | Expertenbeitrag | Trovarit-MES-Center
|
Artikel
Organisation und Technik sichern IoT-Projekte ab |
| Autor: | Jürgen Frisch | Redakteur der IT-Matchmaker®.news | |
| Erschienen: | 2021-03-30 | |
| Schlagworte: | IT-Sicherheit, Industrie 4.0, Internet of Things | |
| Für viele Unternehmen ist das Internet der Dinge ein Schritt in Richtung Industrie 4.0. Mit der Absicherung hakt es aber vielerorts. Als Abhilfe empfehlen Projektmanager des FIR an der RWTH Aachen ein Bündel aus organisatorischen und technischen Maßnahmen. | ||
| Download | ||
IT-Sicherheit erst nach einem Angriff?
Ein gutes Drittel (34 Prozent) der Unternehmen kümmert sich immerhin nach einer Hackerattacke um mehr Sicherheit. Diese Firmen bemühen sich laut Umfrage um eine gründliche Analyse und Bewertung des überstandenen Sicherheitsvorfalls. Sie leiten daraus Verbesserungen in Bezug auf die Maßnahmen zur Abwehr von Cyberkriminellen ab. Ungefähr ebenso viele Unternehmen stehen Cyberangriffen indes weitgehend hilflos gegenüber, heißt es im OT+IoT Cybersecurity Report. Bei ihnen herrscht Unklarheit darüber, wie sie mit Attacken auf vernetzte Geräte, Maschinen und Anlagen umgehen. 16 Prozent haben keine betrieblichen Verfahren entwickelt, damit sie aus Cyberangriffen lernen und notwendige Verbesserungen umsetzen können. Jürgen Frisch
