Der Cyber Risk Index 2020 mit globaler Ausrichtung

Originalartikel von Jon Clay

Der vor drei Jahren von Trend Micro zusammen mit dem unabhängigen Ponemon-Institut ins Leben gerufene  Cyber Risk Index (CRI) hat eine neue globale Version erhalten. In diesem Jahr sind Europa und der asiatisch-pazifische Raum in die Befragung mit aufgenommen worden, so dass der Risikoindex nun eine weltweite Sicht auf die Cyber-Risiken bietet, mit denen Unternehmen fertig werden müssen.

Für den CRI werden IT-Manager aus Unternehmen aller Grössen befragt, um das Risiko-Level für die Organisationen bestimmen zu können. Es geht um zwei Bereiche:

  1. die Fähigkeit der Unternehmen, sich auf gegen sie gerichtete Angriffe vorzubereiten (Cyber Preparedness Index) und
  2. die aktuelle Einschätzung der Bedrohungen, die auf sie abzielen (Cyber Threat Index)

Diese beiden Indices werden eingesetzt, um das gesamte Cyber-Risiko für ein Unternehmen zu errechnen. Basis ist eine Skala von -10 bis +10, wobei negative Werte ein höheres Risiko-Level bedeuten.

Der weltweite CRI

Der aktuelle weltweite Cyber Risk Index steht bei -0.41, und das bedeutet ein erhöhtes Risiko-Level.

Von den drei Hauptregionen weisen die USA im Vergleich zu Europa und dem asiatisch-pazifischen Raum das höchste Risiko-Level auf. Ein genauerer Blick auf die Details zeigt, dass die Cyber-Vorsorge in den USA am niedrigsten ist, was dazu geführt hat, dass der CRI insgesamt am höchsten ist. Überraschenderweise war der Cyber-Bedrohungsindex (Cyber Threat Index) in allen drei Regionen in etwa gleich hoch.

Dies heisst im Kern, dass Unternehmen in den USA Berichten zufolge am wenigsten darauf vorbereitet waren, Cyber-Bedrohungen wirksam zu stoppen oder darauf zu reagieren. Da Unternehmen in allen drei Regionen offenbar in gleichem Masse mit Bedrohungen konfrontiert sind, hatten die USA damit den höchsten CRI-Wert insgesamt.

Die Details der Ergebnisse

Die Ergebnisse zeigen auch die Bereiche, die in allen Regionen die grössten Sorgen bereiten:

  1. Angesichts der globalen Covid-19-Pandemie scheinen viele Organisationen der Meinung gewesen zu sein, dass ihre Abwehrbereitschaft ein zentrales Anliegen sei. Die folgenden vier Bereiche geben den Befragten zufolge am meisten Anlass zur Sorge: Organisatorische Fehlausrichtung und Komplexität, unachtsame Insider, Cloud Computing-Infrastruktur und -Provider sowie Mangel an qualifizierten Mitarbeitern.
  2. Viele Unternehmen haben in diesem Jahr aufgrund der Pandemie Cloud Computing schneller eingeführt. Dies ist zwar eine hilfreiche Reaktion, um unter den gegenwärtigen Umständen in der Lage zu sein weiter zu arbeiten, kann jedoch zu grösseren Beeinträchtigungen führen, da neue Technologien und Fähigkeiten erlernt werden müssen. Die Antworten oben weisen auf diese Herausforderung hin.
  3. Die Befragten gaben an, nicht ausreichend vorbereitet zu sein, um die meisten Cyberangriffe verhindern und eindämmen zu können, und zudem überhaupt nicht in der Lage zu sein, Zero-Day-Angriffe zu erkennen. Dies stellte einen Schlüsselbereich der Abwehrbereitschaft dar, der den Index auf ein erhöhtes Risikoniveau brachte.
  4. Die Antworten auf die Frage nach den Angriffen in den vergangenen 12 Monaten und den künftigen in den nächsten 12 Monaten verheissen nichts Gutes für 2021. Weltweit waren in den vergangenen 12 Monaten 76% der Studienteilnehmer von einem oder mehr erfolgreichen Angriffen betroffen und 23% von sieben oder mehr erfolgreichen Angriffen. Darüber hinaus sagen 83%, dass sie es für ziemlich bis sehr wahrscheinlich halten, in den nächsten 12 Monaten einen erfolgreichen Angriff zu erleiden. Auch dies scheint darauf hinzudeuten, dass die Unternehmen nicht ausreichend vorbereitet sind, um sich gegen neue Angriffe zu verteidigen.

Der CRI soll Unternehmen dabei unterstützen zu verstehen, wo ihre höchsten Risiken liegen, sowie Bereiche zu identifizieren, wo sie ihre Abwehrfähigkeiten verbessern können. Was die Angreifer in Zukunft tun werden, lässt sich nicht ändern, doch kann der Cyber Threat Index dabei helfen zu verstehen, ob Angreifer aggressiver vorgehen werden.

Beispielsweise haben die Sicherheitsforscher den CRI nun bereits dreimal für die USA erstellt, und er blieb konsistent, 5.22 für 2018, 5.5 für 2019 und 5.22 für 2020. Das bedeutet, dass die Bereiche, die den CRI von einem negativen zu einem positiven (weniger Risiko) Ergebnis bringen können, bei der Abwehrbereitschaft liegen.

In den folgenden Bereichen der Abwehrbereitschaft muss noch die meiste Arbeit geleistet werden, um die grössten Risiken anzugehen:

  • Gewährleisten, dass der Leiter der IT-Sicherheit (CISO) über ausreichende Autorität und Ressourcen verfügt, um eine starke Sicherheitshaltung herzustellen;
  • Verbesserung der Fähigkeit des Unternehmens, den physischen Verwahrungsort von geschäftskritischen Datenbeständen und Anwendungen zu kennen;
  • Verbesserungen bei organisatorischen Fehlausrichtungen und in der Komplexität der Sicherheitsinfrastruktur;
  • Mitarbeiter in Bezug auf Cyber-Bedrohungen schulen und sicherstellen, dass sie Cyber-Sicherheit als einen notwendigen Teil ihrer Arbeit betrachten;
  • Cloud-Computing-Infrastruktur einführen und mit den Providern zusammenarbeiten, um sie zu sichern. Schulen der Mitarbeiter, die mit der Einführung dieser neuen Technologien betraut sind, damit sie diese sicher implementieren können
  • Verbessern der Fähigkeit, neue Angriffe zu erkennen und darauf zu reagieren, und Bereitstellen einer stärker vernetzten Infrastruktur zur Gefahrenabwehr, die die Anzahl der Sicherheitslösungen begrenzt und Transparenz über den gesamten Angriffslebenszyklus hinweg ermöglicht.

Der CRI ist ein kontinuierliches Projekt, das jedes Jahr aktualisiert wird, um die Trends der Abwehrbereitschaft von Angriffen aufzuzeigen. Interessierte können auch die Webseite nutzen, um den CRI im Vergleich zu den aktuellen Ergebnissen für ihr Unternehmen zu prüfen:  www.trendmicro.com/cyberrisk.

Zudem gibt es die grafische Zusammenfassung des CRI.