Organisationsstruktur beeinflusst Cybersicherheit

In der Analyse wurden die Erfahrungen in der Cybersicherheit unter Einbeziehung der Organisationsstruktur betrachtet. Ziel war es einen Zusammenhang zwischen Struktur und Ergebnissen zu finden und falls es diesen gibt, welche Struktur die besten Ergebnisse liefert. Sophos untersuchte drei Szenarien:

Szenario 1
Das IT-Team und das Cybersicherheitsteam sind getrennte Organisationen.

Szenario 2
Ein spezielles Cybersicherheitsteam ist Teil der IT-Organisation

Szenario 3
Kein spezielles Cybersicherheitsteam, das IT-Team verwaltet die Cybersicherheit

Beste Ergebnisse für Szenario 2

Die Analyse der Umfragedaten ergibt, dass Unternehmen mit einem speziellen Cybersicherheitsteam innerhalb eines umfassenderen IT-Teams im Vergleich zu den anderen beiden Szenarien die besten Gesamtergebnisse im Bereich Cybersicherheit erzielen. Die schlechtesten Resultate erlangen Unternehmen, bei denen die IT- und Cybersicherheitsteams getrennt agieren (Szenario 1).

Auch wenn die Cybersicherheit und der IT-Betrieb im weitesten Sinne getrennte Fachbereiche zu sein scheinen, lassen sich die Erfolge von Szenario 2 damit erklären, dass die Disziplinen eng miteinander verknüpft sind. Beispielsweise wirken sich Kontrollen der Cybersicherheit häufig direkt auf die IT-Lösungen aus, während die Umsetzung einer guten Cyberhygiene, wie das Patchen und Sperren von RDP, häufig vom IT-Team durchgeführt wird.

Alternative externe Dienstleister

Allerdings zeigen die Analysen auch, dass die Art und Weise, wie Unternehmen ihre Teams strukturieren, kaum einen Einfluss auf die Sicherheitsergebnisse hat, wenn ihnen die grundlegenden Fähigkeiten und Kapazitäten im Bereich Cybersicherheit fehlen. Eine Option für dieses Problem sind externe Partner und Security-Dienstleister. Allerdings sollen Organisationen, die ihre Fähigkeiten durch spezialisierte externe Cybersicherheitsexperten – MDR-Anbieter oder MSSPs – ergänzen möchten, nach flexiblen Partnern suchen, welche als Erweiterung des gesamten internen Teams arbeiten anstatt ausschließlich für die Security-Teams.

Ursache von Ransomware-Angriffen

Interessanterweise variiert die Ursache von Ransomware-Angriffen je nach Organisationsstruktur. Bei Szenario 1 hat fast die Hälfte der Angriffe mit einer ausgenutzten Sicherheitslücke begonnen, während 24 Prozent auf kompromittierte Anmeldedaten zurückzuführen sind. Bei Szenario 2 sind ausgenutzte Sicherheitslücken (30 Prozent) und kompromittierte Zugangsdaten (32 Prozent) mit fast gleicher Wahrscheinlichkeit die Hauptursache für die Angriffe. Bei Unternehmen mit Szenario 3 wurden fast die Hälfte der Angriffe (44 Prozent) mit kompromittierten Anmeldedaten begangen und nur 16 Prozent mit einer ausgenutzten Sicherheitslücke.

Wiederherstellung nach Ransomware-Attacke

Unternehmen des Szenario 1 zahlten weitaus häufiger Lösegeld als die anderen und meldeten zugleich den geringsten Anteil an Backups zur Wiederherstellung verschlüsselter Daten. Die Unternehmen des Modells 1 zahlten nicht nur am häufigsten Lösegeld, sondern höhere Summen, wobei der Mittelwert mehr als doppelt so hoch war wie bei den Szenarien 2 und 3.

Sicherheitsmaßnahmen

Eine der wichtigsten Erkenntnisse ist, dass Organisationen aus dem Szenario 2 bei der Durchführung von Sicherheitsmaßnahmen am besten abschneiden, während die meisten Organisationen eine Herausforderung darin sehen, eine effektive Security-Operations selbstständig zu etablieren. Zusammengefasst macht es kaum einen Unterschied, wie man das Team strukturiert, wenn es an den notwendigen Kapazitäten und Fähigkeiten mangelt.

Tägliches Cybersicherheitsmanagement

In diesem Bereich gibt es viele Gemeinsamkeiten zwischen den drei Szenarien und sie stehen alle vor ähnlichen Herausforderungen. Mehr als die Hälfte der Befragten aller Szenarien bestätigen, dass die Cyberbedrohungen inzwischen so weit fortgeschritten sind, dass ihre Organisation sie nicht mehr allein bewältigen kann (60 Prozent Szenario 1; 51Prozent Szenario 2; 54 Prozent Szenario 3).

Die drei Szenarien teilen zudem ähnliche Sorgen in Bezug auf Cyberbedrohungen und -Risiken. Datenexfiltration und Phishing (einschließlich Spear-Phishing) gehören bei allen zu den größten Cyberbedrohungen, und die Fehlkonfiguration von Sicherheitstools ist das am häufigsten wahrgenommene Risiko.