Cyberattacke?Blog
Redguard Security Survey 2024 – Erfüllen Schweizer Unternehmen den IKT-Minimalstandard?
Mar 28, 2024 von Yanik Botta
Lesen Sie, wie sich das Cyber-Sicherheitsniveau von Schweizer Organisationen und Unternehmen in den letzten sechs Jahren entwickelt hat. Die Ergebnisse orientieren sich am IKT-Minimalstandard und decken unter anderem wichtige Kernelemente wie Risikomanagement, Lieferantenmanagement, Awareness und Training, Monitoring und Log-Management, Incident Management, Business Continuity Management sowie Krisenkommunikation ab. Die teilnehmenden Unternehmen schätzten jeweils ihr aktuelles Sicherheitsniveau anhand unseres Quick-Tests ein. Erfahren Sie, welche Massnahmen sich in Anbetracht der erhobenen Resultate besonders anbieten.
Inhalt
Redguards Security Survey zum sechsten Jahr in Folge
Führungssache Cybersicherheit
Fokusthemen Lieferantenmanagement & BCM
Redguards Quick-Test-Assessment
An der Umfrage teilnehmende Organisationen
IKT-Minimalstandard – gesteigertes Maturitätsniveau
Redguard hilft Ihnen, den IKT-Minimalstandard zu erfüllen
Ganzheitliche Umsetzung des IKT-Minimalstandards
Massnahmen
Redguards Security Survey zum sechsten Jahr in Folge
Mit der Publikation des IKT-Minimalstandards durch den Bund verfügt die Schweiz seit 2018 über eine einheitliche, branchenübergreifende Vorgabe zum Schutz vor Cyber-Risiken. Die Einhaltung dieses Standards wird nun zunehmend für Betreiber kritischer Infrastrukturen zur Pflicht. Doch wie steht es um das aktuelle Sicherheitsniveau von Schweizer Unternehmen? Bereits zum sechsten Mal publiziert die Redguard AG die Resultate ihrer Umfrage zum IKT-Minimalstandard: Zeit für ein Résumé.
Führungssache Cybersicherheit
Grundsätzlich kann sowohl aufgrund der Umfrageergebnisse, als auch auf Basis diverser Kundengespräche festgestellt werden, dass das Thema Cybersicherheit im Verlauf der vergangenen Jahre massgeblich an Gewicht zugenommen und auch in den Führungsebenen der Unternehmen angekommen ist. Dies zeigt auch der in diesem Jahr neu abgefragte Teilbereich des Management Supports. Erfreulicherweise gaben rund 80% der befragten Unternehmen an, dass das Thema Cybersicherheit die volle Unterstützung des Managements geniesst. Lediglich 2% spüren noch kaum Support aus der Führungsetage.
Immerhin knapp zwei Drittel der Unternehmen spüren diese Unterstützung auch im Geldbeutel und geben an, dass sie über ausreichendes Budget für die Cyber-Resilienz verfügen. 33% halten ihr zur Verfügung stehendes Budget für nicht ausreichend.
Abbildung 1: Ist Unterstützung des Managements vorhanden?
Abbildung 2: Reicht das vorhandene Security-Budget?
Fokusthemen Lieferantenmanagement & BCM
Zwei Fokusthemen kristalisierten sich in der Arbeit mit unseren Kunden im vergangenen Jahr immer wieder heraus. Einerseits wurde das Thema Lieferantenmanagement sowohl durch ein bekanntes Beispiel in den Medien ausgiebig thematisiert, andererseits wurde dem Thema durch das neue Datenschutzgesetz zusätzliches Gewicht gegeben. Wie gut sind unsere Unternehmensdaten bei der Bearbeitung durch Dritte geschützt? Weiss ich, welche externen Parteien wann und aus welchem Grund auf meine Infrastruktur zugreifen? Diese Fragen begegneten uns im Beratungsalltag zunehmend und wurden daher auch in der aktuellsten Umfrage adressiert.
Auch Krisensituationen wie die Corona-Pandemie oder die Häufung von Ransomware-Angriffen zeigen auf, dass ein reibungsloser Betrieb keine Selbstversäntlichkeit ist und es im Umkehrschluss durchaus sinnvoll ist, sich im Vorfeld Gedanken darüber zu machen, wie die wichtigsten Geschäftsprozesse, beispielsweise während eines grossflächigen Ausfalls der IT-Infrastruktur, aufrechterhalten werden können. Inwiefern diesbezüglich Resilienzmassnahmen in Form von Reaktions- und Wiederherstellungsplänen bestehen, wurde ebenfalls in der Umfrage erhoben.
Redguards Quick-Test-Assessment
Die Ergebnisse der Redguard Security Surveys basieren auf einer Selbsteinschätzung der teilnehmenden Unternehmen und Organisationen. Diese erhalten mit dem Quick Test die Chance, ihr Sicherheitsniveau in kurzer Zeit einzuschätzen und darauf basierend weitergehende Massnahmen abzuleiten.
Der von Redguard entwickelte Quick-Test zum IKT-Minimalstandard besteht aus 13 Fragen, welche auf die Kernelemente des IKT-Minimalstandards abzielen. Dabei werden die Themen Inventarisierung, Risikomanagement, Lieferantenmanagement, Fernzugriffe, Awareness und Training, Monitoring und Log-Management, Business Continuity Management sowie Krisenkommunikation abgedeckt.
Abbildung 3: Befragte Unternehmen nach Branche (%)
An der Umfrage teilnehmende Organisationen
Redguard hat rund 2’000 Schweizer Organisationen eingeladen, ihr Sicherheitsniveau mittels Quick-Test zum IKT-Minimalstandard einzuschätzen. Auch dieses Jahr haben sich über 100 Organisationen aus verschiedenen Branchen für den Standard interessiert und ihre Selbsteinschätzung abgegeben. Abbildung 3 zeigt, dass die Ergebnisse des Security Surveys wieder einmal breit abgestützt sind. Die teilnehmenden Unternehmen und Organisationen stammen aus den unterschiedlichsten Branchen, wobei die Ausprägung sehr ausgewogen ist. Gleichzeitig haben Unternehmen unterschiedlichster Grösse zum Redguard Security Survey beigetragen, wie wir in der Abbildung 4 sehen. Bei 33% handelt es sich nach Angaben der Teilnehmenden um grosse Unternehmen mit über 500 Mitarbeitenden. Den grösseren Anteil machen KMUs aus mit je 27% Kleinunternehmen (1-50 MA) und mittelgrossen Unternehmen (50-200 MA).
Abbildung 4: Befragte Unternehmen nach Anzahl Mitarbeitenden
IKT-Minimalstandard – gesteigertes Maturitätsniveau
Im Rahmen der diesjährigen Umfrage bewerteten die Teilnehmenden ihr Maturitätsniveau über alle fünf Funktionen hinweg deutlich höher als noch letztes Jahr. Zwar bewegt sich der Gesamtscore aller Unternehmen mit 2.4 noch immer unter dem «inoffiziellen» Minimalwert von 2.6, dennoch konnte im Vergleich zum Vorjahr (Score = 2.1) eine deutliche Steigerung der Maturität festgestellt werden.Den höchsten Wert verzeichnet, wie schon in den vergangenen Jahren die Funktion «Schützen» mit 2.8. Die Umsetzung technischer Sicherheitsmassnahmen scheint damit den Befragten deutlich einfacher zu fallen als die doch relativ stark von prozess- und organisationsbehafteten Themen wie zum Beispiel BCM (Wiederherstellen) oder Risikomanagement (Identifizieren). Gesamtheitlich betrachtet setzt sich der erfreuliche Aufwärtstrend der Cyber-Sicherheitsmaturität in den Schweizer Unternehmen fort.
Ein Blick auf die Antworten (Tabelle 1), aufgeteilt in die fünf Funktionen des IKT-Minimalstandards, verdeutlicht, dass nur 41% der Organisationen der Ansicht sind, das vom IKT-Minimalstandard geforderte Sicherheitsniveau zu erreichen oder gar zu übertreffen.
Schlusslicht bezüglich des Maturitätsniveaus bildet seit Jahren die Funktion «Wiederherstellen». Über mögliche Gründe dafür lässt sich spekulieren, die Erfahrungen in den Kundenprojekten der Redguard haben jedoch gezeigt, dass die Unternehmen das Thema Business Continuity Management (BCM) aufgrund seiner Komplexität lange Zeit vor sich hergeschoben haben.
Abbildung 5: Ergebnisse des Redguard Security Surveys
Abbildung 6: Entwicklung Maturitätslevel und Vergleich zum Vorjahr
Erst in den letzten Monaten ist ein gesteigertes Interesse an den Themen rund ums Notfall- und Krisenmanagement festzustellen. Erschwerend kommt im Bereich der Wiederherstellung dazu, dass allfällige Recovery-Tests sehr zeit- und ressourceintensiv sind und sich daher oftmals nicht ihren Platz im Jahresbudget sichern können.
Auch im Bereich «Reagieren» beurteilt sich der Grossteil der Befragten als zu wenig gut vorbereitet. Redguard hat diesen Bedarf erkannt und betreut Kunden einerseits bei der Vorbereitung auf Vorfälle im Rahmen von CISOaaS-Mandaten und seit bald zwei Jahren in Form eines Incident Response Teams, welches Ihnen im Falle einer Cyberattacke zur Seite steht und wertvolle Unterstützung leisten kann.
Tabelle 1: Ergebnisse in Zahlen im Jahresvergleich
Redguard hilft Ihnen, den IKT-Minimalstandard zu erfüllen
Der IKT-Minimalstandard ist so konzipiert, dass er von allen Unternehmen unabhängig von Branche und Grösse umgesetzt werden kann. Trotz Leitfaden und Assessment Tool des Bundesamts für wirtschaftliche Landesversorgung ist fundiertes Fachwissen sowie eine pragmatische Handhabung für eine erfolgreiche Umsetzung des IKT-Minimalstandards essenziell. Redguard unterstützt Unternehmen bei der Umsetzung des IKT-Minimalstandards:
Identifizieren – Kennen Sie Ihre Risiken und gehen Sie Informationssicherheit strategisch an
- Redguard unterstützt Sie dabei, die Cyber-Risiken Ihrer Organisation zu identifizieren und systematisch zu erheben. Basierend auf Ihren Risiken erstellen Sie gemeinsam mit uns eine Informationssicherheitsstrategie, um diese Risiken zu behandeln sowie zu kontrollieren.
- Prüfen Sie, inwiefern Ihre Daten ausserhalb ihrer Infrastruktur bearbeitet werden und erlassen Sie entsprechende Vorgaben zum Umgang mit Ihren Unternehmensdaten durch Dritte. Redguard hilft Ihnen dabei.
Schützen – Schulen Sie Ihre Mitarbeitenden und schützen Sie Ihre Systeme
- Erarbeiten Sie Vorgaben zum Schutz Ihrer Systeme und setzen Sie diese um. Redguard hilft Ihnen bei der Definition der richtigen Massnahmen in den Bereichen Zugriffsmanagement, Firewall und Netzwerkzonenkonzept sowie Schutz vor Malware.
- Technische Massnahmen allein reichen nicht: Schulen Sie Ihre Mitarbeitenden und zeigen Sie Ihnen, welchen Beitrag diese zur Informationssicherheit leisten können. Redguard unterstützt Sie mit E-Learning-Einheiten, klassischen Schulungsangeboten, Live Hackings und Phishing-Kampagnen oder einem kompletten Managed Service im Bereich Awareness.
Erkennen – Kennen Sie Ihre Schwachstellen und testen Sie Ihre Verteidigung
- Richten Sie Ihre Systeme und Prozesses so ein, dass Sie in der Lage sind, mögliche Sicherheitsvorfälle und Anomalien zu erkennen.
- Sammeln Sie zentralisiert Log-Dateien um die Nachvollziehbarkeit zu erhöhen und im Falle eines Angriffs die Arbeit der Incident Responder und IT-Forensiker zu erleichtern.
- Stellen Sie Ihre Systeme und Informationssicherheit mit Penetration Tests oder einer Angriffssimulation auf die Probe. Die Spezialisten von Redguard führen in Ihrem Auftrag zielgerichtete Tests sowie Angriffe durch und zeigen Ihnen damit Verbesserungsmöglichkeiten auf.
Reagieren – Planen und üben Sie Ihre Reaktion auf Cyber-Security-Vorfälle
- Reaktionspläne helfen Ihnen, um im Ernstfall richtig zu reagieren und Zeit zu gewinnen. Mit einem Reaktionsplan haben Sie viele Fragen bereits im Vorfeld beantwortet: Wer ist in Ihrer Organisation zuständig bei einem Cyber Security-Vorfall? Wie informieren Sie Ihre Mitarbeitenden und Kunden? Stellen Sie die Systeme komplett ab oder halten Sie einen Notbetrieb aufrecht?
- Bei Redguard können Sie den Ernstfall mittels einer Tabletop-Übung trainieren. Spielen Sie ein auf Ihre Organisation abgestimmtes Szenario Schritt für Schritt durch und leiten Sie daraus Verbesserungsmöglichkeiten und Massnahmen ab.
Wiederherstellen – Zurück zur Normalität
- Erstellen Sie einen Wiederherstellungsplan und setzten Sie sich konkrete Wiederherstellungsziele: Wie lange können Sie maximal ohne Ihre Systeme auskommen? Wie viel Datenverlust können Sie in Kauf nehmen?
- Definieren Sie ihre Kommunikationsstrategie bereits im Vorfeld, um selbst in Krisensituationen souverän gegenüber Ihren Stakeholder auftreten zu können.
- Redguard hilft Ihrer Organisation, das empfohlene minimale Sicherheitsniveau bei der Funktion Wiederherstellen zu erreichen, indem wir gemeinsam mit Ihnen Wiederherstellungspläne erarbeiten.
Ganzheitliche Umsetzung des IKT-Minimalstandards
Konzentrieren Sie sich auf Ihr Kerngeschäft, während wir Ihre Informationssicherheit auf ein neues Level heben. Durch ein Team mit mehr als 80 Sicherheitsspezialisten bieten wir vollumfängliche Dienstleistungen aus einer Hand.
Standortbestimmung nach IKT-Minimalstandard
Bestimmen Sie Ihre Maturität im Bereich Informationssicherheit durch eine unabhängige Stelle. Unsere Spezialisten prüfen Ihre Systeme, Dokumente und Prozesse. Daraus gewonnene Erkenntnisse werden in Interviews vertieft thematisiert. Als Lieferobjekt erhalten Sie einen Bericht mit den identifizierten Schwachstellen wie auch Massnahmen und konkreten Handlungsempfehlungen zu deren Behandlung und Verbesserung der Informationssicherheit.
CISOaaS – Umsetzung und Aufrechterhaltung des IKT-Minimalstandards
Mit der Dienstleistung «Security Officer as a Service» verfügen Sie über Ihren persönlichen Ansprechpartner, der Ihnen mit dem gesamten Know-how von Redguard zur Verfügung steht. Ihr Ansprechpartner setzt die Handlungsempfehlungen aus der Standortbestimmung als Projektleiter bei Ihrer Organisation um. Gleichzeitig sorgt er dafür, dass der IKT-Minimalstandard eingehalten und der Maturitätsgrad kontinuierlich verbessert wird.
Unterstützung bei einem Incident
Sollten Sie aller Massnahmen zum Trotz von einem Cyber Security-Vorfall betroffen sein, so steht Ihnen unser Incident Response Team jederzeit zur Verfügung. Garantierte Verfügbarkeit mit vorgängigem Agreement.
Massnahmen
Security Operations Center (SOC)
Security Operations bezieht sich auf den Prozess des Überwachens, Überprüfens und Reagierens auf Sicherheitsereignisse und Bedrohungen in einer IT-Infrastruktur. Durch Security Operations wird die Cybersicherheit eines Unternehmens massgeblich verbessert. Hierbei geht es vor allem darum, ungewöhnliche und potenziell schadhafte Aktivitäten frühzeitig zu erkennen und aufzuhalten.
SOC as a Service
Mit unserem cloud-basierten Security Operations Center lagern Sie Ihre Cybersicherheit an Redguard-Experten unserer Schwesterfirma FusionOne aus. Das Serviceangebot ist für alle Organisationen und Unternehmen zugänglich, die Microsoft 365 nutzen. Das SOC wurde auch mit KMUs entwickelt und getestet und erfüllt deren Bedürfnisse an ihren Alltag und ihr Budget.
Weitere Informationen: www.fusionone.ch
Continuous Security Scanning
Mit permanenten, automatisierten Schwachstellen-Scans sorgen Sie für ein stets ausreichendes Sicherheitsniveau Ihres Unternehmens. Das Continuous Security Scanning eignet sich als Überbrückung zwischen den regelmässigen Penetration Tests.
Automatisierte Schwachstellen-Überprüfung
Die von Redguard entwickelte Schweizer Plattform Vulnerability Guard bietet Ihnen eine optimale Einschätzung Ihres Sicherheitsniveaus und die Einordnung der Daten in einen historischen Kontext. So ist für Sie klar ersichtlich, welche Schwachstellen neu identifiziert oder geschlossen wurden und damit auch, wie sich der Schutz Ihrer Infrastruktur mit der Zeit verändert. Sie entlarven damit nicht nur generische Schwachstellen, sondern auch solche, welche spezifisch in Ihren Applikationen enthalten sind.
In die Entwicklung flossen zehn Jahre Erfahrung in Cyber Security ein. Dennoch ist sie im Gegensatz zu anderen Schwachstellenscannern auch ohne IT-Sicherheitsexperten und mit begrenztem Budget bedienbar.
Incident Response
Auch wenn Sie sich vorbereiten und Ihre Mitarbeitenden schulen, kann es zu einem Sicherheitsvorfall kommen. Bei einem Angriff ist es von zentraler Bedeutung, dass Sie unmittelbar und zielgerichtet reagieren. Unsere Security-Spezialisten unterstützen Sie bei der optimalen Vorbereitung. Während einem Vorfall können Sie zudem auf die Unterstützung unseres Incident Response Teams zählen. Wir stellen sicher, dass keine wertvolle Zeit verloren geht und der Schaden für Ihr Unternehmen möglichst gering bleibt.
Incident Response Team – Im Notfall nicht allein
Wir unterstützen Sie rund um die Uhr bei der Eindämmung und der Analyse von Cyber-Vorfällen und bei der Wiederherstellung Ihres Geschäftsbetriebs. Ihr Incident Response Team deckt alle notwendigen Expertisen ab (Technologie, regulatorische Vorgaben usw.) und ist mit Behörden und anderen IR-Teams im ständigen Kontakt. Wir sorgen für einen strukturierten Ablauf und kühle Köpfe.
Weitere Informationen: www.redguard.ch/consulting/cyber-security-incident
Machen Sie jetzt den Test
Machen Sie jetzt unseren Cyber Security Quick Test (DE: www.ikt-redguard.ch / FR: www.ikt-fr.redguard.ch) und leiten Sie daraus Massnahmen ab.
Unterstützung
Sie möchten die Sicherheit Ihrer Organisation in guten Händen wissen? Rufen Sie uns an – Wir beraten Sie unverbindlich.
Cet article de blog est également disponible en français :
Redguard Security Survey 2024 (français)
Lesen Sie den letzten Redguard Security Survey:
< zurück