Incident Response: Vieles liegt im Argen
Trotz der nach wie vor zunehmenden Sicherheitsvorfälle hat eine Untersuchung von NTT Security erneut ein beunruhigendes Ergebnis zutage gefördert. Noch nicht einmal die Hälfte der befragten deutschen Unternehmen verfolgt eine Incident-Response-Strategie.
Obwohl nur mit dedizierten Ablauf- und Notfallplänen angemessen und schnell auf Sicherheitsvorfälle reagiert werden kann, wird das Thema Incident Response weiterhin stiefmütterlich behandelt – so lautet ein zentrales Ergebnis des Risk:Value-Reports von NTT Security (1). Nur 36% der deutschen Unternehmen verfügen über einen Incident-Response-Plan. Immerhin 42% befinden sich laut Studie im Implementierungsprozess und weitere 13% planen die Umsetzung entsprechender Maßnahmen in naher Zukunft.
Aber auch die erfreulich hohe Zahl laufender Implementierungen und Projekten in Planung ist bei genauer Betrachtung ernüchternd: Die vergangenen Studien machen deutlich, dass sie oft nur Compliance-getrieben sind und reine Absichtserklärungen bleiben, die nicht zu einer signifikanten Verbesserung der Incident Response Readiness der Unternehmen im Folgejahr führen – nur wenige dieser Incident-Response-Projekte werden erfolgreich umgesetzt.
Doch selbst wenn ein Unternehmen eine Incident-Response-Strategie verfolgt, sind nach NTT-Erfahrung Prozesse oft falsch oder unzureichend aufgesetzt. Wichtig ist vor allem die Erkenntnis, dass ein Incident-Response-Plan keine statische Angelegenheit ist. Er kann nicht in eine Schublade gelegt und nur bei Bedarf genutzt werden. Er muss vielmehr regelmäßig getestet werden – und zwar wie bei einer Brandschutzübung. Das heißt, die Tests müssen möglichst realitätsnah erfolgen. Und wenn dabei etwas nicht funktioniert, müssen unmittelbar Verbesserungen initiiert werden. Solche kontinuierlichen Tests auf Unternehmensseite sind aber eher die Ausnahme. Und gerade Worst-Case-Szenarien werden nahezu nie betrachtet. Ein effizienter Incident-Response-Plan muss aber gerade auf derartige gravierende Sicherheitsvorfälle ausgerichtet sein.
Darüber hinaus ist es von essenzieller Bedeutung, dass alle von Incident-Response-Prozessen betroffenen Mitarbeiter informiert sind. Sie müssen genau wissen, welche Rolle und Aufgabe ihnen zukommt. Und dafür sind regelmäßige Trainings und Schulungen erforderlich, denn die konkreten Anforderungen ändern sich permanent, gerade in der schnelllebigen IT.
Andererseits gibt es aber auch positive Tendenzen: Rückblickend auf das vergangene Jahr ist festzuhalten, dass immer mehr Unternehmen professionell kommunizieren, wenn ein Sicherheitsvorfall eintritt. Zum einen ist diese Entwicklung getrieben durch die DSGVO, die klare Vorgaben hinsichtlich Meldepflichten macht. Zum anderen ist aber auch eine generell bessere Information der Öffentlichkeit und der Kunden zu beobachten. Damit reagieren Unternehmen auf die zunehmende Sensibilität der Bevölkerung in Sachen Datenschutz und Datensicherheit.
Zum Schluss noch ein wichtiger Punkt: Viele IT-Initiativen in Unternehmen sind heute rein Compliance-getrieben. Regularien wie die DSGVO sehen einen Incident-Response-Plan vor, also investieren Unternehmen. Das sollte jedoch nicht der Hauptmotivator sein, sondern die Verbesserung des Sicherheitsniveaus. In erster Linie muss es immer um die Erhöhung der Sicherheit für das eigene Unternehmen und die kritischen Systeme, Applikationen und Daten gehen. Ist diese gewährleistet, werden Gesetze, Verordnungen oder Richtlinien automatisch erfüllt. Compliance und Cybersicherheit gehen in einer ganzheitlichen Strategie „hand-in-hand“ und ergänzen sich perfekt zum Nutzen des Unternehmens.
Gastautor
Kai Grunwitz ist Geschäftsführer von NTT in Deutschland
(1) Die Risk:Value-Studie wurde im Auftrag von NTT Security zwischen Februar und März 2019 vom Marktforschungsunternehmen Jigsaw Research durchgeführt. Dabei wurden weltweit mehr als 2.200 Führungskräfte zu Themen rund um die IT und IT-Sicherheit befragt.
Die vollständige Risk:Value-Studie zum Download finden Sie unter:
https://www.nttsecurity.com/de-de/risk-value-report-2019