IT-Entscheider vertrauen Zero-Trust, aber nicht ihren Sicherheitsteams

In einer Studie zur Cyber-Sicherheit in der Schweiz, hat Kaspersky herausgefunden, dass es bei einem Grossteil der Unternehmen an grundlegenden Sicherheitsmassnahmen fehlt. Von 50 befragten Entscheidungsträgern haben beispielsweise mehr als ein Drittel keine Richtlinie für sichere Passwörter, wie es in der Studie heisst. Knapp 50 Prozent schulen demnach zudem ihre Mitarbeiter nicht regelmässig zu Themen wie Phishing und Spam. Das erhöhe die Gefahr von Cyberangriffen, denn die Zeiten schlecht geschriebener Spam- und Phishing-Mails voller Rechtschreibfehler seien längst vorbei.

Schweizer Unternehmen hinken ausserdem hinterher, wenn es um grundlegende Dinge, wie Passwortrichtlinien, Backup-Erstellung oder Multi-Faktor-Authentifizierung geht, wie Kaspersky weiter herausgefunden haben will. Zudem seien oft Selbstüberschätzung von IT-Entscheidungsträgern und fehlendes Vertrauen in das eigene Sicherheitsteam das Problem.

Phishing-Mails sind oft nicht als solche erkennbar. (Source: zVg)

Fehlendes Vertrauen ins Team und Selbstüberschätzung

Der aktuellen Kaspersky-Umfrage zufolge vertrauen IT-Entscheider ihrem eigenen Sicherheitsteam zu wenig, wenn es um die Einschätzung von Risiken und Bedrohungen im Cyber-Universum geht. Fast vier von zehn Entscheidern sind demnach der Meinung, dass ihr Sicherheitsteam die von einem Cyberangriff ausgehenden Risiken nicht richtig einschätzt. 

Die Studie belegt laut Kaspersky, dass:

• 38 Prozent der Entscheider glauben, dass ihr Team die Gefahr, die von Cyberangriffen ausgeht, nicht richtig einschätzen kann
• Nur 40 Prozent dem Team die Identifizierung und Priorisierung von Risiken und Schwachstellen zutrauen

Hingegen überschätzten sich die Entscheider, wenn es um die schnelle Erkennung von Sicherheitsvorfällen gehe. Mehr als ein Drittel glaubt, dass Sicherheitsvorfälle innerhalb weniger Minuten entdeckt werden würden. Dies sei jedoch sehr unwahrscheinlich, wie Kai Schuricht, Lead Incident Response Specialist bei Kaspersky die Erkenntnisse erkläutert.

Kai Schuricht teilt nicht dieselbe Ansicht wie IT-Entscheider. (Source: zVg)

So können sich Schweizer Unternehmen verbessern

Ein Ansatz für eine erhöhte Resilienz gegenüber Cyberangriffen sei das Zero-Trust- Sicherheitskonzept. Dieses stelle prinzipiell jede Handlung unter Vorbehalt und sei eine umfassende Sicherheitsmassnahme, mit der sich Unternehmen vor Bedrohungen schützen könnten.

Ein Fünftel der Unternehmen in der Schweiz habe das bereits erkannt und vertraue auf den Ansatz, bei dem Nutzer und Administratoren nur diejenigen Rechte erhalten, die sie auch tatsächlich in ihrer Rolle und bei ihrer Arbeit benötigen, schreibt Kaspersky weiter. Gleichzeitig verlangt der Zero-Trust-Ansatz fest, dass Authentifizierung und Sicherheitsprüfungen so oft wie möglich stattfänden. Gelangten Angreifer in einer Umgebung ohne Zero-Trust an Zugangsdaten, könnten sie sich viel leichter im Netzwerk bewegen und ungestörter Systeme kompromittieren. Dies scheint aktuell bei über 82 Prozent der Unternehmen in der Schweiz möglich zu sein, wie der Studie zu entnehmen ist.

Übrigens: Vor fünf Jahren hat der Sicherheitsanbieter Kaspersky in Zürich ein Transparenzzentrum eröffnet. Starten Sie hier die Tour und lesen Sie mehr über das Unternehmen. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.