Lagebericht zur IT-Sicherheit des BSI
Deutsche KRITIS-Betreiber fühlen sich sicher gegen Cybercrime
Fortsetzung des Artikels von Teil 1
Die meisten setzen auf Cloud-Lösungen
Wenn man die KRITIS-Entscheidenden fragt, welche Strategien und Maßnahmen sie bereits für Cyber-Security einsetzen, nennen die meisten: das Cloud-basierte Identitäts- und Zugriffsmanagement inklusive Multi-Faktor-Authentifizierung (MFA) für alle Mitarbeitenden (66,5 Prozent). Mehrfachnennungen waren möglich. Dieses Ergebnis zeigt das Vertrauen in das hohe Sicherheits-Niveau der Cloud. Auf den weiteren Rängen folgen die Awareness-Schulungen für Mitarbeitende (47,7 Prozent) und der Einsatz von KI- und Automatisierungstechnologien (38,6 Prozent).
Zero Trust besonders im Homeoffice
Ausbaufähig ist dagegen die Nutzung der modernen Zero-Trust-Strategien, die mit 31,5 Prozent nur den vierten Platz bei den Abwehrmaßnahmen belegen. Dabei sind sie besonders sicher, denn sie funktionieren nach dem Prinzip »Vertrauen ist gut, Kontrolle ist besser«. Zero Trust geht davon aus, dass nichts sicher ist und man niemals nur einem Parameter (zum Beispiel nur Benutzername und Passwort) vertrauen darf. Deshalb prüft das Modell jedes Datenpaket auf mehreren Ebenen und geht gleichzeitig davon aus, dass alle Zugriffe aus dem freien Internet kommen. Vor allem beim Arbeiten im Homeoffice mit Fernzugriff ist dieser Ansatz sehr sinnvoll. Bevor der Zugriff gewährt wird, muss eine Anforderung vollständig authentifiziert und autorisiert werden. Mikrosegmentierung und Zugriff mit geringsten Rechten gehören zu den Grundfunktionen und verhindern die Ausbreitung von Angreifern im System.
Was sind laut den KRITIS-Entscheidenden in der Techconsult-Umfrage die größten Sicherheitsrisiken? Auf Platz eins kommen die externen Cyber-Angriffe (60,5 Prozent, Mehrfachnennungen möglich), denen das Fehlverhalten von Mitarbeitenden (der sogenannte Human Error) mit knappen Abstand folgt (57,5 Prozent). Auch der interne Datendiebstahl wird mit 39,5 Prozent als relativ große Gefährdung betrachtet. Erfreulich ist in der aktuellen Homeoffice-Zeit das offenbar niedrige Risiko durch Remote Work (23,5 Prozent), das mit der starken Nutzung von Cloud-Sicherheitstechnologien einhergeht.
Je größer das Unternehmen, desto mehr Schulungen
Der Stellenwert von Awareness-Schulungen zeigt sich auch bei der Frage, wie Unternehmensverantwortliche ihre Mitarbeitenden für Sicherheit und Datenschutz sensibilisieren: Regelmäßige Schulungen und Workshops werden mit 60,8 Prozent am häufigsten genannt, gefolgt von Trainingsprogrammen mit Zertifizierungen (50,3 Prozent), fest etablierten Notfallplänen (37,2 Prozent) und ausschließlich anlassbezogenen Schulungen (31,7 Prozent). Mehrfachnennungen waren möglich.
Allerdings gibt es in diesem Bereich ein deutliches Gefälle zwischen kleinen und großen Unternehmen. Während nur 14,3 Prozent der Firmen mit 10 bis 49 Mitarbeitenden regelmäßige Schulungen anbieten, setzen die anderen Unternehmensgrößen zu ungefähr zwei Dritteln auf dieses Instrument. Den Spitzenwert liefern Firmen mit 250 bis 999 Mitarbeitenden (70,2 Prozent) und bei Unternehmen ab 1.000 Mitarbeitenden sind es 61,1 Prozent.
- Deutsche KRITIS-Betreiber fühlen sich sicher gegen Cybercrime
- Die meisten setzen auf Cloud-Lösungen
Lesen Sie mehr zum Thema
