Greenbone - Studie zum Thema Cyber Resilience in Unternehmen und KRITIS

Greenbone beschäftigt sich schon seit mehreren Jahren intensiv mit dem Thema Cyber Resilience: Aber was macht Cyber Resilience eigentlich aus? Welche Dimensionen gibt es zu beachten? Vor welchen individuellen Herausforderungen stehen Unternehmen in verschiedenen Branchen? Welche Best Practices haben sich bewährt? Um Antworten auf diese und weitere Fragen zu finden, hat Greenbone zusammen mit dem Marktforschungsunternehmen Frost & Sullivan eine großangelegte Studie durchgeführt. Der Grundgedanke dabei: Widerstandsfähige Unternehmen zu identifizieren und anschließend zu analysieren, was diese Unternehmen im Vergleich zu weniger widerstandfähigen Betrieben auszeichnet. Auf diese Weise lassen sich konkrete Handlungs- und Investitionsempfehlungen ableiten – Informationen, welche Greenbone nicht zuletzt auch dabei hilft, die bewährte Schwachstellenmanagement-Technologie weiterzuentwickeln.

Warum öffnete Greenbone mit Cyber Resilience versehentlich Pandoras Box?

Besonderes Augenmerk lag dabei auf Unternehmen in kritischen Infrastrukturen (KRITIS). Bei diesen geht es nicht nur um wirtschaftliche Einbußen oder Rufschädigungen – im Extremfall sind hier Menschenleben bedroht, wenn etwa medizinische Geräte ausfallen oder die Stromversorgung für die Bevölkerung zusammenbricht. Daher wurden die Studienergebnisse mit Praxisbeispielen aus dem KRITIS-Sektor angereichert. Bei den Recherchen stieß Greenbone dann auf ein riesiges Datenleck im Gesundheitsbereich: Millionen Patientendatensätze und damit verknüpfte medizinische Bilder waren über eine Schwachstelle der PACS-Server (Picture Archiving and Communication Systems-Server) über das Internet frei zugänglich. Komplette Krankengeschichten, inklusive persönlichen Daten wie beispielsweise Name und Geburtstag des Patienten sowie des behandelnden Arztes, konnten vollständig ausgelesen werden.

Ein Skandal, der für Greenbone die Veröffentlichung der Studienergebnisse erst in den Hintergrund rücken ließ. In Zusammenarbeit mit dem Bayerischen Rundfunk und der US-Investigativ-Plattform ProPublica, die über Greenbones Recherche berichteten, sowie mit Behörden und IT-Security-Spezialisten rund um den Globus setzte sich Greenbone intensiv dafür ein, den Zugriff auf diese Patientendaten schnellstmöglich einzuschränken. Jedoch nur teilweisem Erfolg: Noch immer sind etwa 400 PACS-Systeme mit dem Internet verbunden und die darauf gespeicherten Patientendaten für jedermann zugänglich.

Welche Erkenntnisse über Cyber Resilience konnten noch gewonnen werden?

Neben den umfänglichen Recherchen im Gesundheitssektor bezog Greenbone in der Studie auch Unternehmen aus den Bereichen Energie, Finanzen, Telekommunikation, Transport und Wasser ein. Insgesamt wurden 370 Organisationen mit durchschnittlich 13.500 Mitarbeitern aus den fünf größten Volkswirtschaften der Welt befragt: den USA, Großbritannien, Frankreich, Japan und Deutschland. Aus diesem breit gefächerten Studiendesign konnte Greenbone neben Antworten auf die Kernfragen einige weitere interessante Erkenntnisse gewinnen:

US-Unternehmen sind Vorreiter in Sachen Cyber Resilience

Insgesamt sind nur 36 Prozent der befragten Unternehmen in hohem Maße Cyber Resilient. Die USA schneiden mit 50 Prozent am besten ab, europäische Unternehmen liegen im Mittelfeld und japanische Organisationen bilden mit nur 22 Prozent das untere Ende der Skala.

Sektor Transport am wenigsten widerstandsfähig gegen Cyber-Angriffe

Über alle Länder hinweg sind Finanz- und Telekommunikationsunternehmen (46 Prozent) am besten gegen Cyber-Angriffe gerüstet. Es folgen die Sektoren Wasser (36 Prozent), Gesundheit (34 Prozent) und Energie (32 Prozent). Bei Transportunternehmen erreichen nur 22 Prozent ein hohes Niveau an Cyber Resilience.

Nicht Budget, sondern das Verständnis von Geschäftsprozessen ist entscheidend

Zwar haben die von Greenbone identifizierten Unternehmen im Schnitt einen größeren Umsatz und ein höheres IT-Budget, Detailanalysen zeigen jedoch, dass dies keinesfalls entscheidend ist. Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein für geschäftskritische digitale Ressourcen im Unternehmen.

Originalbeitrag von Patricia Meibert, Greenbone

Kürzung und Korrektur: Victor Rossner

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein.

Die mit einem * markierten Felder sind Pflichtfelder.