Absolute Security hat 750 CISOs aus US- und UK-Unternehmen zur Cyber-Resilienz befragt. Laut dem Statusreport war mehr als die Hälfte der Befragten im vergangenen Jahr mit Cyberangriffen befasst, zugleich blieben die Betriebsunterbrechungen teils lang. Parallel startet der Anbieter eine neue Themenplattform für CISOs.
Foto: Absolute Security / Abosch
Christy Wyatt, Präsidentin und CEO von Absolute Security
Cyber-Resilienz gilt als Schlüssel, um den Geschäftsbetrieb nach Angriffen oder Softwareausfällen rasch wiederherzustellen. Wie weit Unternehmen dabei sind, hat Absolute Security in einem aktuellen Statusreport untersucht. Befragt wurden 750 Chief Information Security Officers (CISOs) aus Unternehmen in den USA und Großbritannien.
Die Ergebnisse deuten auf weiterhin hohe Ausfallzeiten hin: Kein befragtes Unternehmen war demnach in der Lage, den Betrieb nach einem Cybervorfall innerhalb eines Tages wiederherzustellen. Teilweise dauerten Unterbrechungen bis zu zwei Wochen; die Mehrheit der Unternehmen hatte laut Studie mit Ausfallzeiten von fast fünf Tagen zu kämpfen.
55 Prozent der CISOs gaben an, dass ihr Unternehmen in den vergangenen zwölf Monaten einen Cyberangriff, eine Ransomware-Infektion, eine Kompromittierung oder eine Datenverletzung erlebt habe, die mobile, Remote- oder hybride Endgeräte unbrauchbar machte. 57 Prozent berichteten, dass ihre Unternehmen durchschnittlich mehr als 4,5 Tage für vollständige Behebung und Wiederherstellung benötigten. 19 Prozent nannten Zeiträume von bis zu zwei Wochen.
Finanziell verortet die Umfrage die Wiederherstellungskosten für 98 Prozent der Unternehmen zwischen einer und fünf Millionen US-Dollar. Die durchschnittlichen Kosten pro Vorfall beziffert Absolute Security auf 2,5 Millionen US-Dollar. Zugleich weist der Report darauf hin, dass diese Werte Gesamtverluste durch unternehmensweite Ausfallzeiten nicht enthalten.
Die Studie beschreibt zudem wachsenden Druck auf Sicherheitsverantwortliche. 72 Prozent der CISOs stimmen zu, dass sich ihre Rolle von der alleinigen Verantwortung für Sicherheit und Risiken hin zur Leitung der Maßnahmen zur Wiederherstellung der Geschäftskontinuität nach Cyberangriffen, Ransomware, Sicherheitsvorfällen oder Softwareausfällen entwickelt habe. 61 Prozent sagen, Vorstand und Führungsetage erwarteten von der Cybersicherheitsgruppe, null Sicherheitsverletzungen und Ransomware-Vorfälle zu garantieren. 59 Prozent befürchten, ein Vorfall mit erheblichen Ausfallzeiten könne zum Verlust des Arbeitsplatzes, zu persönlicher Haftung und zu rechtlichen Sanktionen führen.
Bei der organisatorischen Verankerung zeigt sich ein gemischtes Bild: 67 Prozent sehen sich selbst in der Hauptverantwortung für Cyber-Resilienz, 68 Prozent geben an, ihr Unternehmen verfüge über eine entsprechende Strategie. 65 Prozent stimmen zu, dass Cyber-Resilienz gegenüber klassischen Präventions-, Erkennungs- und Reaktionsmaßnahmen priorisiert werde. Absolute Security stellt dies einem früheren Stimmungsbild gegenüber: Vor rund einem Jahr hatten demnach 83 Prozent Cyber-Resilienz als wichtiger eingestuft, 90 Prozent berichteten damals von einer Strategie.
Die Ergebnisse veröffentlicht Absolute Security in der ersten Ausgabe einer neuen E-Book-Reihe unter dem Titel „The Resilient CISO: The State of Enterprise Resilience“. Zusätzlich startet das Unternehmen die Web-Plattform „The Resilient CISO Inner Circle“, die unter anderem Videos, Blogs, Berichte, Downloads sowie LinkedIn-Live-Sessions anbieten soll. CEO Christy Wyatt dazu: „es gibt schlicht keine Möglichkeit, das Unvermeidliche zu vermeiden – irgendwann wird jedes Unternehmen mit der Realität eines Cybervorfalls oder -angriffs konfrontiert, der das Geschäft lahmlegt. Unternehmen, die nicht darauf vorbereitet sind, sich schnell wieder zu erholen, stehen vor einer fast existenziellen Krise, da längere Ausfallzeiten ein Unternehmen ruinieren können“
