Redguard Security Survey 2020

Apr 20, 2020 von Dario Walder
Sicherheitsniveaubefragterunternehmen

Mit der Publikation des IKT-Minimalstandards durch den Bund verfügt die Schweiz seit 2018 über eine einheitliche, branchenübergreifende Vorgabe zum Schutz vor Cyber-Risiken. Doch wie genau sieht das aktuelle Sicherheitsniveau in der Schweiz aus? Besteht überhaupt noch Handlungsbedarf oder verfügen die Schweizer Organisationen und Unternehmen bereits über ein ausreichendes Sicherheitsniveau? Diese Fragen werden im Redguard Security Survey 2020 (PDF) beantwortet.

Wie schon 2019 haben wir auch dieses Jahr weit über 1'000 Organisationen angeschrieben und sie gebeten, eine Selbsteinschätzung zu ihrem aktuellen Sicherheitsniveau abzugeben. Um letzteres zu erheben, haben wir basierend auf dem IKT-Minimalstandard einen Quick-Test entwickelt.

Letztes Jahr haben wir festgestellt, dass knapp die Hälfte der befragten Organisationen angeben, das minimale Sicherheitsniveau des IKT-Minimalstandards einzuhalten. Hierbei muss jedoch berücksichtigt werden, dass insbesondere im ersten Jahr nach seiner Veröffentlichung vermutlich vermehrt sicherheitsaffine Organisationen an der Umfrage teilgenommen und unter Umständen so die Umfragewerte etwas zum Positiven beeinflusst haben.

Die Bekanntheit des IKT-Minimalstandards ist im letzten Jahr weiter gestiegen. Durch das breitere Interesse am Standard können wir auch eine breitere Datenbasis ausweisen. Mit der Verbreitung des Standards hat sich auch die Anzahl der Organisationen, welche den IKT-Minimalstandard einhalten, etwas reduziert. Im Jahr 2019 gaben noch 47% der befragten Unternehmen an, das minimale Sicherheitsniveau des IKT-Minimalstandards einzuhalten. Dieses Jahr sind es lediglich noch 36%.

Insbesondere die tiefen Werte in den Funktionen Reagieren und Wiederherstellen sind ein Grund zur Beunruhigung. Betrachten wir den 29. Halbjahresbericht der Melde- und Analysestelle Informationssicherheit (MELANI) wird deutlich, dass Ransomware (Verschlüsselungstrojaner) ein zunehmend beliebtes Mittel für Cyber-Angriffe darstellen. Das ist nicht weiter erstaunlich, da Ransomware aus Sicht des Angreifers eine der effizientesten Angriffsmethoden bildet, um möglichst rasch einen Gewinn zu erzielen. Die tiefen Werte beim Reagieren und Wiederherstellen der Systeme auf, beziehungsweise nach Vorfällen, bedeuten, dass Organisationen oftmals über ein unzureichendes Incident Management und Wiederherstellungsplanung verfügen. Werden mangelhaft vorbereitete Organisationen Opfer von Ransomware-Attacken, werden möglicherweise all ihre Daten (inklusive Backup) verschlüsselt. Zudem besteht dann häufig auch kein Prozess, wie Daten, Systeme oder gar die gesamte IT-Infrastruktur mit Hilfe des Backups wiederhergestellt werden können. So bleibt unvorbereiteten Organisationen oftmals lediglich das Bezahlen des Lösegelds, verbunden mit der Hoffnung, dass die verschlüsselten Daten auch tatsächlich durch den Angreifer wieder entschlüsselt werden.

Teilnehmer und Daten

Redguard hat über 1’000 Schweizer Organisationen eingeladen, ihr Sicherheitsniveau mittels Quick-Test zum IKT-Minimalstandard einzuschätzen. Auch dieses Jahr haben mehr als 140 Organisationen aus verschiedenen Branchen geantwortet und ihre Selbsteinschätzung abgegeben. Neu wird auch eine hohe Teilnahme von Organisation aus dem Detailhandel verzeichnet.



Befragte Branchen zum Sicherheitsniveau

Organisationen aus verschiedenen Branchen haben mit Hilfe des Quick-Tests ihr Sicherheitsniveau hinsichtlich IKT-Minimalstandard selbst eingestuft. Besonders gut vertreten sind Organisationen im Bereich Wasser-, Strom-, Gasversorgung und Abwasser sowie der öffentlichen Verwaltung. Eine gute Rücklaufquote wurde auch in den Bereichen Detailhandel, Technologie, Gesundheit sowie Logistik/Verkehr erzielt.

Mit über 40% sind besonders viele kleine Unternehmen mit bis zu 50 Mitarbeitenden in der Umfrage vertreten. An zweiter Stelle, mit ungefähr 30%, folgen mittelgrosse Organisationen mit 50 bis maximal 500 Mitarbeitenden. Die restlichen etwa 20% der Antworten basieren auf den Antworte von grossen Unternehmen mit über 500 Mitarbeitenden.

Einhaltung des IKT-Minimalstandards

Der von Bund und Verbänden empfohlene IKT-Minimalstandard wurde im August 2018 der Öffentlichkeit präsentiert. Mit Hilfe des eigens dazu entwickelten Quick-Tests können wir mit der vorliegenden Studie eine Aussage über den Umsetzungsstand des IKT-Minimalstandards in Schweizer Organisationen machen.

64% der befragten Organisationen halten den IKT-Minimalstandard nicht ein.

Das Resultat der Umfrage 2020 zeigt auf, dass laut eigener Einschätzung 64% der befragten Organisationen das im Rahmen des IKT-Minimalstandards vorgegebene minimale Sicherheitsniveau noch nicht erreichen. Dies ist im Vergleich zum letzten Jahr (53%) eine negative Veränderung von elf Prozentpunkten und damit erheblich. Ein Blick auf die Antworten (Nicht-Erfüllt beschreibt die Prozentzahl der Organisationen, welche das empfohlene Sicherheitsniveau von 2.6 in der jeweiligen Funktion nicht erzielen und somit auch den IKT-Minimalstandard nicht einhalten) aufgeteilt in die fünf Funktionen des IKT-Minimalstandards verdeutlicht, dass sich die Funktionen “Identifizieren” und “Schützen” lediglich wenige Prozentpunkte veränderten. Die Funktionen “Erkennen”, “Reagieren” und “Wiederherstellen” weisen dagegen bis zu 18 Prozentpunkte Differenz auf.



Übersicht der Einhaltung des IKT-Minimalstandards

Eine Ursache für die abnehmende Zahl an Organisationen, welche den IKT -Minimalstandard einhalten, ist die grosse Anzahl an kleinen Organisationen, welche dieses Jahr an der Umfrage teilgenommen haben (von 30% im 2019 auf über 40% in 2020). Kleine Organisationen verfügen grundsätzlich über weniger Ressourcen für Informationssicherheit. Der Vergleich der “Nicht-Erfüllt-Rate” von kleinen Organisationen (75%) zu grossen Organisationen (49%) verdeutlicht diese Aussage. Damit ist ersichtlich, dass die Grösse einer Organisation einen direkten Einfluss auf das Sicherheitsniveau hat. Je grösser eine Organisation, über desto mehr Ressourcen und Fachexpertise hinsichtlich Informationssicherheit verfügt diese.



Übersicht der Einhaltung des IKT-Minimalstandards

Das Sicherheitsniveau von Schweizer Organisationen

Das von 140 Organisationen eingestufte Sicherheitsniveau liegt 2020 noch deutlicher unter dem von Bund und Verbänden empfohlenen Minimalniveau als dies 2019 der Fall war.



Übersicht über das Sicherheitsniveau der befragten Organisationen

Im Rahmen vorliegender Umfrage wurden über 1000 Organisationen angefragt, ihr Sicherheitsniveau hinsichtlich der fünf Funktionen Identifizieren, Schützen, Erkennen von Cyber-Risiken sowie Reagieren und Wiederherstellen beim Eintreten eines Vorfalls einzuschätzen. Grundsätzlich wurden die Resultate aus der letztjährigen Umfrage bestätigt. Das Sicherheitsniveau wird von einer Mehrheit der Schweizer Organisationen noch nicht eingehalten. Durch die über 140 erhaltenen Antworten wurde festgestellt, dass im Durchschnitt betrachtet das minimal geforderte Sicherheitsniveau (rot gestrichelte Linie in obiger Darstellung) in keiner der fünf Funktionen erzielt wird.

In den Funktionen Erkennen und Reagieren gab es 2020 eine Korrektur nach unten (um 0.3, respektive 0.4 Punkte – siehe orange durchgezogene Linie). Das bedeutet, dass zwei Drittel der befragten Organisationen noch Defizite im Erkennen von Vorfällen und insbesondere auch deren Bewältigung aufweisen. Dies ist nicht zuletzt im Lichte der zunehmenden Anzahl Ransomware-Angriffe bedenklich. Werden Organisationen Opfer solcher Angriffe bleibt ihnen ohne sichere Backuplösung (inklusive entsprechendem Reaktions- und Wiederherstellungsplan) oftmals lediglich eine Möglichkeit übrig: Das Bezahlen der Lösegeldforderung mit der Hoffnung, dass die verschlüsselten Daten wieder entschlüsselt und der Normalbetrieb wiederhergestellt werden kann. Auch der Wert für das “Erkennen” von Vorfällen hat sich im Vergleich zu 2019 verschlechtert. Dies könnte darauf zurückzuführen sein, dass eine grössere Anzahl kleiner Organisationen an der Umfrage teilgenommen haben und diese tendenziell im Erkennen von Vorfällen über weniger Expertise und Ressourcen als grosse Organisationen verfügen.

Die Resultate des Redguard Security Survey 2020 stehen auch als PDF zum herunterladen zur Verfügung:

Redguard Security Survey 2020

Umsetzungshilfe (Massnahmen zur Steigerung der Informationssicherheit)

Der IKT-Minimalstandard ist so konzipiert, dass er von allen Unternehmen umgesetzt werden kann. Trotz Assessment-Tool ist fundiertes Fachwissen sowie eine pragmatische Handhabung für eine erfolgreiche Umsetzung des IKT-Minimalstandards essentiell. Redguard hat es sich zum Auftrag gemacht, basierend auf seiner langjährigen Erfahrung als Dienstleister im Bereich Informationssicherheit und spezifisch bei der Umsetzung des IKT-Minimalstandards, eine Umsetzungshilfe zur Verfügung zu stellen.

Umsetzungshilfe IKT-Minimalstandard

Erfahrungsgemäss treten bei der Umsetzung des IKT-Minimalstandard regelmässig ähnliche Herausforderungen auf. Unsere Umsetzungshilfe bietet eine konkrete Hilfestellung, um die Komplexität der Umsetzung des IKT-Minimalstandards zu reduzieren und genau diese regelmässig auftretenden Herausforderungen zu adressieren. Dazu bietet die Umsetzungshilfe drei verschiedene Risikoprofile an (minimal, optimal, maximal). Je nach Risikobereitschaft und Ausgesetztheit einer Organisation kann das Risikoprofil und damit auch die Anzahl Massnahmen verringert oder erhöht werden (siehe dazu Umsetzungshilfe Seiten 4-5).


< zurück