Wie sieht das aktuelle Cyber-Sicherheitsniveau in der Schweiz aus? Zum vierten Jahr infolge publiziert die Redguard AG die Resultate ihrer Umfrage zum IKT-Minimalstandard. Wer wollte, konnte dieses Jahr erstmals auch eine Selbsteinschätzung bezüglich DevSecOps und Cloud Security abgeben. Redguard vergleicht die Resultate mit den Vorjahren und mit dem Ziel, ausreichend vor Cyber-Risiken geschützt zu sein. Lesen Sie, wo noch Handlungsbedarf besteht und wie Sie die Themen in Ihrer Organisation am besten angehen.

Inhalt

Wie wurden die Werte erhoben?
Wer hat an der Umfrage teilgenommen?
Die Mehrheit der Organisationen hält den IKT-Minimalstandard nicht ein
Wie setzen Schweizer Unternehmen DevSecOps um?
Wie setzen Schweizer Unternehmen Cloud Security um?
Wie kann ich Cyber Security in meiner Organisation angehen? – Drei Ansätze
Massnahmen, um Ihre Cyber Security zu optimieren
Wie kann ich mein Sicherheitsniveau einschätzen?

Wie wurden die Werte erhoben?

Redguard hat über 1’000 Schweizer Organisationen eingeladen, ihr Sicherheitsniveau einzuschätzen. Der von uns entwickelte Quick-Test (DE: www.ikt-redguard.ch / FR: www.ikt-fr.redguard.ch) besteht aus insgesamt 16 Fragen zu den drei Themen IKT-Minimalstandard, DevSecOps und Cloud Security. Darin werden die Kernelemente dieser Themen abgedeckt.

Wer hat an der Umfrage teilgenommen?

Auch dieses Jahr haben sich mit 178 Organisationen aus verschiedenen Branchen eine ansehnliche Anzahl an der Umfrage beteiligt. Abbildung 1 zeigt diese breite Abstützung des Security Surveys. Die teilenehmenden Organisationen stammen aus allen Branchen der Schweiz, wobei auch der öffentliche Sektor vertreten ist.

Abbildung 1: Befragte Unternehmen nach Branche (%)

Gleichzeitig haben Unternehmen unterschiedlichster Grösse zum Security Survey beigetragen (vgl. Abbildung 2). Bei den Teilnehmenden handelt es sich bei 29.4% um grosse Unternehmen mit über 500 Mitarbeitenden. Die restlichen gut 70% der teilnehmenden Unternehmen und Organisationen verteilen sich auf 37% Kleinunternehmen (1-50 MA) und 33.6% mittelgrosse Unternehmen (50-500 MA). Wir danken allen Teilnehmenden.

Abbildung 2: Befragte Unternehmen
nach Anzahl Mitarbeitenden

Die Mehrheit der Organisationen hält den IKT-Minimalstandard nicht ein

Mit der Publikation des IKT-Minimalstandards durch den Bund verfügt die Schweiz seit 2018 über eine einheitliche, branchenübergreifende Vorgabe zum Schutz vor Cyber-Risiken. Das von den insgesamt knapp 180 befragten Organisationen eingestufte Sicherheitsniveau liegt auch 2022 immer noch deutlich unter dem empfohlenen Minimalniveau. Im Vergleich zu den Vorjahren haben sich jedoch mehrere Werte leicht verbessert (vgl. Abbildung 3).

Ein Blick auf die Antworten (Tabelle 1), aufgeteilt in die fünf Funktionen des IKT-Minimalstandards, verdeutlicht, dass gerade 37% der Organisationen der Ansicht sind, das vom IKT-Minimalstandard geforderte Sicherheitsniveau zu erreichen (dies ist eine Zunahme um einen Punkt im Vergleich zu 2021).

Abbildung 3: Ergebnisse der Redguard Security Survey

Tabelle 1: Ergebnisse pro Funktion im Jahresvergleich

Tabelle 2: Ergebnisse nach fünf Funktionen

Betrachtet man die einzelnen Funktionen (Tabelle 1), wird ersichtlich, dass der erhöhte Erfüllungsgrad durch eine Verbesserung in vier der fünf Funktionen erzielt worden ist. Das beste Resultat wurde im Bereich «Schützen» erzielt. Organisationen schätzen ihre Massnahmen im präventiven Bereich (z. B. Antivirus, Firewall, Zonenkonzept, Awareness) als besser umgesetzt ein, als ihre Massnahmen in den restlichen Funktionen.

Trotz gewissen Fortschritten sind die Organisationen aktuell in keinem der fünf Funktionen ausreichend geschützt. Wollen wir uns auch gegen kompetente Angreifer (z. B. Advanced Persistent Threats) und vor gezielten Ransomware-Angriffen schützen können, reicht das aktuelle Niveau noch nicht aus.

Wie setzen Schweizer Unternehmen DevSecOps um?

Was ist DevSecOps?

DevSecOps ist die Verschmelzung von ursprünglich drei separat geführten Organisationsbereichen: Entwicklung (Development – Dev), Sicherheit (Security – Sec) und Betrieb (Operations – Ops). DevSecOps soll nicht nur Entwicklung und Betrieb näher rücken, sondern auch die Sicherheit berücksichtigen. Es handelt sich um einen Ansatz hinsichtlich Unternehmenskultur, Automatisierung und Plattformdesign bei welchem die Sicherheit als gemeinsame Verantwortung im gesamten IT-Lifecycle integriert ist.

So sollte DevSecOps umgesetzt werden

In einem optimierten DevOps-Prozess ist im Idealfall schon ein Grossteil automatisiert. Sprich, neuer oder angepasster Programmcode wird durch die Entwickler in eine CI/CD Pipeline eingecheckt (Continuous Integration/Continuous Deployment). Der Code wird beispielsweise automatisch kompiliert und verschiedenen Tests unterzogen, anschliessend durch (idealerweise automatisierte) Review- und Genehmigungsprozesse geschickt und, wenn alles gut verläuft, wird die neu erstellte Version in die Produktiv-Umgebung übertragen.

Wie schätzen Organisationen Ihr DevSecOps-Sicherheitslevel ein?

«Ich bilde mein komplettes Change Management in CI/CD Pipelines ab und habe auch Prüf- und Freigabeprozesse darin integriert.»

Entsprechend unserer Umfrage haben lediglich knapp 25% der befragten Organisationen angegeben, ihr komplettes Change Management in einer CI/CD Pipeline abzubilden und auch Prüf- und Freigabeprozesse darin zu berücksichtigen (vgl. Abbildung 4). Damit fehlt der Mehrheit der Organisationen eine kontinuierliche und automatisierte Überwachung über den gesamten Lifecycle der Applikation.

Angenommen ein Change durchläuft die klassische CI/CD Pipeline und ist grundsätzlich bereit für das Deployment, steht dennoch eine letzte Hürde bevor: das Security Testing. Insbesondere bei öffentlich zugänglichen Applikationen (Banking Apps, Social Media Apps, E-Commerce-Plattformen, Cloud Services usw.) muss sichergestellt werden, dass keine Verwundbarkeiten mehr vorhanden sind.

Das Testen durch ein Security Team kann jedoch Tage oder gar Wochen dauern. Durch die Integration der Security von Beginn an, kann der DevOps-Prozess deutlich effizienter und das Ergebnis sicherer gemacht werden. Die Integration von Security in die CI/CD Pipeline beinhaltet sowohl ein entsprechendes Coaching von Entwicklern durch das Security Team (Verantwortlichkeiten, Awareness, OWASP etc.), als auch den Einsatz von geeigneten Tools.

«Ich nutze technische Werkzeuge, um meine Systeme und Applikationen regelmässig und vollautomatisiert auf Schwachstellen zu prüfen.»

Über 68% der befragten Unternehmen geben an, nicht über die entsprechenden Tools zu verfügen, um ihr IT-System regelmässig von Anfang an auf Schwachstellen zu prüfen (vgl. Abbildung 5). Damit bleibt Security als letzter Schritt und notwendiges Übel vor Deployment bestehen – und verharrt in der Rolle als externer Überwacher des DevOps-Prozesses, anstatt eine Coaching-Rolle zu übernehmen und Security kooperativ mit den Entwicklern anzugehen.

Durch die Integration von Security in den DevOps-Prozess kann die Umsetzung von möglichst sicheren Applikationen adressiert werden. Im laufenden Betrieb wird jedoch zusätzlich eine Überwachung des Zustands und der Version der Systeme erforderlich (Security Monitoring). Damit soll eine rasche und effiziente Handhabung von Sicherheitsrisiken, Schwachstellen oder Vorfällen sichergestellt werden. Die Log4j-Schwachstelle¹ hat die Wichtigkeit dieser Thematik ein weiteres Mal aufgezeigt. Um ein Verständnis über verwundbare Systeme und Komponenten betreffend Log4j zu erlangen, respektive das Deployment der Patches zu koordinieren und kontrollieren, ist eine entsprechende Visibilität unumgänglich.

Abbildung 4: DevSecOps-Pipelines

Abbildung 5: DevSecOps-Automatisierung

Abbildung 6: DevSecOps-Visibilität

«Ich kenne zu jedem Zeitpunkt den Status und die Version aller laufenden Systeme und deren Komponenten – insbesondere in Bezug auf deren Sicherheit.»

Knapp 73% der befragten Organisationen geben an, dass sie über keine oder lediglich eine beschränkte Übersicht über den Status und die Version aller laufenden Systeme und damit verbunden deren Sicherheitszustand verfügt (vgl. Abbildung 6).

Wie setzen Schweizer Unternehmen Cloud Security um?

Laut dem 2021 ISG Provider Lens™ Public Cloud – Services & Solutions Report for Switzerland gilt in der Geschäftsleitung von Schweizer Organisationen weiterhin ein wachsender Fokus auf die Cloud und ein entsprechendes Budget. Beim Gang in die Cloud (egal ob Microsoft Azure, Google Cloud, AWS oder eine sonstige Lösung) gilt, dass der Fokus auf Security nicht vergessen gehen darf. Wichtig ist dabei die Übersicht über die bezogenen Lösungen, die geteilte Zuständigkeit und auch die Notfallplanung.

Wie schätzen Organisationen Ihre Cloud Security ein?

«Ich habe einen Überblick bezüglich eingesetzten Cloud-Lösungen und die darin verarbeiteten Daten sowie deren Anforderungen bezüglich Verfügbarkeit, Nachvollziehbarkeit und Integrität.»

Ein Unternehmen kann nur das schützen, was es auch effektiv sehen kann. Die Transparenz in der Cloud ist daher ein entscheidender Erfolgsfaktor für die Sicherheit. Mit der zunehmenden Beliebtheit der Cloud übernehmen die einzelnen Abteilungen einer Organisation jedoch zunehmend die Verantwortung für die Beschaffung der benötigten Ressourcen. Server und Rechenleistung online zu buchen, ist zunächst die einfachste und schnellste Lösung. Doch dieser Ansatz bringt auch Gefahren mit sich.

Mit 55% sagen über die Hälfte der befragten Organisationen, dass sie über eine unzureichende Übersicht (Transparenz) betreffend Verfügbarkeit, Nachvollziehbarkeit und Integrität ihrer in der Cloud verarbeiteten Dateien verfügen (vgl. Abbildung 7).

«Ich stelle sicher, dass die Rollen und Zuständigkeiten zwischen Cloud-Anbieter, externen Dienstleistern und meinem Unternehmen für die cloudbasierten Lösungen klar definiert und organisatorisch implementiert sind.»

Das Shared Responsibility-Modell ist das «Modell der geteilten Verantwortung». Es bildet eine wichtige Basis für jedes Cloud Security-Konzept. Es beschreibt die geteilte Verantwortung zwischen Leistungsbezüger und Cloud-Anbieter. Bei mangelnder Sorgfalt kann es beim Thema Sicherheit schnell zu Problemen kommen und Sicherheitsaspekte im gegenseitigen Missverständnis untergehen.

Fast zwei Drittel (61%) der befragten Organisationen geben an, die Rollen und Verantwortlichkeiten zwischen Cloud-Anbieter und Leistungsbezügern nicht oder nur unzureichend zu definieren (vgl. Abbildung 8). «Der Mangel an Transparenz bezüglich Rollen und Zuständigkeiten ist einer der häufigsten Feststellungen bei unseren Cloud Security Assessments.», sagt Daniel Michel, Team Leader Cloud Security bei Redguard. In dieser Situation kann nicht sichergestellt werden, dass Sicherheitsaspekte in ausreichendem Masse berücksichtigt werden, da noch nicht einmal deren Verantwortung ausreichend geklärt ist.

Abbildung 7: Cloud-Transparenz

Abbildung 8: Cloud Shared responsibility

Abbildung 9: Cloud-Notfallplanung

«Ich stelle sicher, dass bei einem Ausfall der Cloud-Lösung der Geschäftsbetrieb weitergeführt werden kann und die Wiederherstellungspläne vorhanden sind. Die Backup- und Restore-Vorgehen sind definiert und werden regelmässig geprüft.»

Das Notfall-Management ist leider immer noch häufig ein unterrepräsentiertes Thema in Schweizer Organisationen. Die Notfallplanung im Cloud-Bereich bildet dabei keine Ausnahme. Es bestehen ausserdem neben dem BSI 100-4 Standard nur wenige praktische Leitfäden dazu. Das Vertrauen in den Dienstleister ist oftmals gross und dementsprechend auch die Überraschung bei einem Vorfall.

So geben denn auch 62% der befragten Unternehmen an, nicht oder nur beschränkt über Notfallpläne betreffend ihrer bezogenen Cloud-Dienstleistungen zu verfügen (vgl. Abbildung 9). Wie in «klassischen Setups» gilt auch hier, dass Kosten-Nutzen berücksichtigend Entscheidungen betreffend Redundanzen und Kritikalität getroffen werden müssen.

Wie kann ich Cyber Security in meiner Organisation angehen? – Drei Ansätze

Folgende drei Wege bieten sich an zur Umsetzung des IKT-Minimalstandards, eines anderen Security-Rahmenwerks (z. B. Cloud Controls Matrix (CCM) der CSA oder ISO 27001 Cyber Security Standard) oder der Einführung von DevSecOps:

Independent – Selbstständige Umsetzung

Jeder Organisation steht es offen, Informationssicherheit eigenständig und mit vorhandenen Tools, Hilfestellungen und Fachwissen umzusetzen. Der IKT-Minimalstandard inklusive seinem Assessment-Tool steht auf der Website der Bundesverwaltung zur freien Verfügung.

Zudem finden Sie bei Redguard eine Umsetzungshilfe mit den wichtigsten Massnahmen zur Einhaltung des IKT-Minimalstandard, damit Ihre Organisation alle notwendigen Sicherheitsmassnahmen identifizieren und selbständig angehen kann.

Eine weitere grosse Hilfe bei der Identifizierung von einfachen Massnahmen und ein guter Startpunkt für Organisationen bildet die Webseite des Nationalen Zentrums für Cybersicherheit (NCSC). Dort finden Sie Informationen über aktuelle Bedrohungen, aber auch einige praktische Tipps und Tricks im Umgang mit den wichtigsten Risiken.

Das NCSC hat zudem eine spezifische Hilfestellung für KMUs erstellt und stellt einen Link zum Cyber Security-Schnell-Check von digitalswitzerland zur Verfügung. KMUs welche sich ohne Schnell-Check direkt an die Umsetzung von Massnahmen wagen, können beispielsweise den 10-Punkte-Plan der Information Security Society Switzerland (ISSS) als Grundlage verwenden.

Assisted – Umsetzung mit Unterstützung

Organisationen, die Unterstützung bei der Umsetzung des IKT-Minimalstandards beanspruchen möchten, begeben sich damit auf einen systematischen und effizienten Weg. Sie starten häufig mit einer Standortbestimmung durch einen externen Dienstleister wie Redguard und erhalten dadurch eine Übersicht über das aktuelle Sicherheitsniveau und eine priorisierte Liste von Massnahmen, welche noch umgesetzt werden können – eigenständig oder mit der Unterstützung von Redguard.

Somit lassen sich bestehende Ressourcen und Fachwissen optimal einsetzen und eine kostengünstige Umsetzungsvariante verfolgen. Dieser Ansatz eignet sich ausserdem, um interne Fachexperten durch gemeinsame Arbeiten mit Redguard zu «coachen» und dabei ihr Security Know-how noch weiter zu vertiefen.

Lesen Sie in unserem Factsheet zum IKT-Minimalstandard wie wir Sie unterstützen, diesen pragmatisch umzusetzen und aufrechtzuerhalten.

CISOaaS – Einen externen CISO beauftragen

Eine Organisation, welche aus Gründen des Ressourcen-Engpasses, fehlender Fachexpertise oder Personalfluktuation auf umfassende und kompetente Unterstützung im Bereich Informationssicherheit angewiesen ist, kann sich für kürzere oder längere Zeit einen CISO als Dienstleistung beziehen (CISO as a Service). Der externe CISO (Chief Information Security Officer) übernimmt dabei die Verantwortung für die Identifikation und Umsetzung jeglicher informationssicherheitsrelevanten Massnahmen. Zudem steht er Fachexperten, Geschäftsleitung und allenfalls Verwaltungsrat als Hauptansprechperson zur Verfügung. Gemeinsam werden die wichtigsten Massnahmen und der Umsetzungshorizont festgelegt.

Wenn Sie sich für eine CISOaaS-Dienstleistung von Redguard entscheiden, profitieren Sie nicht nur von einem CISO. Ihrem CISO stehen all seine aktuell 60 Kolleginnen und Kollegen mit all ihren dedizierten Fachkenntnissen zur Verfügung. Diese können je nach Anforderung und in Absprache für spezifische Massnahmen eingesetzt werden.

«Unsere Zusammenarbeit mit Redguard ist ein Rundum-Sorglos-Paket für Cyber Security.» Lukas Strässle, Leiter IT- Management Coop Mineraloel AG über unsere CISOaaS-Dienstleistung in unserer Success Story

Massnahmen, um Ihre Cyber Security zu optimieren

Massnahmen für Ihr DevSecOps

DevSecOps fühlt sich für Sie wie ein Puzzle mit noch nicht zusammengefügten Teilen an? Ein ganzheitlicher Partner wie Redguard unterstützt Sie dabei, diese optimal miteinander zu verbinden und alle Stakeholder einzubeziehen.

Organisation

Der Erfolg von DevSecOps bedingt ein organisationsweites einheitliches Verständnis und entsprechende Prozesse. Mit unserem DevSecOps Assessment erheben wir den aktuellen Maturitätsgrad und unterstützen Sie bei der Ausarbeitung von DevSecOps-Prozessen und -Konzepten unter Berücksichtigung aller Stakeholder.

Technik

Gut aufeinander abgestimmte Systeme und Werkzeuge setzen die vorab definierten Prozesse um, schaffen einheitliche Abläufe und erreichen einen möglichst hohen Automatisierungsgrad. Wir unterstützen Sie beim Aufbau einer neuen Pipeline (Architektur, Evaluation und Umsetzung) oder erweitern Ihre bestehende Pipeline um weitere Sicherheitselemente.

Mensch

Um den Erfolg von DevSecOps nachhaltig sicherzustellen, muss auch internes Know-how aufgebaut werden. Wir bieten hierfür sowohl grundlegende Einführungsworkshops ins Thema DevSecOps aber auch tiefgehende Trainings für Fachspezialisten an, beispielsweise im Bereich Container- und Kubernetes-Sicherheit.

Massnahmen für Ihre Cloud Security

Der Trend geht weg vom on-prem-Betrieb hin zur Cloud-Lösung. Bei anhaltender Tendenz werden sich in naher Zukunft ein Grossteil der Schweizer Unternehmen mit der Cloud und mit seinen Security-Aspekten auseinandersetzen. Haben auch Sie vor, eine Cloud-Strategie zu entwickeln oder möchten Sie die Sicherheit Ihrer neuen Lösung sicherstellen? Wir unterstützen Sie gerne bei Ihrem Cloud-Projekt, z. B. mit einem Cloud Security Assessment.

Cloud Security Assessment

In diesem Assessment prüfen wir das Sicherheitsniveau Ihrer Organisation mit Fokus auf Cloud Security. Wir beurteilen die Prozesse zur Unterstützung und Aufrechterhaltung der Informationssicherheit in diesem Bereich – unter Berücksichtigung von branchenspezifischen gesetzlichen Vorgaben sowie internationalen Best Practices wie beispielsweise der Cloud Security Alliance (CSA) oder C5 des BSI. Anhand unserer Interviews und Stichproben stufen wir die Maturität Ihres Sicherheitsniveaus ein und liefern Ihnen einen Gesamtbericht sowie konkrete Verbesserungsempfehlungen.

Massnahmen für Ihr Incident-Management

Auch wenn Sie sich vorbereiten und Ihre Mitarbeitenden schulen, kann es zu einem Sicherheitsvorfall kommen. Bei einem Angriff ist es von zentraler Bedeutung, dass Sie unmittelbar und zielgerichtet reagieren. Unsere Security-Spezialisten unterstützen Sie bei der optimalen Vorbereitung. Während einem Vorfall können Sie zudem auf die Unterstützung unseres Incident Response Teams zählen. Wir stellen sicher, dass keine wertvolle Zeit verloren geht und der Schaden für Ihr Unternehmen möglichst gering bleibt.

Wie kann ich mein Sicherheitsniveau einschätzen?

Machen Sie jetzt unseren Cyber Security Quick Test (DE: www.ikt-redguard.ch / FR: www.ikt-fr.redguard.ch) und leiten Sie daraus Massnahmen ab. Entscheiden Sie selbst, zu welchen Themen Sie Fragen beantworten: IKT-Minimalstandard, DevSecOps oder Cloud Security.

Ihre Antworten fliessen ein in unseren nächsten Security Survey 2023. Ihre Teilnahme hilft uns, ein realistischeres Bild der Cyber Security in Schweizer Organisationen zu zeichnen. Danke für Ihre Unterstützung.

Sie möchten die Sicherheit Ihrer Organisation oder Ihrer Applikation in guten Händen wissen? Rufen Sie uns an – Wir beraten Sie unverbindlich.

Anmerkungen:

¹Unter Log4J versteht man die kritische Schwachstelle CVE-2021-44228 [MIT2021](Log4Shell) sowie zwei weitere Schwachstellen (CVE-2021-45046, CVE-2021-45105) in der weit verbreiteten Java-Bibliothek.

Die kompletten Resultate des Redguard Security Survey 2022 stehen Ihnen auch als PDF zum Herunterladen zur Verfügung:

Redguard Security Survey 2022 (deutsch)

Redguard Security Survey 2022 (französisch)

Lesen Sie alle Redguard Security Surveys:

Redguard Security Survey 2021

Redguard Security Survey 2020