May 24, 2023
Lesen Sie, wie sich das Cyber-Sicherheitsniveau von Schweizer Organisationen und Unternehmen in den letzten fünf Jahren entwickelt hat. Die Ergebnisse decken die Kernelemente des IKT-Minimalstandards ab: Risikomanagement, Cyber-Security-Strategie, Awareness & Training, Überwachung von Systemen, Incident Management, Business Continuity Management, Disaster Recovery sowie Krisenkommunikation. Die Teilnehmenden schätzten jeweils ihr aktuelles Sicherheitsniveau anhand unseres Quick-Tests ein. Erfahren Sie, welche Massnahmen sich besonders anbieten, wenn wir die Resultate der letzten Jahre anschauen. Auch ein Blick in die Zukunft lohnt sich: Wie wird beispielsweise ChatGPT die Cyber Security von Schweizer Unternehmen beeinflussen?
Redguards Security Survey zum fünften Jahr in Folge
Fokus Kontinuierliche Überwachung
Gefahren der Zukunft
Redguards Quick-Test-Assessment
An der Umfrage teilnehmende Organisationen
IKT-Minimalstandard bei den meisten nicht erfüllt
Redguard hilft Ihnen, den IKT-Minimalstandard zu erfüllen
Ganzheitliche Umsetzung des IKT-Minimalstandards
Massnahmen
Mit der Publikation des IKT-Minimalstandards durch den Bund verfügt die Schweiz seit 2018 über eine einheitliche, branchenübergreifende Vorgabe zum Schutz vor Cyber-Risiken. Doch wie sieht das aktuelle Sicherheitsniveau in der Schweiz aus? Bereits zum fünften Mal publiziert die Redguard AG die Resultate ihrer Umfrage zum IKT-Minimalstandard: Zeit für ein Résumé.
Die gute Nachricht zuerst: Unternehmen sind heute sensibilisierter für das Thema Cyber Security als noch vor einigen Jahren. Dies zeigen nicht nur die Umfragewerte der letzten Jahre, sondern auch unsere alltäglichen Gespräche mit Kunden und Unternehmen, die Unterstützung suchen. Die schlechte Nachricht: Das ist vor allem den steigenden Meldungen von erfolgreichen Angriffen mittels Ransomware, Phishings und Co. zu verdanken. Diese häufen sich und kommen näher, was viele Unternehmen zu Gegenmassnahmen bewogen hat.
Trotz des Bewusstseins für Cyber Security und dem Bemühen, diese sicherzustellen, erreichen die meisten Unternehmen nicht den Minimalsicherheitslevel – und das über fünf Jahre hinweg. Viele Sicherheitsvorfälle, die unserem Incident Response Team gemeldet wurden, hätten mit einer systematischen Überwachung vermieden werden können. Dies hat uns dazu bewogen, während eines Jahres ein zeitgemässes Security Operations Center (SOC) mit Microsoft-Security-Technologien in der Cloud und einem dazugehörigen Team aufzubauen. Nach erfolgreicher Pilotbetriebs-Phase haben wir das SOC in unsere Schwesterfirma FusionOne ausgelagert. Mit dem SOC as a Service kann eine frühzeitige Erkennung von und Reaktion auf Cybergefahren sichergestellt werden – auch mit dem Budget eines KMUs.
Der Trend sollte zu mehr proaktiver, kontinuierlicher Überwachung gehen. Denn die Angreifer schlafen nie. Regelmässige Penetration Tests zeigen Schwachstellen – die gängigen und die, welche spezifisch Ihr Unternehmen angreifbar machen. Um das aktuelle Sicherheitsniveau zwischen den Penetration Tests zu überwachen, bietet sich ein Continuous Security Scanning an, regelmässige und automatisierte Schwachstellen-Scans. Basierend auf über zehn Jahren Erfahrung im Auffinden von Schwachstellen hat Redguard dafür eine Schweizer Plattform entwickelt, die intuitiv bedienbar sowie verständlich ist.
Auch wenn viele neue Tools und Services entwickelt und verbessert werden, die der Cyber Security dienlich sind, werden diese einerseits noch zu wenig von Unternehmen genutzt und andererseits verändern bzw. verhärten sich auch die Cyber-Gefahren laufend. Neue Technologien wie ChatGPT können beispielsweise Malware-Codes und Phishing-Mails schreiben, was deren Menge vervielfachen und die Ausführung perfektionieren kann. Mit diesen «Helfern» ausgestattet könnten auch bisher Unerfahrene ihre fehlenden Skills wettmachen und zu der ohnehin bereits hohen Anzahl an Angreifenden dazukommen.
Mit Blick in die Vergangenheit, lässt sich manchmal ein Stück Zukunft erahnen. So lassen die Ergebnisse der letzten fünf Jahren darauf schliessen, dass Organisationen (insbesondere KMU) den IKT-Minimalstandard nur bedingt selbständig umsetzen können und auf externe Unterstützung angewiesen sind – beispielsweise durch Redguard. Unser Ziel ist es seit über zehn Jahren, für Ihre Cyber-Sicherheit zu sorgen und Ihre Werte zu schützen – lieber heute als morgen.
Die Ergebnisse der Redguard Security Surveys basieren auf einer Selbsteinschätzung der teilnehmenden Unternehmen und Organisationen. Diese erhalten mit dem Quick-Test die Chance, ihr Sicherheitsniveau in kurzer Zeit einzuschätzen und darauf basierend weitergehende Massnahmen abzuleiten.
Der von Redguard entwickelte Quick-Test zum IKT-Minimalstandard besteht aus zehn Fragen, welche auf die Kernelemente des IKT-Minimalstandards abzielen. Dabei werden die Themen Risikomanagement, Cyber-Security-Strategie, Awareness & Training, Überwachung von Systemen, Incident Management, Business Continuity Management, Disaster Recovery sowie Krisenkommunikation abgedeckt.
Abbildung 1: Befragte Unternehmen nach Branche (%)
Redguard hat rund 2’000 Schweizer Organisationen eingeladen, ihr Sicherheitsniveau mittels Quick-Test zum IKT-Minimalstandard einzuschätzen. Auch dieses Jahr haben sich über 100 Organisationen aus verschiedenen Branchen für den Standard interessiert und ihre Selbsteinschätzung abgegeben.
Abbildung 1 zeigt, dass die Ergebnisse des Security Surveys wieder einmal breit abgestützt sind. Die teilnehmenden Unternehmen und Organisationen stammen aus den unterschiedlichsten Branchen, wobei die Ausprägung sehr ausgewogen ist. Gleichzeitig haben Unternehmen unterschiedlichster Grösse zur Security Survey beigetragen, wie wir in der Abbildung 2 sehen. Bei 41% handelt es sich nach Angaben der Teilnehmenden um grosse Unternehmen mit über 500 Mitarbeitenden. Den grösseren Anteil machen KMUs aus mit 25% Kleinunternehmen (1-50 MA) und 22% mittelgrossen Unternehmen (50-200 MA).
Abbildung 2: Befragte Unternehmen nach Anzahl Mitarbeitenden
Abbildung 3: Ergebnisse der Redguard Security Survey
Abbildung 3 zeigt, dass laut eigener Einschätzung eine Mehrheit der befragten Organisationen das minimale Sicherheitsniveau des IKT-Minimalstandards noch nicht erreicht. Wir sehen eine Stagnation in den Bereichen Identifizieren, Erkennen und Wiederherstellen. Eine leichte Verbesserung wird hingegen bei den Funktionen Schützen und Reagieren angegeben.
Ein Blick auf die Antworten (Tabelle 1), aufgeteilt in die fünf Funktionen des IKT-Minimalstandards, verdeutlicht, dass nur 41% der Organisationen der Ansicht sind, das vom IKT-Minimalstandard geforderte Sicherheitsniveau zu erreichen.
In der Tabelle 2 gewinnen wir einen interessanten Überblick über die Selbsteinschätzungen der letzten fünf Jahre, die Redguard jeweils ausgewertet hat. Durchweg die besten Punkte erzielt die Funktion Schützen. Ein Grund könnte sein, dass besonders in der Software-Entwicklung immer öfter die Sicherheit von Beginn an miteinbezogen wird. Mit dem DevSecOps-Ansatz wird für ein reibungsloses Zusammenspiel zwischen den Bereichen Software-Entwicklung (Dev), Sicherheit (Sec) und Betrieb (Ops) gesorgt. Redguard empfiehlt dieses Vorgehen schon lange, da es effizienter und kostengünstiger ist. Ein besonders wichtiger Aspekt ist die Sicherheit von Containern und die Konfiguration der Orchestrierung-Tools wie z. B. Kubernetes.
Tabelle 1: Survey-Ergebnisse bezüglich der fünf Funktionen
und Vergleich zum Vorjahr
Tabelle 2: Ergebnisse in Zahlen im Jahresvergleich
Etwas schlechter schneiden die Funktionen Identifizieren und Erkennen ab. Das deutet darauf hin, dass viele Sicherheitsvorfälle zu spät erkannt werden, weil die Systeme zu wenig kontinuierlich überwacht werden und nicht rechtzeitig Alarm geschlagen werden kann. Auch hier empfehlen wir Gegenmassnahmen, z. B. in Form von Continuous Security Scanning, regelmässige Schwachstellen-Scans, die das Sicherheitsniveau eines Unternehmens zwischen periodisch angesetzten Penetration Tests abbildet und böse Überraschungen verhindert. Zur frühzeitigen Erkennung von und Reaktion auf Cybergefahren in der Cloud bietet sich z. B. ein Security Operations Center (SOC) an. Dies kann zu einer erheblichen Entlastung des internen IT-Teams und einem massiven Anstieg der Sicherheit führen.
Mit Blick zurück auf die Tabelle 2 erkennen wir deutlich, dass Firmen sich über alle Jahre hinweg in den Funktionen Reagieren und Wiederherstellen am schlechtesten bewertet haben. Redguard hat diesen Bedarf erkannt und betreut Kunden bereits seit vielen Jahren als Incident-Partner im Rahmen von CISO-Mandaten. Seit über einem Jahr nutzen Kunden nun auch unser Incident Response Team als eigenständigen Service. Auch hier erkennen wir eine steigende Sensibilisierung für das Thema Cyber Security und Incidents. Gemäss Selbsteinschätzung der teilnehmenden Unternehmen, beurteilen sich jedoch die meisten als zu wenig vorbereitet, um einen Sicherheitsvorfall zu managen.
Der IKT-Minimalstandard ist so konzipiert, dass er von allen Unternehmen unabhängig von Branche und Grösse umgesetzt werden kann. Trotz Leitfaden und Assessment Tool des Bundesamts für wirtschaftliche Landesversorgung ist fundiertes Fachwissen sowie eine pragmatische Handhabung für eine erfolgreiche Umsetzung des IKT-Minimalstandards essenziell. Redguard unterstützt Unternehmen bei der Umsetzung des IKT-Minimalstandards:
Konzentrieren Sie sich auf Ihr Kerngeschäft, während wir Ihre Informationssicherheit auf ein neues Level heben. Durch ein Team mit mehr als 80 Sicherheitsspezialisten bieten wir vollumfängliche Dienstleistungen aus einer Hand.
Bestimmen Sie Ihre Maturität im Bereich Informationssicherheit durch eine unabhängige Stelle. Unsere Spezialisten prüfen Ihre Systeme, Dokumente und Prozesse. Daraus gewonnene Erkenntnisse werden in Interviews vertieft thematisiert. Als Lieferobjekt erhalten Sie einen Bericht mit den identifizierten Schwachstellen wie auch Massnahmen und konkreten Handlungsempfehlungen zu deren Behandlung und Verbesserung der Informationssicherheit.
Mit der Dienstleistung «Security Officer as a Service» verfügen Sie über Ihren persönlichen Ansprechpartner, der Ihnen mit dem gesamten Know-how von Redguard zur Verfügung steht. Ihr Ansprechpartner setzt die Handlungsempfehlungen aus der Standortbestimmung als Projektleiter bei Ihrer Organisation um. Gleichzeitig sorgt er dafür, dass der IKT-Minimalstandard eingehalten und der Maturitätsgrad kontinuierlich verbessert wird.
Sollten Sie aller Massnahmen zum Trotz von einem Cyber Security-Vorfall betroffen sein, so steht Ihnen unser Incident Response Team jederzeit zur Verfügung. Garantierte Verfügbarkeit mit vorgängigem Agreement.
Security Operations bezieht sich auf den Prozess des Überwachens, Überprüfens und Reagierens auf Sicherheitsereignisse und Bedrohungen in einer IT-Infrastruktur. Durch Security Operations wird die Cybersicherheit eines Unternehmens massgeblich verbessert. Hierbei geht es vor allem darum, ungewöhnliche und potenziell schadhafte Aktivitäten frühzeitig zu erkennen und aufzuhalten.
SOC as a Service
Mit unserem cloud-basierten Security Operations Center lagern Sie Ihre Cybersicherheit an Redguard-Experten unserer Schwesterfirma FusionOne aus. Das Serviceangebot ist für alle Organisationen und Unternehmen zugänglich, die Microsoft 365 nutzen. Das SOC wurde auch mit KMUs entwickelt und getestet und erfüllt deren Bedürfnisse an ihren Alltag und ihr Budget.
Weitere Informationen: www.fusionone.ch
Mit permanenten, automatisierten Schwachstellen-Scans sorgen Sie für ein stets ausreichendes Sicherheitsniveau Ihres Unternehmens. Das Continuous Security Scanning eignet sich als Überbrückung zwischen den regelmässigen Penetration Tests.
Automatisierte Schwachstellen-Überprüfung
Die von Redguard entwickelte Schweizer Plattform Vulnerability Guard bietet Ihnen eine optimale Einschätzung Ihres Sicherheitsniveaus und die Einordnung der Daten in einen historischen Kontext. So ist für Sie klar ersichtlich, welche Schwachstellen neu identifiziert oder geschlossen wurden und damit auch, wie sich der Schutz Ihrer Infrastruktur mit der Zeit verändert. Sie entlarven damit nicht nur generische Schwachstellen, sondern auch solche, welche spezifisch in Ihren Applikationen enthalten sind.
In die Entwicklung flossen zehn Jahre Erfahrung in Cyber Security ein. Dennoch ist sie im Gegensatz zu anderen Schwachstellenscannern auch ohne IT-Sicherheitsexperten und mit begrenztem Budget bedienbar.
Auch wenn Sie sich vorbereiten und Ihre Mitarbeitenden schulen, kann es zu einem Sicherheitsvorfall kommen. Bei einem Angriff ist es von zentraler Bedeutung, dass Sie unmittelbar und zielgerichtet reagieren. Unsere Security-Spezialisten unterstützen Sie bei der optimalen Vorbereitung. Während einem Vorfall können Sie zudem auf die Unterstützung unseres Incident Response Teams zählen. Wir stellen sicher, dass keine wertvolle Zeit verloren geht und der Schaden für Ihr Unternehmen möglichst gering bleibt.
Incident Response Team – Im Notfall nicht allein
Wir unterstützen Sie rund um die Uhr bei der Eindämmung und der Analyse von Cyber-Vorfällen und bei der Wiederherstellung Ihres Geschäftsbetriebs. Ihr Incident Response Team deckt alle notwendigen Expertisen ab (Technologie, regulatorische Vorgaben usw.) und ist mit Behörden und anderen IR-Teams im ständigen Kontakt. Wir sorgen für einen strukturierten Ablauf und kühle Köpfe.
Weitere Informationen: www.redguard.ch/consulting/cyber-security-incident
DevSecOps fühlt sich für die Beteiligten oft wie ein Puzzle mit noch nicht zusammengefügten Teilen an. Ein ganzheitlicher Partner wie Redguard unterstützt Sie dabei, diese optimal miteinander zu verbinden und alle Stakeholder einzubinden.
Organisation
Der Erfolg von DevSecOps bedingt ein organisationsweites einheitliches Verständnis und entsprechende Prozesse. Mit unserem DevSecOps Assessment erheben wir den aktuellen Maturitätsgrad und unterstützen Sie bei der Ausarbeitung von DevSecOps-Prozessen und -Konzepten unter Berücksichtigung aller Stakeholder.
Technik
Gut aufeinander abgestimmte Systeme und Werkzeuge setzen die vorab definierten Prozesse um, schaffen einheitliche Abläufe und erreichen einen möglichst hohen Automatisierungsgrad. Wir unterstützen Sie beim Aufbau einer neuen Pipeline (Architektur, Evaluation und Umsetzung) oder erweitern Ihre bestehende Pipeline um weitere Sicherheitselemente.
Mensch
Um den Erfolg von DevSecOps nachhaltig sicherzustellen, muss auch internes Know-how aufgebaut werden. Wir bieten hierfür sowohl grundlegende Einführungsworkshops ins Thema DevSecOps aber auch tiefgehende Trainings für Fachspezialisten an, beispielsweise im Bereich Container- und Kubernetes-Sicherheit.
Machen Sie jetzt unseren Cyber Security Quick Test (DE: www.ikt-redguard.ch / FR: www.ikt-fr.redguard.ch) und leiten Sie daraus Massnahmen ab.
Sie möchten die Sicherheit Ihrer Organisation in guten Händen wissen? Rufen Sie uns an – Wir beraten Sie unverbindlich.
Die kompletten Resultate des Redguard Security Survey 2023 stehen Ihnen auch als PDF zum Herunterladen zur Verfügung:
Redguard Security Survey 2023 (deutsch)
Redguard Security Survey 2023 (französisch)
Lesen Sie den letzten Redguard Security Survey: