Lünendonk-Studie

Industrieunternehmen hinken bei der Cyberabwehr hinterher

Obwohl die Sorge vor Cyberattacken deutlich gestiegen ist, schwächelt die Industrie in Sachen Cyberabwehr.
Von 
CSO | 25. Mai 2023 16:21 Uhr
Im Vergleich zu anderen Branchen hat die Industrie noch Nachholbedarf beim Thema Cybersicherheit.
Im Vergleich zu anderen Branchen hat die Industrie noch Nachholbedarf beim Thema Cybersicherheit.
Foto: tonton - shutterstock.com

Die Cyberbedrohungslage hat sich in diesem Jahr noch einmal verschärft. 84 Prozent der Unternehmen beobachten im Vergleich zu 2022 einen Anstieg der Bedrohungslage. So lautet das zentrale Ergebnis einer aktuellen Analyse der Beratungsunternehmen Lünendonk und KPMG, für die 100 IT- und IT-Security-Verantwortliche verschiedener Branchen im DACH-Raum befragt wurden.

Aus Sicht der Befragten haben vor allem die zunehmende Prozessdigitalisierung, professionellere Hackerorganisationen und die geopolitische Lage das Angriffsrisiko erhöht. Im Vergleich zum vergangenen Jahr ist auch die Sorge vor DDoS-Attacken (Distributed Denial of Service) deutlich gestiegen: Während im Jahr 2022 noch 58 Prozent der Befragten mit DDoS-Angriffe rechneten, sind es in diesem Jahr 67 Prozent. Das Top-Risiko stellen weiterhin Phishing-Kampagnen und Ransomware dar.

Lünendonk-Studie: Die Sorge vor DDoS-Attacken ist im Vergleich zum vergangenen Jahr deutlich gestiegen.
Lünendonk-Studie: Die Sorge vor DDoS-Attacken ist im Vergleich zum vergangenen Jahr deutlich gestiegen.
Foto: Lünendonk

Cyberabwehr in der Industrie: Ganzheitlicher Security-Ansatz fehlt

Der Umfrage zufolge gibt es erheblich Unterschiede im Security-Reifegrad. Der Branchenvergleich zeigt, dass die Kluft zwischen Industrie- und Finanzunternehmen besonders deutlich ist: Während 94 Prozent der Befragten aus dem Finanzdienstleistungssektor ihre Unternehmen gut aufgestellt sehen, geben nur 77 Prozent aus der Industrie ihren Unternehmen hier gute Noten.

Die Autoren der Studie führen diese Unterschiede vor allem darauf zurück, dass einerseits in der Industrie strenge regulatorische Vorschriften fehlen, die zur Umsetzung eines gewissen Security-Standards führen. Außerdem sei in vielen Industrieunternehmen eine in die Jahre gekommene und historisch gewachsene Operational Technology (OT) dafür verantwortlich. "Diese Technologie ist oft nicht auf dem aktuellen Stand. Dabei werden häufig Schwachstellen und somit Cyberrisiken offenbart.", so die Marktforscher.

So seien viele OT-Landschaften unter anderem aufgrund von Konfigurationsfehlern oder fehlerhaften Codes für professionelle Hacker oder auch aufgrund fehlender Einbettung in die IT-Security-Architekturen vergleichsweise leicht anzugreifen, heißt es weiter. Demnach fehlt in vielen Industrieunternehmen eine ganzheitliche Security-Architektur, die OT und IT integriert betrachtet.

Im Gegensatz dazu würden Finanzdienstleister seit Jahren viel stärker in eine systematische Cyberabwehr investieren, da es regulatorische Vorschriften wie BAIT und VAIT gebe, ergänzt Mario Zillmann, Partner und Prokurist bei Lünendonk. "In diesem Zusammenhang mussten sie auch schon früher als andere Branchen in Themen wie End-to-End-Prozesse, Automatisierung und Integration von Fachbereichen, IT und Compliance investieren", so der Experte weiter. Künftig würden hier aber durch DORA noch mehr regulatorische Auflagen für eine engere Ende-zu-Ende-Orchestrierung der Security-Prozesse sowie der einzelnen Bereiche auf die Finanzdienstleister zukommen.

Lesetipp: OT-Security - So schützen Sie Ihre Industrieanlagen

Industrie ist langsamer bei der PAM-Einführung

Darüber hinaus offenbart die Studie, dass die Finanzbranche bei der Einführung eines Privileged Access Management (PAM) deutlich weiter ist als die Industrie: Während 38 Prozent der Finanzdienstleister PAM schon eingeführt haben, liegt der Anteil in der Industrie mit 14 Prozent deutlich niedriger. Auch der Anteil der Unternehmen, die vorerst keine PAM-Einführung planen, ist mit 14 Prozent in der Industrie deutlich höher als im Finanzdienstleistungssektor.

Lesetipp: IAM und PAM richtig einsetzen

"Aus unserer Sicht resultiert das häufige Fehlen eines PAM auf den Fokus in der Vergangenheit, die Unternehmensnetzwerke zu schützen. Das hängt unter anderem mit einem unzureichenden Schwachstellenmanagement (Vulnerability Management) zusammen sowie mit der Integration von Security-Verantwortlichkeiten in den Business-Funktionen", erklärt Zillmann gegenüber CSO.

Zudem sieht der Marktforschungs-Experte einen weiteren Grund: "Nur jedes zweite Industrieunternehmen erhebt regelmäßig KPIs zum Security-Status, was im Umkehrschluss bedeutet, dass die andere Hälfte keine oder nur wenig Transparenz darüber hat, was in ihrer OT- und IT-Landschaft passiert." Ein zentrales Security-Monitoring, das OT und IT umfasst, wurde demnach nur in 32 Prozent der befragten Industrieunternehmen implementiert.

"Mangels Transparenz wurde bisher auch weniger Augenmerk auf den Faktor Mensch und damit auf den Schutz der digitalen Identitäten gelegt. Allerdings sind Vulnerability Management und zentrales Security-Monitoring die wichtigsten Investitionsfelder für Industrieunternehmen", fügt Zillmann hinzu.

Seiner Ansicht nach liegt die Herausforderung bei der Etablierung von PAM vor allem in der regelbasierten Steuerung der Berechtigungen - beispielsweise beim Wechsel des Aufgabenbereichs. "Hier gilt es sowohl in die Sensibilisierung für das Thema Zugriffsrechte zu investieren als auch in automatisierte Verfahren zum Management der Zugriffsrechte", empfiehlt der Lünendonk-Experte.

Lesetipp: Millionenschäden durch Cyberangriffe auf Industrieunternehmen

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.