Foto: OTRS AG
"No hay mal que por bien no venga" heißt es in Spanien und "Nix es esu schläch, dat et nit für jet jot es" sagt man in Köln. Auf Hochdeutsch heißt beides ungefähr "Nichts ist so schlecht, dass es nicht auch zu etwas gut sein könnte." Der auf einen internen Fehler bei CrowdStrike zurückgehende Ausfall von weit über acht Millionen Windows-Computern im Juli 2024 ist zumindest aus Sicht aller, die sich mit dem Verkauf von IT-Security beschäftigen, der jüngste Beleg dafür, dass das Sprichwort zutrifft. Das legen zumindest die Ergebnisse "OTRS Spotlight: Corporate Security 2024" nahe, für die OTRS 476 IT- und Cybersecurity-Fachkräfte befragen ließ, davon 74 in Deutschland.
Den Ergebnissen der Umfrage zufolge haben 93 Prozent aller Unternehmen Maßnahmen ergriffen, um künftig besser auf ähnliche Vorfälle vorbereitet zu sein - unabhängig davon, ob sie selbst direkt von dem Vorfall betroffen waren oder nicht. Knapp die Hälfte der Befragten (45 Prozent) hat ihre IT- und Software-Landschaft diversifiziert, um weniger abhängig von einzelnen Software-Anbietern zu werden.
Daneben wurden insbesondere Mängel im Bereich der Incident-Response-Prozesse erkannt und in Angriff genommen. "Viele der direkt betroffenen Unternehmen waren wohl nur unzureichend darauf vorbereitet, die Auswirkungen des Vorfalls mit eigenen Mitteln einzudämmen", interpretiert OTRS die Umfrageergebnisse. "Die meisten haben die von CrowdStrike beschriebenen Maßnahmen zur Behebung des Problems ergriffen (44 Prozent) und/oder den bereitgestellten Fix installiert (43 Prozent), sobald dieser verfügbar war."
Foto: OTRS AG
38 Prozent der Betroffenen konnten auf erweiterte Echtzeit-Monitoring- und Warnsysteme zurückgreifen, die in einem solchen Fall ein schnelles Eingreifen ermöglichen. 40 Prozent aller Unternehmen - ob betroffen oder nicht - haben solche Systeme nach dem Vorfall eingeführt. Jeweils 39 Prozent haben im Nachgang zusätzliche Tests für neue Patches und Updates oder einen Incident-Response-Plan eingeführt beziehungsweise den bestehenden aktualisiert.
31 Prozent setzten bereits vor der CrowdStrike-Panne Unified Endpoint Management (UEM) ein, womit sie die betroffenen Systeme schnell identifizieren und geeignete Maßnahmen (remote) einleiten konnten. Knapp ein Viertel aller Unternehmen (24 Prozent) führte nach dem Vorfall UEM ein.
Foto: OTRS AG
Es en besteht aber weiterhin Handlungsbedarf. Zwar sehen elf Prozent mehr als bei der vergleichbaren Umfrage im Vorjahr ihr Unternehmen "optimal" auf Sicherheitsvorfälle vorbereitet (2023: 44 Prozent der befragten; 2024: 49 Prozent). Dennoch ist und bleibt die steigende Zahl von Sicherheitsvorfällen ein Problem für die Verantwortlichen. Mehr als 80 Prozent verzeichneten in den vergangenen zwölf Monaten einen leichten (56 Prozent) oder sogar starken Anstieg (26 Prozent) von Angriffen auf ihr Unternehmen.
Diese Zunahme macht den Firmen auch bei Incident Response zu schaffen (34 Prozent). An zweiter Stelle folgt mit 15 Prozent die Durchführung umfassender Post Incident Reviews. Gleichauf mit jeweils zwölf Prozent liegen die mangelnde Integration zwischen Tools, die rechtzeitige und angemessene Kommunikation mit der Öffentlichkeit sowie der Mangel an qualifiziertem Personal.
Katz-und-Maus-Spiel mit ungleich verteilten Chancen
"Es ist ein Katz-und-Maus-Spiel: Angreifer machen sich neue Technologien wie Künstliche Intelligenz und Machine Learning zunutze, um immer häufiger, schneller und raffinierter anzugreifen. Auf der anderen Seite jagen die Security-Teams ihnen hinterher und versuchen, ihre Prozesse durch Automatisierung ebenfalls zu verschlanken und zu beschleunigen", erläutert Jens Bothe, Vice President lnformation Security bei der OTRS AG.
Foto: OTRS AG
"Doch es ist ein ungleicher Kampf. Denn Organisationen sind an viele, oft undurchsichtige Spielregeln gebunden, an die sich böswillige Akteure nicht halten. Die Verpflichtungen, die sich für Unternehmen aus Regulierungen wie NIS-2 oder DORA ergeben, sind zwar notwendig und richtig, entfalten ihre Wirkung aber erst zeitversetzt."
Automatisierung als Ausweg
Diesen Herausforderungen begegnen die Befragten häufiger als im Vorjahr mit der Automatisierung ihrer Incident-Response-Prozesse. Im vergangenen Jahr hatten 49 Prozent der Befragten Routineaufgaben automatisiert, dabei aber die Kontrolle über kritische Entscheidungen dem Menschen vorbehalten. In diesem Jahr ist der Anteil auf 57 Prozent gestiegen.
Weitere 21 Prozent (2023: 19 Prozent) nutzen grundlegende Automatisierungen für Warnmeldungen und verlassen sich ansonsten stark auf menschliche Entscheidungen. 16 Prozent automatisieren so viel wie möglich und beschränken menschliches Eingreifen bei Incident Response auf ein Minimum. Nur sechs Prozent automatisieren ihre Prozesse bisher überhaupt nicht und verlassen sich vollständig auf menschliches Eingreifen.
Folgen des CrowdStrike-Ausfalls in Deutschland ermittelt
Lehren aus der CrowdStrike-Panne