Menschen neigen zur Selbstüberschätzung. Zum Beispiel beim Autofahren. In einer aktuellen Studie hielten sich 88 Prozent der befragten Amerikaner für überdurchschnittliche Fahrer. Dass die Einschätzung Unsinn ist, ist schon rein rechnerisch offensichtlich, denn mehr als 50 Prozent können nun einmal nicht "überdurchschnittlich" sein. Im "Autoland" Deutschland ist das nicht anders. Im ADAC-Test "Autofahrerwissen 2022" wurde im Durchschnitt nur knapp die Hälfte der Aufgaben korrekt gelöst. Bedenklich: Gerade von denjenigen, die ihr Verkehrswissen deutlich besser als das der anderen einstuften, haben im Test besonders viele schlecht abgeschnitten.
Die Wissenschaft erklärt das Phänomen: Die Experimente der Psychologen David Dunning und Justin Kruger (Stichwort: Dunning-Kruger-Effekt) aus dem Jahr 1999 haben gezeigt, dass wir selbst kaum beurteilen können, wie gut wir etwas können. Im Hinblick auf die eigenen Fähigkeiten sind wir voreingenommen. Je nach Lebensalter, Erfahrung, Bildung und Charakter verschätzen wir uns und treffen Entscheidungen, die der eigenen Voreingenommenheit geschuldet sind.
Fehleinschätzungen sind die Regel
Selbstüberschätzung kann aber nicht nur im Straßenverkehr, sondern auch bei Umgang mit Cybersecurity fatale Folgen haben. Die Anzahl der Bedrohungen steigt ebenso wie die Zahl konkreter Angriffe. Also müssen Unternehmen dringend auf Cyberhygiene achten und sich immer wieder vergewissern, dass ihre Security-Umgebung gut und stark genug ist, um Angriffen standzuhalten und sich der Betrieb schnell wieder herstellen lässt, falls doch mal etwas schief geht.
Aber was sind Unternehmen anderes, als Ansammlungen fehlbarer Menschen? Und wie hoch ist die Wahrscheinlichkeit, dass diejenigen, die davon überzeugt sind, bei Cybersecurity besser als der Durchschnitt zu sein, tatsächlich einer Selbsttäuschung erliegen?
Um diese Frage zu beantworten, hat N-able Unternehmen gefragt, wie gut ihre Cybersecurity ist. Und sie dann gebeten, ein abgespecktes Audit auf Grundlage der NIST-Grundsätze durchzuführen. NIST ist ein weltweit anerkanntes und genutztes Regelwerk, das Standards, Richtlinien und Best-Practice-Verfahren im Umgang mit Cybersecurity-Risiken umfasst. Es deckt NIST fünf Kernfunktionen beziehungsweise "Säulen" ab: Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung.
Bei der Umfrage ging es also nicht darum, jede Facette der Sicherheitseinrichtungen und -maßnahmen im Detail zu betrachten. Die Befragten sollten vielmehr gezielt dazu angeregt werden, darüber nachzudenken, ob sie bei Cybersecurity so gut aufgestellt sind, wie sie glauben.
Die wichtigsten Fragen
Zunächst sollten die Unternehmen, ihre Cybersecurity auf einer Skala von eins bis fünf bewerten. Wer mit 1 antwortete, also angab keinerlei Cybersecurity-Programm zu haben, fiel direkt aus der weiteren Befragung. Alle anderen sollten anschließend die fünf Säulen der Cybersecurity - Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung - einzeln bewerten.
Identifizieren: Wissen Unternehmen genau, was sie alles schützen müssen und ob sie die wichtigsten Daten, Infrastrukturen und Geräte (also ihre Kronjuwelen) identifiziert und abgesichert haben? In dieser Kategorie gab es die geringsten Abweichungen zur Selbsteinschätzung. Im Allgemeinen waren die Unternehmen der Meinung, dass sie ihren IT-Bestand wirklich kennen.
Dunning-Kruger-Effekt: Gering
Schutz: Wie gut sind die Netzwerke gegen Angriffe gerüstet? Verwenden Unternehmen mehrstufige Authentifizierung? Überprüfen sie Mitarbeiter im Hinblick auf Risiken?
Hier gab es für überraschende Ergebnisse. Die Unternehmen, die sich eingangs selbst am besten bewertet hatten, zeigten sich bei diesen Fragen weniger selbstbewusst. Da sich die Schwachstellen ständig ändern, sehen sie hier möglicherweise einen Bereich, in dem sie sich ständig verbessern müssen. Erstaunlich auch: Die Gruppe, die sich zunächst am schlechtesten bewertet hatte, war hier wesentlich überzeugter von sich.
Dunning-Kruger-Effekt: Mittel
Erkennen: Merken Unternehmen, wenn etwas nicht stimmt? Sehen sie ungewöhnliche Aktivitäten und Schwachstellen? Wie steht es mit unbefugtem Personal, Verbindungen, Geräten und Software?
Auch bei diesen Fragen zeigten sich die eingangs selbstbewusstesten Unternehmen eher kleinlaut. Die Tiefstapler bewerteten sich hier dagegen höher als in jeder anderen Kategorie.
Dunning-Kruger-Effekt: Stark
Reaktionsfähigkeit: Wissen die Mitarbeiter, welche Aufgaben sie in einer Krise haben und was zu tun ist? Wenn etwas schief geht - gibt es Verfahren, um die Situation zu entschärfen? Wie steht es mit der Entschärfung neuer Schwachstellen?
Im Großen und Ganzen waren sich die Unternehmen sicher, dass sie auf Cybersecurity-Vorfälle angemessen reagieren. Die Feinergebnisse deuten jedoch darauf hin, dass die Reaktionsfähigkeit für eine positive Selbsteinschätzung kaum eine Rolle spielt.
Dunning-Kruger-Effekt: Mittel
Wiederherstellung: Was geschieht, wenn der schlimmste Fall eintritt? Gibt es einen Recovery-Plan?
Insgesamt zeigten sich die befragten Unternehmen zuversichtlich, sich von einem Cybersecurity-Vorfall erholen, den Betrieb schnell wieder herstellen zu können und sowohl extern als auch intern effektiv kommunizieren zu können.
Dunning Kruger-Effekt: Niedrig
Unvoreingenommenheit ist Trumpf
Soweit die Umfrageergebnisse. Ganz richtig lagen allerdings auch wir nicht. Wir hatten angenommen, dass Unternehmen ihre Fähigkeiten vor allem in den Cybersecurity-Bereichen überschätzen, die oft außerhalb des zentralen Fokus liegen (beispielsweise Recovery). Es zeigte sich jedoch, dass es die größten Abweichungen von der ursprünglichen Selbsteinschätzung bei den Werten für Schutz, Erkennung und Reaktionsfähigkeit gab.
Was bedeutet das? Unternehmen sollten jede Entscheidung hinterfragen, die sie im Hinblick auf Cybersecurity treffen. Für eine unvoreingenommene Betrachtung bieten sich standardisierte, wiederkehrende Audits an. Wichtig hierbei ist, dass keine Annahme als heilige Kuh beziehungsweise als unhinterfragbares Tabu gelten darf. Alles muss auf den Prüfstand.
Angesichts der Industrialisierung von Cybercrime und einem Markt, in dem Tools für hartnäckige Bedrohungen als Dienste (etwa RaaS - Ransomware as a Service - oder AaaS - Access as a Service) fast schon selbstverständlich sind, aber auch wegen der weiter steigenden Aktivitäten "traditioneller" Cyberkrimineller, müssen sich Unternehmen vergewissern, ob sie das Richtige tun.
Sie müssen sicherstellen, dass sie über die richtigen Technologien und Prozesse verfügen, mit denen sie Angriffe verhindern, Vorfälle erkennen und effektiv reagieren können. Sie müssen der Cybersecurity oberste Priorität einräumen, denn sie kann über Überleben und Untergang entscheiden. Oder anders gesagt: Entscheidungen im Bereich Cybersecurity dürfen nicht auf Mutmaßungen und Überzeugungen fußen, sondern auf einem unvoreingenommenen Verständnis.
Dabei können IT-Dienstleister und Managed Service Profider helfen. Denn sie ergänzen die Selbsteinschätzung durch eine externe Sicht. Das schon erwähnte Cybersecurity-Framework NIST kann auch ihnen bei der Vorbereitung von Sicherheitsmaßnahmen und der Identifikation unzureichend abgedeckter Bereiche. Die umfassende Version versetzt sie dann in die Lage, den Reifegrad eines Cybersicherheitsprogramms aus allen möglichen Blickwinkeln zu betrachten. Damit ist NIST für MSPs ein wichtiges Instrument, um sorgfältig zu prüfen, was Kunden am häufigsten ignorieren und ihr Serviceangebote entsprechend zu erweitern. Bevor er das tut, sollte der Dienstleister den Prozess jedoch bei sich selbst durchlaufen, seine Schwachpunkte entdecken und umgehend zumindest die schwächsten Bereiche aufrüsten.