MAYA LAB – shutterstock.com
Laut einem aktuellen Bericht von Sophos haben CISOs eine Chance von eins zu vier, dass ihr Arbeitsplatz einen erfolgreichen Ransomware-Angriff nicht übersteht. Die Ergebnisse des Berichts sind ein Weckruf für Sicherheitsverantwortliche, unabhängig davon, ob sie für solche Angriffe verantwortlich gemacht werden oder über die erforderlichen Befugnisse verfügen, um sie zu verhindern, sagen Branchenexperten.
„Diese Statistik ist nicht überraschend, aber sie spiegelt die wachsende Frustration auf Vorstandsebene wider, wenn die Sicherheitsfunktion keine Ergebnisse liefert, unabhängig davon, wie fair diese Beurteilung auch sein mag“, kommentiert Erik Avakian, technischer Berater bei der Info-Tech Research Group. „Selbst wenn der Angriff durch Faktoren verursacht wurde, die außerhalb ihrer direkten Kontrolle liegen, erwarten die Stakeholder dennoch, dass CISOs in der Lage sind, jedes Worst-Case-Szenario zu verhindern.“
Avakian ergänzt, dass zwar Entlassungen nach einem Ransomware-Angriff manchmal notwendig und angemessen seien, aber Unternehmen oft zu schnell zu einer Kündigung greifen würden. „Die Entlassung des CISO mag für CIOs oder Vorstände wie ein notwendiger Neuanfang erscheinen, ist jedoch nicht immer eine strategische Maßnahme. Wenn der Incident-Response-Plan befolgt wurde, die Erkennungstools funktioniert haben und die Wiederherstellung innerhalb der SLAs erfolgte, sendet die Ablösung des CISO oft ein falsches Signal nach innen“.
Nach Meinung des Experten könnte jedoch eine Veränderung gerechtfertigt sein, wenn grundlegende Sicherheitsvorkehrungen vernachlässigt wurden – wie beispielsweise keine Segmentierung, keine Backups, keine Tabletop-Übungen.
Lesetipp: Standpunkt zur Haftungsdiskussion – CISO statt Sündenbock
Frank Dickson, Group VP für Sicherheit bei IDC, stimmt Avakians Einschätzung zu. Er fügt jedoch hinzu, dass einige CISOs nach einem Ransomware-Angriff freiwillig kündigen, was zu häufigeren Personalwechseln führt. „Die Bewältigung eines Ransomware-Vorfalls ist extrem anstrengend. Ein Sicherheitsmitarbeiter kann aufgrund von Burnout kündigen oder aufgrund von Konflikten, die sich aus dem Behebungsprozess und nicht aus dem Angriff selbst ergeben, zum Ausscheiden aufgefordert werden.“
Eine Frage der Autorität
Dickson argumentiert außerdem, dass die Autorität des CISO zum Tragen kommen sollte. Wenn Entscheidungen auf der Ebene der Geschäftszweige (Lines of Business) getroffen werden – möglicherweise gegen den Rat des CISO –, ist es dann aus Unternehmenssicht sinnvoll, dem CISO die Schuld zu geben?
„Manche gehen davon aus, dass ein Ransomware-Angriff die Schuld des CISO ist“, so der IDC-Spezialist. „Der CISO ist zwar eine Führungskraft, aber nicht der einzige Verantwortliche. Sicherheitsverletzungen sind das Ergebnis einer Reihe von Entscheidungen vieler Personen.“
Avakian von Info-Tech vergleicht eine solche Reaktion des Unternehmens mit einem Hausbesitzer, der die Feuerwehr beschuldigt, wenn sein Haus aufgrund seines eigenen Verschuldens abbrennt. „Wann haben Sie das letzte Mal erlebt, dass ein Feuerwehrhauptmann entlassen oder sein Team für einen Brand verantwortlich gemacht wurde? Sie sind diejenigen, die reagiert, Schadensbegrenzung betrieben, aufgeklärt und dazu beigetragen haben, das Risiko künftiger Brände zu minimieren“. Das gelte auch für Sicherheitsteams einschließlich der CISOs.
Dickson merkt an: „Viele Unternehmensabteilungen – sogar einige CEOs und COOs – laden CISOs bewusst nicht zu wichtigen Besprechungen ein, weil sie befürchten, dass sie bestimmte Geschäftsprozesse verlangsamen könnten.“
Der Sophos-Bericht (PDF) besagt, dass forensische Untersuchungen nach Ransomware-Angriffen häufig Probleme aufdecken, die der CISO übersehen hat oder hätte kennen müssen. „Im dritten Jahr in Folge gaben die Opfer an, dass ausgenutzte Schwachstellen die häufigste Ursache für Ransomware-Vorfälle waren. Bei 32 Prozent aller Angriffe war dies das Einfallstor.
Laut Chet Wisniewski, Director und Global Field CISO bei Sophos, gaben 40 Prozent der Befragten zu, der Ransomware-Angriff sei auf eine bekannte Lücke zurückzuführen, die sie nicht geschlossen hatten. „Das ist ziemlich schwer zu überstehen, wenn man mit einem Schaden in Millionenhöhe konfrontiert ist“, so der Sophos-CISO.
Kompromittierte Anmeldedaten bleiben der Studie zufolge der zweithäufigste wahrgenommene Angriffsvektor. Der Anteil der Angriffe, bei denen dieser Ansatz verwendet wurde, ist jedoch von 29 Prozent im Jahr 2024 auf 23 Prozent im Jahr 2025 zurückgegangen.
Auch E-Mails bleiben ein beliebtes Einfallstor: 19 Prozent der Opfer gaben bösartige E-Mails als Ursache an, weitere 18 Prozent nannten Phishing – ein deutlicher Anstieg gegenüber den 11 Prozent im Vorjahr. (jm)
Lesetipp: Anklage gegen SolarWinds-CISO – das sagen CISOs und Experten aus Deutschland
No Responses