Was Unternehmen aus dem Crowdstrike-Vorfall gelernt haben

Der Crowdstrike-Vorfall hat weltweit für Aufsehen gesorgt. Als im Juli ein problematisches Update global unzählige Bildschirme blau leuchten liess, war dies für viele Unternehmen wohl ein Weckruf. Der Enterprise-Service-Management-Anbieter OTRS fragte bei IT- und Cybersecurity-Fachkräften nach, ob diese aufgrund des Vorfalls Massnahmen ergriffen hätten. 476 Personen nahmen an der Studie teil. 

93 Prozent der Befragten gaben an, Massnahmen ergriffen zu haben, um auf künftige Vorfälle besser vorbereitet zu sein. Besonders beliebt war die Diversifizierung der IT- und Software-Landschaft, um die Abhängigkeit von einzelnen Anbietern zu verringern, wie OTRS mitteilt. Knapp die Hälfte der Befragten tat dies nach dem Vorfall, um weniger abhängig von einzelnen Software-Anbietern zu sein.

Monitoring, Notfallpläne und UEM

Viele der direkt betroffenen Unternehmen waren offenbar nicht ausreichend vorbereitet, um die Auswirkungen des Vorfalls mit eigenen Mitteln einzudämmen. Die Mehrheit setzte die von Crowdstrike empfohlenen Massnahmen um (44 Prozent) oder installierte den bereitgestellten Fix (43 Prozent). Nur 38 Prozent verfügten über erweiterte Echtzeit-Monitoring- und Warnsysteme, die ein schnelles Eingreifen ermöglicht hätten. Nach dem Vorfall führten 40 Prozent der Unternehmen - ob betroffen oder nicht - solche Systeme ein. Nur leicht weniger, nämlich 39 Prozent, aktualisierten im Nachhinein ihren Incident Response Plan oder implementierten zusätzliche Tests für neue Patches und Updates. 

Die Studie zeigt auch, dass nur drei von zehn der betroffenen Unternehmen bereits über einen robusten Incident Response Plan verfügten. Weshalb jedes Unternehmen so ein Incident Response Playbook braucht und was dieses beinhalten sollte, erfahren Sie in diesem Beitrag.

Etwa 31 Prozent setzten vor dem Vorfall bereits Unified Endpoint Management ein. Mit diesen Lösungen lassen sich betroffene Systeme schnell identifizieren und können Unternehmen rasch einem Cybervorfall entgegenwirken. Knapp ein Viertel der Unternehmen (24 Prozent) führte nach dem Crowdstrike-Vorfall UEM-Lösungen ein.

Es besteht weiterhin Handlungsbedarf

Laut OTRS besteht trotz der ergriffenen Massnahmen weiterhin Handlungsbedarf. Nur 49 Prozent der Befragten sind der Meinung, dass ihr Unternehmen optimal auf Security-Probleme vorbereitet ist. Im Vorjahr waren es mit einem Anteil von 44 Prozent kaum weniger. 

Die Zahl der Sicherheitsvorfälle steigt jährlich, und viele Unternehmen sehen die grösste Herausforderung in der Incident Response. Automatisierung spielt dabei eine immer wichtigere Rolle. Der Anteil der Unternehmen, die Routineaufgaben automatisieren, ist im vergangenen Jahr gestiegen. 16 Prozent automatisieren so viel wie möglich und beschränken menschliches Eingreifen bei der Incident Response auf ein Minimum, wie OTRS schreibt. Nur sechs Prozent würden sich vollständig auf menschliches Eingreifen verlassen und hätten ihre Prozesse bisher überhaupt nicht automatisiert.

Jens Bothe, Vice President Information Security bei OTRS. (Source: zVg)

"Es ist ein Katz-und-Maus-Spiel: Angreifer machen sich neue Technologien wie künstliche Intelligenz und Machine Learning zunutze, um immer häufiger, schneller und raffinierter anzugreifen. Auf der anderen Seite jagen die Security-Teams ihnen hinterher und versuchen, ihre Prozesse durch Automatisierung ebenfalls zu verschlanken und zu beschleunigen", sagt Jens Bothe, Vice President Information Security bei OTRS. 

Es sei aber ein ungleicher Kampf, denn Organisationen seien - im Gegensatz zu ihren Widersachern - an viele, oft undurchsichtige Spielregeln gebunden. "Die Verpflichtungen, die sich für Unternehmen aus Regulierungen wie NIS-2 oder DORA ergeben, sind zwar notwendig und richtig, entfalten ihre Wirkung aber erst zeitversetzt", sagt Bothe. "Gesetzgeber müssen hier schneller agieren und frühzeitig und umfassend IT-Security-Experten einbinden, um realitätsnahe, klare Richtlinien zu entwickeln, die für Unternehmen schnell und einfach umsetzbar sind."

Das könnte Sie ebenfalls interessieren: Ein einfacher Programmierfehler hat zum Crowdstrike-Ausfall geführt. Dies zeigt die endgültige Analyse des Unternehmens. Das zwölfseitige Dokument erklärt die Ursachen der Störung und beschreibt Massnahmen zur Vermeidung zukünftiger Vorfälle, wie Sie hier nachlesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.