Cybersicherheitsvorfälle rücken immer stärker in den Fokus des Risikomanagements von Unternehmen. Um effektiv auf die sich stetig entwickelnden Bedrohungen reagieren zu können und die Cyber-Resilienz zu verbessern, ist es entscheidend, Cybersicherheitsvorfälle zu analysieren und daraus zu lernen. Dieser Artikel fasst die Studie I don’t think we’re there yet: The practices and challenges of organisational learning from cyber security incidents zusammen und versucht darauf basierend Leitlinien für Schweizer Unternehmen abzuleiten.

Überblick

Die rasanten Entwicklungen digitaler Technologien haben Unternehmen ermöglicht, ihre betriebliche Effizienz zu steigern und Kosten zu senken. Allerdings sind diese Vorteile mit zunehmenden und sich ständig weiterentwickelnden Cyberbedrohungen verbunden. Die herkömmliche Vorstellung von organisatorischer Verteidigung ist veraltet, da Unternehmen heute in einem dynamischen Ökosystem agieren, das von fliessenden Grenzen und komplexen Lieferantenbeziehungen geprägt ist. Die Integration neuer digitaler Technologien in bestehende IT-Infrastrukturen erhöht die Cybersicherheitsrisiken, da Angriffsflächen für Cyberangriffe wachsen. Dies unterstreicht die Notwendigkeit, die Cybersicherheitsfähigkeiten kontinuierlich zu verbessern. Die weltweite Zahl der Cyberangriffe nimmt zu und die Kosten und Auswirkungen sind erheblich. Cyberangriffe werden als eine der grössten Bedrohungen für Unternehmen angesehen. Der Mangel an qualifizierten Cybersicherheitsexperten erfordert, dass Organisationen effektivere Wege finden, um Sicherheitsvorfälle zu reduzieren. Cybersicherheitsvorfälle können Unternehmen als Lerngelegenheit dienen, um ihre Abwehrkräfte zu stärken und sich vor zukünftigen Bedrohungen zu schützen.

Forschungsmethoden

In der Studie wurde ein qualitativer Ansatz gewählt. Dieser Ansatz ermöglichte ein tiefes Verständnis des Phänomens und berücksichtigte sowohl positivistische als auch konstruktivistische theoretische Rahmenbedingungen. Das Ziel der Studie war es, die Praktiken zu verstehen und zu analysieren, die Organisationen anwenden, um aus Cybersicherheitsvorfällen zu lernen. Die Ergebnisse der Studie wurden in verallgemeinerter und anonymisierter Form präsentiert und boten aggregierte Erkenntnisse aus mehreren Quellen. Um Einblicke in die Lernpraktiken von Organisationen zu gewinnen, wurden Interviews mit 34 Sicherheitsexperten aus verschiedenen Branchen im Vereinigten Königreich durchgeführt. Die Auswahl der Teilnehmer erfolgte gezielt, um sicherzustellen, dass sie über ausreichende Kenntnisse darüber verfügen, wie ihre Organisation aus Cybersicherheitsvorfällen lernt. Es wurden sowohl virtuelle als auch persönliche Interviews durchgeführt, die aufgezeichnet und transkribiert wurden. Die Codierung und Analyse der Interviews zielte darauf ab, vorherrschende Muster und signifikante Erkenntnisse der Befragten zu identifizieren.

Erkenntnisse

Die neoinstitutionelle Theorie hat einen signifikanten Einfluss auf die Entwicklung von Lernpraktiken in Organisationen, insbesondere im Kontext von Cybersicherheitsvorfällen. Sie beeinflusst die Art und Weise, wie Organisationen aus solchen Vorfällen lernen.

Isomorpher Druck

Gemäss der neoinstitutionellen Theorie neigen Organisationen dazu, unter dem isomorphen Druck ähnliche Praktiken wie andere Organisationen in ihrer Umgebung zu übernehmen, um als legitim und akzeptabel angesehen zu werden. Sie orientieren sich an den Standards und Erwartungen anderer Unternehmen, um ihre eigenen Lernprozesse zu gestalten. Die Befragten gaben an, dass ihre Organisationen die Effektivität der Lernpraktiken nicht explizit bewertet. Das Fehlen wiederholter Vorfälle wurde allerdings als ein Indikator für erfolgreiches Lernen genannt.

Zwangsmassnahmen

Zwangsmassnahmen spielen eine entscheidende Rolle bei der Gestaltung von Kommunikationspraktiken und der Einbindung von Rechts- und Kommunikationsteams bei der Reaktion auf Cybersicherheitsvorfälle. Die Herausforderungen in diesem Bereich resultieren oft aus der globalen Struktur von Organisationen, da die Zuständigkeit aufgrund verschiedener Faktoren wie dem betroffenen Subjekt, dem Ort des Vorfalls und der Identität des Angreifers schwer zu bestimmen ist. Darüber hinaus erhöht die Notwendigkeit, mit verschiedenen Aufsichtsbehörden und Regierungsorganisationen zu kommunizieren, die Komplexität der Kommunikation bei einem konkreten Cybersicherheitsvorfall erheblich. Ein weiterer Aspekt, der in der Studie hervorgehoben wird, ist, dass viele Organisationen zwar vertragliche Verpflichtungen für ihre Lieferanten eingeführt haben, die diese dazu verpflichten, Cybersicherheitsvorfälle zu melden, aber die Meldungen meist nicht transparent genug sind. Die Angst vor rechtlichen Konsequenzen und behördlichen Massnahmen schränkt oftmals die Bereitschaft ein, detaillierte Informationen über Cybersicherheitsvorfälle mit anderen Organisationen zu teilen. Dies erschwert das Lernen aus solchen Vorfällen erheblich. Eine offene Kommunikation könnte nicht nur dazu beitragen, besser auf Cybersicherheitsvorfälle zu reagieren, sondern sich auch vor diesen zu schützen.

Normativer Druck

Es wurde festgestellt, dass obligatorische Schulungen zur Meldung von Cybersicherheitsvorfällen existieren, aber es keine einheitliche Bewertung ihrer Wirksamkeit gibt. Einige Organisationen ergänzen diese Schulungen durch zusätzliche Ermutigung, um eine Kultur ohne Schuldzuweisungen zu schaffen. Die Klassifizierung von Vorfällen variiert von Organisation zu Organisation und es gibt keine einheitliche Methode. Dies führt zu Herausforderungen bei der Standardisierung und erschwert die Erstellung verlässlicher Statistiken über Cybersicherheitsvorfälle.

Mimetischer Druck

Rechtliche Bedenken, regulatorische Auswirkungen und vertragliche Verpflichtungen sind wie bereits erwähnt, oft Hindernisse für die detaillierte Weitergabe von Informationen zu Cybersicherheitsvorfällen. Organisationen neigen dazu, Praktiken anderer Organisationen zu imitieren, da die Führung oft ein begrenztes Verständnis für Cyberrisiken hat und der Bereich sich ständig weiterentwickelt. Die Entfernung zwischen einem anderen Cybersicherheitsvorfall und der eigenen Organisation beeinflusst die Bereitschaft der Befragten, sich mit diesen fremden Vorfällen auseinanderzusetzen. Dennoch erkennen sie an, dass die Erkenntnisse aus anderen Cybersicherheitsvorfällen die Wahrnehmung der Bedrohungen für die eigene Organisation beeinflusst.

Erkennung von Cybersicherheitsvorfällen

Die Befragten gaben an, sich bewusst zu sein, dass es nur eine Frage der Zeit sei, bis ein schwerwiegender Cybersicherheitsvorfall eintreten könnte, wenn sie nicht bereits einen solchen erlebt hatten. Dieses Bewusstsein motiviert sie dazu, proaktiv nach potenziellen Problemen zu suchen und betont die Bedeutung der frühzeitigen Identifizierung von Vorfällen. Die Mehrheit der Befragten betonte die Notwendigkeit eines Arbeitsumfelds, das Cybersicherheitsvorfälle als Chancen für Wachstum und Verbesserung ansieht, anstatt sie als Gelegenheiten für persönliche Entwicklung oder zum Schaden anderer zu betrachten. Es wurde jedoch auch festgestellt, dass die Schaffung einer Kultur der Offenheit und Transparenz erhebliche Herausforderungen mit sich bringt und nicht über Nacht umsetzbar ist.

Ermittlung von Ursachen

Praktische Einschränkungen wie begrenzter Zeit und Ressourcen erschweren es, Ursachen gründlich zu erforschen. Die Befragten geben zudem an, dass es herausfordernd sei, die Teams dazu zu motivieren, die Untersuchung der zugrunde liegenden Ursachen als Priorität zu behandeln. Die Qualität der Untersuchungen sei stark von der Beteiligung der richtigen Personen zur richtigen Zeit abhängig. Des Weiteren wurden die Unternehmenspolitik und die individuelle Abwehrhaltung als erhebliche Hindernisse bei der Ermittlung der Ursachen identifiziert. Diese Herausforderungen verdeutlichen die Komplexität der Ermittlung von Ursachen von Cybersicherheitsvorfällen und unterstreichen die Bedeutung einer kulturellen Veränderung, angemessener Ressourcenallokation und Fähigkeiten zur Trendanalyse, um die Wirksamkeit von Vorfalluntersuchungen und Lernprozessen innerhalb von Organisationen zu verbessern. Das vollständige Verständnis der Ursachen eines Cybersicherheitsvorfalls ist entscheidend, um daraus zu lernen und die Sicherheit der Organisation zu verbessern.

Umsetzung der aus Vorfällen gewonnenen Erkenntnisse

Es gibt Unterschiede in der Art und Weise, wie Organisationen die Umsetzung von Erkenntnissen aus Cybersicherheitsvorfällen verfolgen und wer dafür verantwortlich ist. In einigen regulierten Branchen gibt es strengere Berichtsmechanismen und Risikoausschüsse, die den Fortschritt bei der Umsetzung überwachen, während in anderen Organisationen die Verantwortung oft nach Erstellung eines Vorfallberichts endet. Die Umsetzung der gewonnenen Erkenntnisse kann mit der Zeit nachlassen, da die Energie und Konzentration während eines Cybersicherheitsvorfalls abnehmen und andere Aufgaben dringender werden. Strukturelle Probleme und grössere Investitionen können ebenfalls dazu führen, dass solche Massnahmen hinausgezögert werden. Einige Organisationen übersehen Lernmöglichkeiten aus Cybersicherheitsvorfällen. Andere nutzen sie jedoch, um Aufmerksamkeit und Finanzierung für Sicherheitsinitiativen zu gewinnen. Es ist notwendig, robuste Mechanismen zur Verfolgung von Erkenntnissen und zur Aufrechterhaltung der Umsetzungsdynamik zu etablieren, strategische Investitionen zu priorisieren und regelmässige Bewertungen durchzuführen, um sicherzustellen, dass die als Reaktion auf Cybersicherheitsvorfälle ergriffenen Massnahmen tatsächlich effektiv sind.

Ein kontinuierlicher Lern- und Verbesserungsansatz ist entscheidend für die Steigerung der Cyber-Resilienz in Organisationen.

Leitlinien für Schweizer Unternehmen basierend auf der Studie aus dem Vereinigten Königreich

Basierend auf der Studie I don’t think we’re there yet: The practices and challenges of organisational learning from cyber security incidents, können Schweizer Unternehmen mehrere Massnahmen ergreifen, um ihre Cybersicherheit zu verbessern. Es empfiehlt sich, regelmässig die eigenen Lernpraktiken aus Cybersicherheitsvorfällen zu bewerten und eine Kultur der Offenheit zu fördern, in der das Melden von Cybersicherheitsvorfällen und das Lernen aus Fehlern ermutigt wird. Eine einheitliche Methode zur Klassifizierung dieser Vorfälle ist für die Standardisierung der Reaktion wichtig. Ebenso ist eine tiefergehende Analyse der Ursachen unerlässlich, um systemische Faktoren zu erkennen und effektive Gegenmassnahmen zu entwickeln. Weiter sollten die gewonnenen Erkenntnisse nicht nur identifiziert, sondern auch effektiv umgesetzt und kontinuierlich überwacht werden. Eine transparente Kommunikation mit Lieferanten und Partnern sowie die Förderung von Weiterbildung und Fachwissen im Bereich Cybersicherheit sind ebenfalls zentrale Aspekte. Abschliessend sollten Unternehmen den Austausch von Informationen und die Zusammenarbeit innerhalb der Branche und mit Regulierungsbehörden fördern, um gemeinsam aus Vorfällen zu lernen und sich an neue Bedrohungen anzupassen.

Zusammenfassung

Die Studie I don’t think we’re there yet: The practices and challenges of organisational learning from cyber security incidents unterstreicht die Wichtigkeit eines kontinuierlichen und organisationalen Lernprozesses zur Stärkung der Cyber-Resilienz. Obwohl sie auf Daten aus dem Vereinigten Königreich basiert, können die Erkenntnisse auch für Schweizer Unternehmen von Bedeutung sein. Unternehmen sind gefordert Cybersicherheitsvorfälle nicht nur als Risiko, sondern als Chance zum Lernen und zur Stärkung ihrer Abwehrkräfte zu begreifen. Dies erfordert eine regelmässige Überprüfung und Anpassung der Lernpraktiken sowie die Etablierung einer offenen und transparenten Unternehmenskultur. In dieser Kultur sollte das Melden von Cybersicherheitsvorfällen sowie das Lernen aus Fehlern aktiv gefördert werden. Zudem wird die Bedeutung der Anpassung an sich ständig entwickelnde Cyberbedrohungen betont. Die fortschreitende Integration neuer Technologien und die zunehmende globale Vernetzung führen zu einer Erhöhung der Cybersicherheitsrisiken. In diesem Kontext ist es für Unternehmen unerlässlich, ihre Sicherheitsfähigkeiten fortlaufend zu verbessern und sich flexibel an die dynamischen Bedrohungslagen anzupassen. Ein weiterer Punkt ist die gründliche Analyse von Sicherheitsvorfällen. Nur durch eine detaillierte Untersuchung der Ursachen können systemische Schwachstellen identifiziert und effektive Gegenmassnahmen entwickelt werden. Die aus solchen Analysen gewonnenen Erkenntnisse sollten nicht nur identifiziert, sondern auch konsequent umgesetzt und regelmässig überprüft werden, um ihre Wirksamkeit sicherzustellen. Die Studie hebt auch die Bedeutung von Kommunikation und Zusammenarbeit hervor. Eine offene und transparente Kommunikation mit Lieferanten, Partnern und innerhalb der Branche ist essenziell, um aus Vorfällen kollektiv zu lernen und sich gemeinsam an neue Bedrohungen anzupassen. Der Austausch von Informationen und die Kooperation mit Regulierungsbehörden sind ebenfalls wichtige Aspekte, um effektiv auf Cybersicherheitsvorfälle reagieren zu können. Zudem ist es angesichts des Mangels an qualifizierten Cybersicherheitsexperten für Unternehmen unabdingbar, in die Aus- und Weiterbildung ihrer Mitarbeiter zu investieren und Fachwissen im Bereich Cybersicherheit zu fördern. Dies trägt massgeblich dazu bei, die Fähigkeiten und Kompetenzen im Umgang mit Cyberrisiken zu stärken.

Über die Autorin

Michèle Trebo hat einen Bachelor in Informatik an der ZHAW abgeschlossen und war sechs Jahre lang als Polizistin, unter anderem zur Aufklärung und Auswertung von Cybercrime, tätig. Sie zeichnet sich im Bereich Forschung für kriminalistische Themen wie Darknet, Cyber Threat Intelligence, Ermittlungen und Forensik verantwortlich. (ORCID 0000-0002-6968-8785)

Links

• https://asistdl.onlinelibrary.wiley.com/doi/10.1002/asi.24311
• https://dl.acm.org/doi/10.1145/3230833.3233284
• https://scholar.google.com/scholar_lookup?title=Dynamics%20of%20Incident%20Response&publication_year=2005&author=J.%20Wiik&author=K.-P.%20Kossakowski
• https://www.sciencedirect.com/science/article/pii/S0167404823006090