Spätestens seit dem Überfall Russlands auf die Ukraine herrscht in Europa ein echter Cyberkrieg. Eine Studie von Armis beleuchtet die Situation (English Version below).
Cyberkrieg ist im Nahen Osten schon seit Jahren eine Realität. Seit fast genau einem Jahr überfiel Russland die Ukraine und seit diesem Zeitpunkt müssen sich auch die Europäer auf diese Situation einstellen.
Dass die Realität des Cyberkrieges noch längst nicht in allen Köpfen angekommen ist, zeigt der „Armis State of Cyberwarfare and Trends Report: 2022-2023“, der die Stimmung von IT- und Sicherheitsexperten weltweit zum Thema Cyber-Kriegsführung beleuchtet. Die Studie enthält Antworten von mehr als 6.000 Fachleuten aus verschiedenen Branchen, darunter Gesundheitswesen, kritische Infrastruktur, Einzelhandel und Logistik.
„Cyber-Kriegsführung ist die Zukunft des Terrorismus und bietet eine kosteneffektive und asymmetrische Angriffsmethode, die ständige Wachsamkeit und Ausgaben zur Verteidigung erfordert“, sagt Nadir Izrael, CTO und Mitbegründer von Armis. „Verdeckte Cyber-Kriegsführung gehört bald der Vergangenheit an. Wir sehen jetzt dreiste Cyberangriffe von Nationalstaaten, oft mit der Absicht, Informationen zu sammeln, den Betrieb zu stören oder Daten zu zerstören. In Anbetracht dieser Trends sollten sich alle Organisationen als mögliche Ziele von Cyberangriffen betrachten und ihre Anlagen entsprechend absichern.“
Hier die wichtigsten Ergebnisse für den deutschsprachigen Raum:
- Die Hälfte der Befragten hat eine Cyberversicherung, die Cyber-Kriegsführung abdeckt. Rund ein Drittel hat noch keine solche Police, plant aber eine abzuschließen.
- Die Teilnehmer wurden zu ihrer Haltung gegenüber Sicherheitsstandards (B3S, IT-Sec 2.0, etc.) befragt. Gut die Hälfte in Deutschland (54 Prozent) sind dabei, zusätzliche Maßnahmen zu ergreifen, um die Situation zu bewältigen. Weniger als ein Drittel sieht sich komplett gerüstet, was die Einhaltung der Richtlinien betrifft.
„Immer mehr deutsche Unternehmen und Organisationen, die als Betreiber von KRITIS im IT-Sicherheitsgesetz 2.0 definiert werden, implementieren die Anforderungen der B3S“, erklärt Mirko Bülles, Director Technical Account Management EMEA bei Armis. „Wie bei jeder Cybersecurity-Strategie muss zunächst eine Inventarisierung aller Assets erfolgen, um danach eine Bewertung vornehmen zu können, welche dieser Assets als besonders schützenswert einzustufen sind. Können die Assets nicht fehlerfrei klassifiziert werden, drohen empfindliche Strafen.“
„Unternehmen in der DACH‑Region müssen stärker in relevante Cyberrisiko- und Cybersicherheits-Frameworks investieren, um auf Cyberkriegsführung vorbereitet zu sein – nicht nur durch Hacktivisten wie Ransomware-Gruppen, sondern auch durch nationalstaatliche Angreifer. Und hierzu müssen sich Unternehmen stärker auf das Asset-Management konzentrieren, um erweiterte Einblicke in ihre IT‑Umgebungen zu erhalten.
Das gilt insbesondere für die Operations Technology (OT), die Teil ihrer kritischen Infrastrukturen ist. Wir haben bereits Angriffe auf Windkraftanlagen in ganz Europa erlebt, die die Remotesteuerung beeinträchtigt und die europäische Netzinfrastruktur geschädigt haben. Und wir müssen darauf vorbereitet sein, dass ähnliche Ereignisse in großem Maßstab auftreten werden,“ fährt Bülles fort. „Unternehmen sollten vor allem Visibility und Training verbessern.“
Insgesamt zeigen die Ergebnisse, dass nur 40 % der DACH‑Unternehmen zustimmen, auf den Cyberkrieg vorbereitet zu sein. Nahezu ebenso viele Befragte sind über ihre kritischen Infrastrukturen besorgt, die in jüngster Zeit deutlich stärker gefordert wurden, etwa durch Cyberangriffe auf Einrichtungen wie Krankenhäuser oder die Universität Duisburg-Essen, auf verschiedene Nachrichtenagenturen wie DPA oder APA in Österreich oder auf Medienanstalten wie die Heilbronner Stimme.
Regierungen, Sicherheitsdienste und damit verbundene zuständige Behörden betonen immer wieder, wie wichtig verbesserte Cybersicherheit und resilientere Cyberstrategien sind. Das kürzlich verabschiedete EU Gesetz über Cybersicherheit baut auf der bestehenden EU‑Cybersicherheitsrichtlinie von 2016 auf und aktualisiert damit die Cybersicherheitsanforderungen der EU‑Mitgliedstaaten. Vor dem EU‑Gesetz über Cyberresilienz lastete der Druck der Cybersicherheit hauptsächlich auf den Benutzern entsprechender Produkte – sowohl bei Unternehmen als auch bei Privatpersonen.
Doch nun werden auch die Hersteller stärker in die Verantwortung genommen. Diese neue Rechenschaftspflicht kann einiges dazu beitragen, flächendeckende Verbesserungen zu erzielen.
Die EU hat außerdem die NIS‑2-Richtlinie eingeführt, die viele weitere Branchen ins Rampenlicht rückt und Geldbußen, Sanktionen und Strafen für unzureichendes Risikomanagement, fehlende grundlegende Cyberhygiene sowie unangemessene Verzögerungen bei Abhilfemaßnahmen vorsieht.
Die Ergebnisse der Studie zeigen, dass 59 % der DACH‑Unternehmen mindestens eine Datenschutzverletzung erlebt haben. Trotz dieser Tatsache nennen nur 59 % der IT‑Experten „Datensicherung“ als eine der relevantesten Strategien zum Schutz ihres Unternehmens und 61 % geben an, dass Datenschutz hinsichtlich Cybersicherheit höchste Priorität hat.
Die Statistiken zeigen also eine klare Diskrepanz zwischen der Sicherheitslage, die zuständige Behörden durch Gesetzgebungen erreichen wollen, und der Meinung von IT- und Sicherheitsexperten. Leider geben 78 % der Befragten an, dass Cyberrisiko-Frameworks, wie sie von NIST, BSI und anderen Einrichtungen vorgeschlagen wurden, noch nicht in ihrem Unternehmen implementiert wurden.
Eine mangelnde Identifikation von Cyberrisiken bedeutet auch, dass Unternehmen nicht wissen, welche Assets sich in ihrem Bestand befinden und welche Risiken sie darstellen. Diese Studie zeigt, dass nur 27 % der Befragten in Asset-Management investieren – und das heißt, dass 73 % es nicht tun.
Investitionen in Cybersicherheit liegen in der DACH‑Region niedriger als im Rest von EMEA: 44 % der Unternehmen geben nur 5–10 % ihres IT‑Budgets für Sicherheitsmaßnahmen aus.
English Version
IT and Cyberwarfare
Since Russia’s invasion of Ukraine a real cyber war is raging in Europe. A study by Armis highlights the situation.
Cyberwar has been a reality in the Middle East for years. It has been almost exactly a year since Russia invaded Ukraine, and since then, Europeans have had to adjust to this situation as well.
The fact that the reality of cyberwar has by no means reached everyone’s minds is shown in the „Armis State of Cyberwarfare and Trends Report: 2022-2023,“ which looks at the sentiment of IT and security professionals worldwide on the topic of cyber warfare. The study includes responses from more than 6,000 professionals across a range of industries, including healthcare, critical infrastructure, retail and logistics.
„Cyber warfare is the future of terrorism and offers a cost-effective and asymmetric method of attack that requires constant vigilance and spending to defend,“ said Nadir Izrael, CTO and co-founder of Armis. „Covert cyber warfare will soon be a thing of the past. We are now seeing brazen cyberattacks by nation states, often with the intent to gather information, disrupt operations or destroy data. Given these trends, all organizations should consider themselves potential targets of cyberattacks and secure their assets accordingly.“
Situation in DACH
Here are the key findings for German-speaking countries:
– Half of the respondents have cyber insurance that covers cyber warfare. About a third do not yet have such a policy, but plan to take one out.
– Respondents were asked about their attitude toward security standards (B3S, IT-Sec 2.0, etc.). 54 percent are taking additional measures to deal with the situation. Fewer than one-third consider themselves completely equipped in terms of compliance.
„More and more German companies and organizations defined as KRITIS operators in the IT Security Act 2.0 are implementing the B3S requirements,“ explains Mirko Bülles, Director Technical Account Management EMEA at Armis. „As with any cybersecurity strategy, an inventory of all assets must first be made, after which an assessment can be made of which of these assets are to be classified as requiring special protection. If the assets cannot be classified without error, there are serious penalties.“
„Companies in the DACH region need to invest more in relevant cyber risk and cybersecurity frameworks to be prepared for cyber warfare – not only by hacktivists such as ransomware groups, but also by nation-state attackers. And to do this, organizations need to focus more on asset management to gain advanced insights into their IT environments.
This is especially true for operations technology (OT), which is part of their critical infrastructures. We’ve already seen attacks on wind turbines across Europe that have impacted remote control and damaged European grid infrastructure. And we need to be prepared for similar events to occur on a large scale,“ Bülles continues. „Companies should especially improve visibility and training.“
Overall, the results show that only 40% of DACH companies agree they are prepared for cyberwar. Almost as many respondents are concerned about their critical infrastructures, which have been significantly more challenged recently, for example by cyberattacks on institutions such as hospitals or the University of Duisburg-Essen, on various news agencies such as DPA or APA in Austria, or on media institutions such as Heilbronner Stimme.
Governments, security services and related competent authorities repeatedly emphasize the importance of improved cybersecurity and more resilient cyber strategies. The recently adopted EU Cyber Security Law builds on the existing 2016 EU Cyber Security Directive, updating the cyber security requirements of EU member states. Prior to the EU Cyber Resilience Law, the pressure of cybersecurity was mainly on the users of relevant products – both businesses and individuals.
But now manufacturers are also being held more accountable. This new accountability can go a long way toward achieving improvements across the board.
The EU has also introduced the NIS-2 Directive, which brings many more industries into the spotlight, with fines, penalties and sanctions for inadequate risk management, lack of basic cyber hygiene, and unreasonable delays in remediation.
The results of the study show that 59% of DACH companies have experienced at least one data breach. Despite this fact, only 59% of IT professionals cite „data protection“ as one of the most relevant strategies to protect their business and 61% state that data protection is a top priority in terms of cybersecurity.
The statistics thus show a clear discrepancy between the security situation that competent authorities want to achieve through legislation and the opinion of IT and security experts. Unfortunately, 78% of respondents say that cyber risk frameworks, such as those proposed by NIST, BSI and other bodies, have not yet been implemented in their organizations.
A lack of cyber risk identification also means that organizations do not know what assets are in their inventory and what risks they pose. This study shows that only 27% of respondents are investing in asset management – and that means 73% are not.
Investment in cybersecurity is lower in the DACH region than in the rest of EMEA, with 44% of companies spending only 5-10% of their IT budgets on security measures.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de