Der Cyber Workforce Benchmark Report von Immersive Labs basiert auf Daten zu Cyber-Kompetenz und Urteilsvermögen aus über einer halben Million Labs (Trainings) und Simulationen, die in den letzten 18 Monaten von mehr als 2.100 Unternehmen auf der Cyber Workforce Optimization Platform durchgeführt wurden. Diese wurden aufgeschlüsselt, um ein besseres Verständnis der Cyber-Kompetenz von Mitarbeitern in den Bereichen Cybersecurity, Application Security und Crisis Response zu erlangen. Die wichtigsten Erkenntnisse im Überblick:
- Eine Analyse der Daten von 35.000 Cybersecurity-Experten aus 400 Unternehmen zeigt, dass im Durchschnitt mehr als drei Monate (96 Tage) zwischen dem Bekanntwerden neuer Bedrohungen und dem Aufbau entsprechender Kompetenzen zu deren Abwehr vergehen – außer bei Log4j. Mit im Durchschnitt mehr als vier Monaten (137 Tagen) vergeht in den Sektoren Infrastruktur und Transport die meiste Zeit. Die lange Verzögerung beim Aufbau von Cyber-Kompetenz steht im starken Kontrast zur weithin anerkannten Notwendigkeit kurzer Reaktionszeiten auf technischer Seite: Behörden wie das BSI empfehlen beispielsweise, Patches so schnell wie möglich, in der Regel innerhalb von 48 Stunden nach Bekanntwerden einer Schwachstelle, einzuspielen. Log4j stellte in diesem Zusammenhang eine Ausnahme dar – hier bauten Cybersecurity-Teams das notwendige Know-how innerhalb von nur zwei Tagen auf.
- Cybersecurity-Teams konzentrieren sich beim Aufbau von Kompetenzen auf namhafte Hackergruppen. Fünf Gruppen sind dabei von besonderem Interesse: UNC2452 (SolarWinds), iranische Hackergruppen, Fin 7, Hafnium und Darkside. In Zusammenhang mit solchen Gruppen erfolgt der Kompetenzaufbau wesentlich schneller. Das zur Abwehr des SolarWinds-Hacks notwendige Know-how, beispielsweise, wurde fast achtmal schneller aufgebaut als der Durchschnitt.
- Die Häufigkeit, mit der Unternehmen Krisensimulationen durchführen, variiert erheblich von Sektor zu Sektor. Eine Analyse von mehr als 6.400 Crisis-Response-Entscheidungen zeigt, dass sich Technologie- und Financial-Services-Unternehmen am besten auf Cyberangriffe vorbereiten und neun beziehungsweise sieben Simulationen pro Jahr durchführen. Organisationen aus den Sektoren der kritischen Infrastruktur (KRITIS) bereiten sich mit nur einer Simulation pro Jahr am wenigsten vor.
- Ransomware verursacht große Unsicherheit bei Crisis-Response-Teams. Sieben der zehn plattformübergreifend am wenigsten sicher bewältigten Krisenszenarien befassten sich mit Ransomware. Vor die Wahl gestellt, entschieden sich 83 Prozent aller Unternehmen gegen eine Lösegeldzahlung; 18 Prozent der Crisis-Response-Teams im öffentlichen Sektor entschieden sich jedoch dafür, obwohl dies häufig gegen offizielle Richtlinien verstößt.
- Application-Security-Teams bauen Kompetenzen schneller auf als Cybersecurity-Teams. Eine Analyse von 43.000 interaktiven Application Security Labs zeigt, dass 78 Prozent schneller als erwartet abgeschlossen werden, während es bei den Cybersecurity Labs nur 11 Prozent sind. Das durchschnittliche Application Security Lab wird 2,5 Minuten unter der prognostizierten Gesamtzeit abgeschlossen – Cybersecurity Labs jedoch 17 Minuten darüber.
- Die Cybersecurity-Experten von morgen tun sich in der Auseinandersetzung mit Application Security schwer. Labs zum Thema Application Security weisen die niedrigste Userbindung auf – nur ein Viertel im Vergleich zu offensiven Cybersecurity-Skills. Nur 0,5 Prozent der 176.000 Labs, die von Studenten und anderen Gruppen, die eine Karriere im Bereich Cybersecurity anstreben, abgeschlossen wurden, waren AppSec-spezifisch. Angesichts der Tatsache, dass lückenhafte Software die Ursache für einige der schwerwiegendsten Breaches im Jahr 2021 war, könnte dies auf ein potenzielles zukünftiges Problemfeld der Branche hindeuten.
„Unternehmen müssen die Zeitspanne zwischen dem Bekanntwerden neuer Bedrohungen und dem Aufbau entsprechender Kompetenzen zu deren Abwehr aufseiten der Mitarbeiter verkürzen – das machen die Daten unmissverständlich deutlich. Gelingt ihnen das nicht, treffen Mitarbeiter möglicherweise schlechte, voreingenommene Entscheidungen“, so Rebecca McKeown, Director of Human Science bei Immersive Labs und ehemalige Militärpsychologin. „Cybersecurity stellt eine enorme Herausforderung im Hinblick auf menschliche Kompetenzentwicklung dar. Mitarbeiter müssen ihre Cybersecurity-Skills kontinuierlich weiterentwickeln – so verhindern sie, dass Kompetenzen verloren gehen, bauen kognitive Agilität auf und bleiben in einer hybriden, realen und digitalen Bedrohungslandschaft, die sich ständig verändert, handlungsfähig.“