Wieso kognitive Agilität für Cybersicherheitsteams so wichtig ist

Eine neue Studie bewertete die menschlichen – und nicht nur die technischen – Fähigkeiten von Cybersicherheitsteams in Unternehmen. Im Fokus standen bei der Untersuchung die Erkenntnisse aus mehr als einer halben Million Simulationen, die in den letzten 18 Monaten von 2.100 Organisationen durchgeführt wurden. Der Bericht „Cyber Workforce Benchmark 2022“ von Immersive Labs ergab, dass es im Durchschnitt mehr als drei Monate (96 Tage) dauert, solch relevante Fähigkeiten zur Abwehr von Cyber-Bedrohungen zu entwickeln.

„Die Daten der Studie zeigen, dass im Ernstfall schnellere Reaktionszeiten notwendig sind. Vor allem die Zeitspanne zwischen dem Auftreten von Bedrohungen und der Reaktion darauf muss beschleunigt werden. Andernfalls wird man möglicherweise Entscheidungen treffen, die auf wenig hilfreichen vorgefassten Meinungen beruhen“, so Rebecca McKeown, Leiterin der Humanwissenschaften bei Immersive Labs und ehemalige Militärpsychologin.

Für Führungskräfte stellt die Cybersicherheit eine nie dagewesene Herausforderung dar: Sie müssen in einem hybriden Kampfgebiet mit sich ständig ändernden Merkmalen (digital wie auch real) Antworten finden. Dafür ist es notwendig, kontinuierlich daran zu arbeiten, entsprechende Fähigkeiten zu entwickeln – die sogenannte kognitive Agilität.

Der Umfrage zufolge sind die Bereiche Infrastruktur und Verkehr kognitiv am anspruchsvollsten: Im Durchschnitt dauerte es mehr als vier Monate (137 Tage), um sicherzustellen, dass nach dem Auftreten einer Bedrohung angemessene Fähigkeiten entwickelt werden. Zum Vergleich: Die nationalen Gremien für Cybersicherheit empfehlen, dass die technische Infrastruktur innerhalb von Tagen oder in einigen Fällen sogar innerhalb von Stunden nach einem Vorfall gepatcht wird. Die US-Bundesbehörde für Cybersicherheit (CISA) gibt beispielsweise an, dass Sicherheitslücken innerhalb von 15 Kalendertagen nach der ersten Entdeckung gepatcht werden sollten.

Einen positiven Ausreißer stellte die Sicherheitslücke im Zusammenhang mit Log4j dar, da die Cybersicherheitsteams innerhalb von nur zwei Tagen reagierten. Damit geht eine andere Erkenntnis der Studie einher: Cybersecurity-Teams priorisieren ihr Handeln nach Bedrohungen, welche die größte Aufmerksamkeit auf sich ziehen. Dazu gehören: UNC2452 (SolarWinds), iranische Hackergruppen, Fin 7, Hafnium und Darkside. Die Erfahrung zeigt: Wenn es um diese Gruppen geht, eignen sich Cybersecurity-Teams deutlich schneller relevante Skills an. Im Fall von SolarWinds beispielsweise war die Reaktion fast achtmal so schnell wie der Durchschnitt.

Die Häufigkeit, mit der Unternehmen Cyber-Krisenübungen durchführen, variiert je nach Branche erheblich. Nach der Analyse von mehr als 6.400 Krisenreaktionsentscheidungen ergab die Studie, dass sich Technologie- und Finanzdienstleistungsunternehmen am besten auf Cyberangriffe vorbereiten. Sie führen zwischen sieben und neun Übungen pro Jahr durch. Organisationen im Bereich kritischer Infrastrukturen sind mit nur einer Übung jährlich am wenigsten vorbereitet.

Ransomware ist dabei die Hauptursache für die Unsicherheit von Krisenreaktionsteams. Die Zahlen sprechen für sich: Sieben der zehn häufigsten Krisenszenarien, bei denen das Vertrauen in die Reaktionsfähigkeit am geringsten war, stehen mit dieser Art von Bedrohung in Zusammenhang.

Teams, die sich mit Anwendungssicherheit befassen, entwickeln zudem schneller Personalressourcen im Cyberbereich als Cybersicherheitsteams. Bei der Analyse von 43.000 Anwendungssicherheitsübungen wurde festgestellt, dass 78 % schneller als erwartet abgeschlossen wurden, verglichen mit nur 11 % in Cybersicherheitslabors. Im Durchschnitt wurde die Anwendungssicherheitsübung 2,5 Minuten kürzer als erwartet abgeschlossen – während sie in Cybersicherheitslabors 17 Minuten länger als angenommen dauerte.

Was auf ein mögliches Problem hindeutet, ist die niedrige Engagement-Rate bei solchen Sicherheitsübungen. In 176.000 Fällen haben die Teilnehmer – Studenten und andere, die eine Karriere im Bereich Cybersicherheit anstreben – wenig Einsatzbereitschaft in Sachen Anwendungssicherheit gezeigt. Da unsichere Software im Jahr 2021 der Hauptgrund für Cyberattacken war, ist abzusehen, dass sich das Problem noch weiter vergrößern wird.

Psychologische Perspektive

Aus psychologischer Sicht können Krisenreaktionsteams nur durch regelmäßige Übungen die bewusste Fähigkeit entwickeln, Zusammenhänge zwischen früheren Entscheidungen und deren Anwendung bzw. Nichtanwendung während eines Vorfalls herzustellen. Laufende Krisen sind nicht der richtige Zeitpunkt, um zu lernen. Genau das ist ein zentraler Grundsatz der kognitiven Agilität.

Laut Immersive Labs geht der Trend bei Cybersicherheitsteams dahin, sich auf das internalisierte Operative zu konzentrieren – und hier sind psychologische Effekte im Spiel. Wie alle Fachleute in großen Organisationen streben auch die Mitglieder dieser Teams nach Anerkennung durch ihre Vorgesetzten. Sie sehen im „Schema-F-Umgang“ mit Bedrohungsprozessen möglicherweise einen schnelleren Weg, um diese Anerkennung zu erhalten.

Diejenigen, die für Krisenreaktionen verantwortlich sind, sollten aber vor allem kognitive Agilität entwickeln, also die Fähigkeit, „über das Denken nachzudenken“. Gleichzeitig geht mit kognitiver Agilität einher, sich von Handlungsimpulsen zu distanzieren und die Entscheidungsfindung bewusst zu steuern – anstatt automatisch zu reagieren. In der Praxis entwickelt man diese Fähigkeit mit der Zeit, indem man sich immer wieder Übungen unterzieht und vorgefertigte Meinungen reflektiert und falls nötig verwirft.