- Nur 58 Prozent der Unternehmen in Deutschland verfügen über ein zentrales Konzept und einen Gesamtlösungsansatz bei der Informationssicherheit.
- Mangelnde Awareness: Mitarbeiter sind eine der wichtigsten Schwachstellen bei IT-Security.
- Trotz fortschreitender Vernetzung und wachsender Bedrohung bleiben Security-Silos bei der IT-Security bestehen.
- Unternehmen gehen nach wie vor eher reaktiv (taktisch) denn strategisch bei der IT-Security vor.
Nach Angaben des russischen Präsidenten Putin kam es während der Fußball-WM zu rund 25 Millionen Cyberattacken auf das Gastgeberland. Auch in Deutschland läuft es für Internetkriminelle »rund«. Laut der Studie »IT-Security-Trends in Deutschland 2018« verzeichneten zwei Drittel der befragten Unternehmen in den vergangenen Monaten Sicherheitsvorfälle. Durchgeführt hatte die Studie das Marktforschungs- und Beratungsunternehmen International Data Corporation (IDC) – TA Triumph-Adler war als Kooperationspartner beteiligt. Demnach hat sich im Zuge der Digitalisierung die Sicherheitslage verschärft. Zwar wachse bei Unternehmen das Verständnis für den Nutzen moderner, ganzheitlicher IT-Security, die Umsetzung lasse aber weiterhin zu wünschen übrig. Und: Nach wie vor sind die eigenen Mitarbeiter auch durch mangelnde Awareness das Sicherheitsrisiko Nummer 1.
IT-Security neu ausrichten.
IDC hat IT-Entscheider aus 230 Organisationen mit mehr als 20 Mitarbeitern zum Thema IT-Security befragt, um einen umfassenden Einblick in die IT-Security-Praxis in Deutschland zu bekommen. Denn nach Auffassung von IDC zwingt die digitale Transformation Unternehmen, ihre IT-Security neu auszurichten. Hintergrund: Eine umfassende Prozessautomatisierung und das Agieren in Ökosystemen mit Partnern, Lieferanten und Kunden gehen mit einer Vernetzung von IT und IP-basierten Geräten Hand in Hand. Zudem bieten Cloud Computing, Internet der Dinge (IoT), Virtualisierung, offene Schnittstellen (APIs) und IT-Systeme Angriffspunkte, die intelligent abgesichert werden müssen. Laut IDC würden Cyberattacken immer ausgefeilter und ließen sich mit vorhandenen Schutzmechanismen immer schlechter parieren. Gesetzliche Vorgaben, Regelwerke, Compliance-Anforderungen und der damit verbundene Datenschutz – etwa EU-DSGVO – sowie die Absicherung von IT-Systemen, die in kritischen Infrastrukturen (Kritis) betrieben werden, würden ebenfalls neue Investitionen nötig machen.
Bei den 67 Prozent der Unternehmen mit Sicherheitsvorfällen waren am häufigsten PC und Notebooks (34 Prozent), Netzwerke (31 Prozent) sowie Smartphones und Tablets (30 Prozent) betroffen. Das ist laut IDC vor allem deswegen kritisch, da diese als Einfallstor in das Rechenzentrum genutzt werden. Aber auch die Rechenzentren selbst (29 Prozent) und Server (28 Prozent) waren ebenso wie Drucker (MFP), Sensoren und IoT betroffen. »Diese Zahlen unterstreichen, wie komplex und vielschichtig Cyberrisiken sind und dass sich die Unternehmen wesentlich stärker und vor allem besser absichern müssen«, sagt Matthias Zacher, Manager Research und Consulting bei IDC und Projektleiter der Studie.
Dabei sei der Anwender potenzielles Angriffsziel. Der Mitarbeiter rangiere nach wie vor auf Platz 1 bei den größten Risiken, gefolgt von unzureichend gesicherten Endpoints (37 Prozent) und Angriffen von Cyberkriminellen, so die Marktforscher. Das Anwenderfehlverhalten sowie mangelnde Awareness – etwa für die Gefahr von Phishing-Mails, Downloads oder Geräteverlusten – hätten Externen demnach in den vergangenen Monaten den Zugang zu Firmendaten erleichtert. »Im Zuge unserer Kooperation mit dem Hochsicherheitsanbieter Bundesdruckerei ist das Thema Awareness deswegen immer wichtiger Bestandteil eines jeden Workshops«, so Dr. Daniel Wagenführer, General Manager Business Development Sales & Service Group bei TA Triumph-Adler. Eine sorgfältige Analyse der IT-Sicherheitsstruktur, also die Ermittlung des Ist-Zustands beim Kunden, ist für die Spezialisten von TA Triumph-Adler immer Ausgangsgrundlage für weitere Beratungsleistungen. Nur so und mithilfe von Softwarelösungen oder dem Offenlegen von Schwachstellen mit Penetrations-Tests ließen sich Mitarbeiter für den Umgang mit Endgeräten, Apps und Daten nachhaltig sensibilisieren. »Wir verfolgen insgesamt und natürlich auch bei unseren Workshops immer einen ganzheitlichen Ansatz.« Diese Strategie bestätigen die Ergebnisse der IDC-Studie: Demnach entfalten IT-Security-Lösungen, -Technologien und -Services nur mithilfe umfassender Konzepte ihre volle Wirkung. Allerdings haben nur 58 Prozent der Firmen ein zentrales Konzept und einen Gesamtlösungsansatz für Informationssicherheit, der alle Systeme und Geräte umfasst.
»Prevent and Protect« statt »Detect and Respond«
Weiteres Ergebnis: Weniger als der Hälfte der befragten Unternehmen ist der Schritt der Neubewertung ihrer IT-Security vom vorherrschenden »Prevent and Protect«, also der eher reaktiv orientierten Sicherheitslandschaft hin zu »Detect and Respond« bisher gelungen. Letztere zielt auf eine kontinuierliche Echtzeitüberwachung ab. Demnach hätten nicht einmal 50 Prozent ihre Security-Prozesse umfassend automatisiert. Dadurch würden Potenziale wie beschleunigte Abläufe, eine höhere Transparenz, die Verringerung manueller Fehler sowie die Entlastung der Mitarbeiter weitestgehend nicht genutzt.
Security-Silos wie Endpoint-, Messaging-, Network- und Web-Security können keinen ausreichenden Schutz mehr bieten, so die Einschätzung von IDC. »Wir sehen nicht selten über 50 bis 80 unterschiedliche Security-Lösungen in einem Unternehmen im Einsatz, entweder als on-premises Softwarelösung, Appliance, Security-as-a-Service oder Managed Security Service«, so Zacher. Immerhin: zwei Drittel der befragten Unternehmen betrachten die Integration für bessere Schutz- und Abwehrfähigkeiten als erforderlich und haben erkannt, dass ein integrativer Ansatz besser als die Summe aller Security-Lösungen schützt. Dementsprechend stehe in der Bewertung der verschiedenen Security-Prozessthemen die Integration an erster Stelle und unterstreiche die Relevanz für die Anwender. Dennoch hapert es auch hier mit der Umsetzung.
[1] Die Zusammenfassung der Studie mit konkreten Handlungsempfehlungen zum kostenlosen Download: https://www.triumph-adler.de/ta-de-de/it-sicherheit
Ganzheitlicher Datenschutz löst die meisten Sicherheitsprobleme der Cloud – Der Schlüssel zum Erfolg
Raus aus der Gefahrenzone: Secure Systems Engineering hilft Sicherheitslücken zu schließen
SOC als Sicherheitszentrale – Gefahr erkannt, Gefahr gebannt
Unternehmen ändern Sicherheitsstrategie nach einer Cyberattacke nicht