85 Prozent der deutschen IT-Profis denken, die Sicherheit ihres Unternehmens ist überdurchschnittlich

In einer Umfrage zum Thema Vertrauen in die Informationssicherheit schätzten IT-Profis Sicherheitsmaßnahmen und -prozesse ihrer Organisation ein [1]. Dabei zeigte sich, dass das Vertrauen in diese Maßnahmen zwar sehr hoch ist, was vermutlich an verschiedenen Schlüsselfaktoren liegt. Allgemein fehlt jedoch die Beachtung von Best Practices für die Sicherheit. Zudem kommt es weiterhin zu schädigenden Angriffen, was auf ein möglicherweise falsches Gefühl der Sicherheit hinweist.

Die ewige Baustelle

»Organisationen bemühen sich intensiv um die Verbesserung ihrer Informationssicherheit, insbesondere in Bezug auf Budget und Ressourcen«, erklärt Mav Turner, Sicherheitsleiter bei SolarWinds. »Es ist jedoch wichtig, sich nicht selbst zu überschätzen. IT-Profis sollten alles Erdenkliche tun, um die bestmögliche Verteidigung sicherzustellen, jedoch niemals glauben, es gäbe nichts mehr zu tun. Durch diese Herangehensweise sind sie in der Lage, proaktiv alle Schritte zu unternehmen, um die Infrastruktur und die vertraulichen Daten ihrer Organisationen auch tatsächlich zu schützen.«

Die Umfrage wurde im Oktober 2014 gemeinsam mit Enterprise Management Associates unter 168 IT-Experten, Managern, Vorständen und Führungskräften aus kleineren und mittleren Unternehmen in Deutschland durchgeführt.

»Viele interessante und beunruhigende Trends zeichneten sich in der Umfrage ab«, so David Monahan, Forschungsleiter im Risiko- und Sicherheitsmanagement, Enterprise Management Associates. »Die weit verbreitete Selbstüberschätzung erklärt, warum wir mehr Sicherheitsverletzungen zu verzeichnen haben. Deren Ursache scheint zumindest teilweise in der Annahme zu liegen, dass Compliance gleichbedeutend mit Sicherheit ist. Angesichts der Tatsache, dass alle im letzten Jahr von Sicherheitsverletzungen betroffenen großen Handelsunternehmen die Compliance-Anforderungen erfüllt hatten, kann das nicht stimmen.«

Ergebnisse der Umfrage

 

  1. IT-Profis sind von den Sicherheitsmaßnahmen und -prozessen ihrer Organisation überzeugt

 

Von den befragten IT-Profis gaben 85 Prozent an, dass ihre Organisation wohl mindestens im 30. Perzentil der sichersten Organisationen läge. 14 Prozent von ihnen sähen ihre Organisation sogar in den oberen 10 Prozent. Zudem sagten 83 Prozent, dass ihre IT-Abteilung derzeit über ausreichend Ressourcen verfüge, um ihre Organisation zu schützen.

 

  1. Mehr Budget, Personal und Integration zwischen der Sicherheit und anderen IT-Prozessen und -Verfahren, wie Netzwerk- und Systemverwaltung, steigern dieses Vertrauen vermutlich noch weiter.

 

68 Prozent der Befragten berichteten, dass sich in diesem Jahr das Sicherheitsbudget ihrer Abteilung im Vergleich zum Vorjahr erhöht habe. Zudem gaben nur 2 Prozent an, dass in ihrer Organisation nicht mindestens ein Mitarbeiter für die Sicherheit zuständig sei, während 97 Prozent sagten, es gäbe mehr als einen. Diese Personalstärke könnte erklären, warum 55 Prozent äußerten, sie könnten ihre Verteidigungsvorkehrungen mindestens monatlich testen. Schließlich meinten 35 Prozent, dass ihre IT-Abteilung die Sicherheit eng in andere IT-Prozesse und -Verfahren eingebunden habe, während alle anderen zumindest einen gewissen Grad an Interaktion meldeten.

 

  1. Eine allgemeine Beachtung von Best-Practices für die Sicherheit fehlt und Organisationen leiden weiterhin unter schädigenden Angriffen, was möglicherweise darauf hinweist, dass dieses hohe Maß an Vertrauen auf einem falschen Gefühl der Sicherheit basiert.

 

Obwohl 45 Prozent der Befragten nicht glauben, dass ihre Organisation Ziel von Angriffen sei, und weitere 13 Prozent das Gefühl haben, dass nur ein geringes Risiko für einen erfolgreichen Angriff bestünde, meldeten 77 Prozent, dass ihre Organisation einem schwerwiegenden Angriff ausgesetzt war. 46 Prozent räumten sogar ein, dass es mindestens einen Monat dauerte, bis der Angriff entdeckt wurde. Des Weiteren gaben 41 Prozent an, dass es mindesten einen Monat dauerte, die Folgen des Angriffs zu beseitigen (d. h. die betroffenen Systeme/Anwendungen wieder online/betriebsbereit zu schalten und das Sicherheitsleck zu schließen). Bekräftigt wird das durch die Angabe von 41 Prozent der Befragten, dass in ihrer Organisation entweder keine Best-Practices für die Sicherheit definiert seien oder diese nicht regelmäßig befolgt würden.

___________________________________

[1] SolarWinds hat die Ergebnisse einer Umfrage zum Thema Vertrauen in die Informationssicherheit veröffentlicht.

Die Umfrage wurde im Oktober 2014 gemeinsam mit Enterprise Management Associates unter 168 IT-Experten, Managern, Vorständen und Führungskräften aus kleineren und mittleren Unternehmen in Deutschland durchgeführt.

*Die vollständigen Umfrageergebnisse stehen auf Anfrage zur Verfügung.