In einer Studie [1] wurden 75 Vertreter von Unternehmen und Behörden zur IT-Sicherheit befragt. Inklusive Behörden waren mit Finanzen und Versicherung, Medien und Kommunikation, dem produzierenden Gewerbe, Versorgern, IT sowie Telekommunikation, Automobil, Transport und Logistik neun verschiedene Branchen vertreten.

Eines der überraschenden Ergebnisse:

• Stolze 57 Prozent der Befragten bewerten die IT-Sicherheit in ihren Unternehmen als mindestens gut.
• Jeder Zehnte sieht sein Unternehmen zu nur 30 Prozent geschützt.
• Lediglich drei Prozent bewerten ihren Schutzlevel als minimal.

Aus Branchensicht fühlen sich die Unternehmen im produzierenden Gewerbe sowie in der Telekommunikations- und Automobilbranche am sichersten. Im öffentlichen Dienst wurde der eigenen IT-Umgebung überwiegend 50-prozentiger Schutz attestiert.

Beachtenswert bei dieser überwiegend positiven Einschätzung der eigenen Cybersicherheit ist der jedoch relativ geringe Anteil am IT-Budget, der in IT-Sicherheit investiert wird. Jedes fünfte Unternehmen gibt lediglich 5 Prozent des IT-Budgets für Sicherheit aus, und jedes vierte Unternehmen investiert 10 Prozent der IT-Ausgaben in Cybersecurity. Lediglich 6 Prozent der Befragten geben an, dass sie jeden vierten IT-Euro in die Sicherheit stecken.

»Beträchtlich ist der Kontrast zwischen den überwiegend relativ geringen Ausgaben für IT-Sicherheit und dem wahrgenommenen Sicherheitslevel. Dies hängt stark von der jeweiligen Branche ab«, erklärt Thorsten Henning. »Die Umfrage bestätigt unsere Praxiserfahrung. Die tatsächliche Widerstandsfähigkeit gegen Angriffe ist oft wesentlich geringer als die von den Betroffenen überschätzte, gefühlte Sicherheit. Es ist mehr denn je geboten eine moderne Infrastruktur vorzuhalten, die frühestmöglich bei Cyberattacken Alarm schlägt, und nicht erst wenn der Angreifer schon am Ziel ist. Prävention ist ein Muss.«

Sicherheit ist vor allem den Kunden von öffentlichen Einrichtungen wichtig

Den in vielen Fällen noch zögerlichen Investitionen steht wiederum eine andere Erkenntnis der Studie gegenüber: Die Hälfte der befragten Unternehmen gibt an, dass für ihre eigenen Kunden IT-Sicherheit ein »sehr wichtiges« Thema sei. Jedes fünfte Unternehmen sagt, dass die Cybersicherheit sogar eine »entscheidende« Voraussetzung für ihre Kunde sei. Nur neun beziehungsweise sechs Prozent der Unternehmen gaben an, dass IT-Sicherheit »den Kunden eher unwichtig« beziehungsweise »den Kunden egal« ist. Am sensibelsten in Sachen IT-Sicherheit sind erwartungsgemäß die »Kunden« im öffentlichen Dienst – also die Bürger, wo Datenschutz und Datensicherheit eine sehr große Rolle spielen. Auf den nächsten Plätzen folgenden das produzierende Gewerbe, die IT- und Automobilbranche.

»Neben der Produktqualität und dem Kundenservice wird die IT-Sicherheit von Unternehmen zu einem entscheidenden Wettbewerbsfaktor in vielen Branchen. Verbraucher und Geschäftskunden wollen sich darauf verlassen können, dass ihre Daten sicher sind«, erklärt Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. »In vielen Branchen müssen die Unternehmen sich eine Reputation als vertrauenswürdiger Absender und Adressat von Daten aufbauen. Gerade bei Zulieferern ist das ein wichtiges Thema, denn deren Kunden wollen sich beim Datenaustausch keine Malware einfangen. Dies erfordert oft eine komplette und fortwährende Analyse der bestehenden IT-Infrastruktur unter dem Gesichtspunkt der Cybersicherheit.«

Palo Alto Networks fragte auch, ob sich die Unternehmen durch ihren Standort in Deutschland mehr oder weniger gefährdet sehen als Unternehmen in anderen Ländern. Knapp über die Hälfte der Unternehmen gab an, der Standort in Deutschland hätte keinen Einfluss auf die Bedrohungslage. 16 Prozent der Befragten fühlen sich durch den Standort sicherer. 15 Prozent hingegen sehen sich dadurch gefährdeter.

Aufschlussreich ist auch das Ranking der aktuell größten Bedrohungen der IT-Sicherheit. Das Fehlverhalten von Mitarbeitern wird als größte Gefahr erachtet, gefolgt von gezielten Attacken über das Internet, Phishing und APTs (Advanced Persistent Threats). Auf Platz fünf folgt Scareware. Auf den hinteren Rängen landeten Bedrohungen wie Industriespionage, Social Engineering, Ransomware, Software-Bugs, mangelnde Transparenz, Drive By Exploits, Schwachstellen und App ID. Dies könnte sich aber vor dem Hintergrund der jüngsten Ransomware-Attacken auf Windows- und Apple-User ändern.

Cyberkriminelle Vereinigungen und die eigenen Mitarbeiter als gefährlichste Akteure

Von welchen Personengruppen die größten Bedrohungen ausgehen, sollten die Befragten ebenfalls beantworten. Hier rangieren cyberkriminelle Vereinigungen vor den eigenen Mitarbeitern und Fremden Staaten/Geheimdiensten. Danach folgen Wettbewerber und Script-Kiddies. Vor allem die IT-Branche und das produzierende Gewerbe sehen cyberkriminelle Vereinigungen als größte Gefahr für ihre IT-Sicherheit. In einer gemeinsamen Studie mit dem Ponemon-Institut hat Palo Alto Networks passend dazu vor wenigen Wochen in Europa und den USA Hacker nach ihrem Vorgehen, ihrer Motivation und ihren Einnahmen befragt.

Gefragt wurde zudem, ob die Anforderungen des neuen IT-Sicherheitsgesetzes die Unternehmen vor große Herausforderungen stellt. 47 Prozent der Befragten konnten dies nicht beurteilen, 41 Prozent antworteten, sie müssten noch einiges umstellen um dem Gesetz gerecht zu werden. Nur rund jeder Zehnte betrachtet sein Unternehmen als bereits gut darauf vorbereitet.

»Es wird deutlich, dass noch viel zu tun ist, was die Prozesse und an vielen Stellen auch Investitionen betrifft. Hier sehen wir neben wachsender Investitionsbereitschaft einen hohen Beratungsbedarf, da das Angebot an IT-Sicherheitslösungen viele Unternehmen vor große Rätsel stellt«, bemerkt Thorsten Henning. »Klar ist aber, dass die IT-Sicherheit modernen Ansprüchen angepasst werden muss. Dies setzt eine gute Beratung und die Wahl der richtigen Sicherheitsplattform voraus. Hohe Schäden zu erleiden und Bußgelder zu bezahlen, das ist für verantwortungsbewusste Unternehmen keine Alternative.«

Skeptisch sind die Unternehmen bezüglich der Wirksamkeit des neuen IT-Sicherheitsgesetzes: Nur jeder zehnte Befragte geht davon aus, dass die Sicherheit dadurch sehr deutlich erhöht wird. Von einer nur leichten Verbesserung gehen 36 Prozent aus. Jeder Dritte erwartet sogar keinerlei positiven Auswirklungen durch das neue IT-Sicherheitsgesetz.

Cloud als größte Sicherheitsherausforderung der Zukunft

Für die Zukunft betrachten die befragten Unternehmen die Cloud als größte technologische Herausfordung für die IT-Sicherheit. Dahinter folgen die Gefährdung durch das »Internet of Everything«, Mobilität, »Bring your own x«, Industrie 4.0 und Virtualisierung. Speziell das produzierende Gewerbe sieht die Cloud als größte Sicherheitsherausforderung der Zukunft.

Um entsprechend gewappnet zu sein, halten viele Unternehmen Ausschau nach neuen IT-Sicherheitslösungen. Diese sollten die Schwächen der aktuellen Systeme kompensieren.

Als die drei größten Mankos ihrer gegenwärtigen Security-Lösungen nennen die Befragten:

1. zu große Komplexität
2. zu hohe Kosten
3. mangelnde Flexibilität

Auf dem vierten Platz folgt der Kritikpunkt »aktuelle Lösung ist zu speziell für einzelnen Szenarien«, dann mangelnde Nutzerfreundlichkeit und unzureichende Performance. Auch betrachten viele Unternehmen ihre gegenwärtigen IT-Sicherheitslösungen als zu kleinteilig und kritisieren den zu hohen administrativen Aufwand.

»Die Beantwortung dieser Frage macht klar, wohin die Reise geht. Durch den häufigen Wildwuchs an kleinen Einzellösungen, die viel manuelle Mitarbeit von Menschen in Anspruch nehmen, werden Ressourcen verschwendet und Angriffsflächen geschafften. Solche Flickenteppiche machen es Angreifern leicht durch Lücken zu schlüpfen«, fasst Thorsten Henning zusammen. »Der Bedarf an vernetzten, automatisierten und Plattform-basierten Lösungen wird durch diese Studie deutlich belegt. Somit ist dann auch wirksame Prävention möglich, und die Unternehmen sind den Angreifern einen Schritt voraus anstatt nur Schadensbegrenzung zu betreiben.«

[1] www.paloaltonetworks.com