Große Unzufriedenheit.
Der Bericht von Websense und das Ponemon Institute offenbart große Mängel in der Kommunikation zwischen Sicherheitsverantwortlichen und Führungskräften sowie einen starken Wunsch nach der Überarbeitung vorhandener Security-Systeme. Außerdem, so die Studie, verfügten die Mitarbeiter der Unternehmen nur über begrenztes Sicherheitswissen. Nachfolgend sind die wichtigsten Ergebnisse der Untersuchung zusammengefasst.
Kommunikationsmängel zwischen Sicherheitsverantwortlichen und Führungskräften:
- 31 % der für Security zuständigen Teams sprechen nie mit dem Management über Cyber-Sicherheit;
- Von denjenigen, die es doch tun, führen fast ein Viertel (23 %) solche Gespräche nur einmal im Jahr und weitere 19 % nur einmal pro Halbjahr. Lediglich 11 % sprechen vierteljährlich mit ihrem Management und gerade einmal 1 % tut dies wöchentlich.
Security-Teams wünschen sich komplette Aktualisierung der Sicherheits-Systeme:
- 29 % der Studienteilnehmer würden die vorhandenen Security-Systeme ihrer Unternehmen komplett überarbeiten – wenn sie die nötigen Ressourcen und Möglichkeiten dazu hätten;
- Mit 47 % ist fast die Hälfte der Befragten regelmäßig über das Schutz-Level enttäuscht, das erworbene Sicherheits-Lösungen am Ende tatsächlich bieten. Lediglich 12 % sind mit ihren Security-Systemen zufrieden;
- 56 % der Studienteilnehmer glauben, dass ein Fall von Datendiebstahl im Unternehmen zu einem Wechsel des Sicherheitsanbieters führen würde;
- Advanced Persistent Threats und Daten-Exfiltration werden von den Sicherheitsverantwortlichen als größte Bedrohungen gesehen;
- 49 % der Befragten gaben an, in den nächsten zwölf Monaten signifikante Investitionen und Anpassungen für ihre Verteidigungsmaßnahmen zu planen.
Sicherheits-Know-how der Mitarbeiter wird zu wenig gefördert:
- Nur 38 % der Befragten glauben, dass ihre Unternehmen ausreichend in Personal und Technologien investieren, um die avisierten Cyber-Security-Ziele zu erreichen;
- 52 % der Unternehmen bieten keine entsprechenden Schulungen für ihre Mitarbeiter an;
- Weniger als die Hälfte der befragten Sicherheitsverantwortlichen (42 %) haben im Rahmen ihrer derzeitigen Position einen Threat-Modelling-Prozess durchgeführt. Die große Mehrheit dieser Gruppe (94 %) fand dies für den Umgang mit Cyber-Risiken wichtig;
- Unter den Ereignissen, die nach Ansicht der Studienteilnehmer das Management ihres Unternehmens dazu bringen würden, mehr Mittel für Security-Initiativen bereitzustellen, nehmen folgende Fälle die Spitzenplätze ein: Verlust von geistigem Eigentum (67 %), Diebstahl von Kundendaten (53 %) und Umsatzeinbußen durch Systemausfälle (49 %).
»Die globale Untersuchung des Ponemon Institute zeigt mangelnde Kommunikation, fehlendes Know-how und unzulängliche Systeme bei der Abwehr von Cyber-Bedrohungen. Das ermöglicht Kriminellen auf der ganzen Welt, Unternehmen erfolgreich zu attackieren«, sagt Michael Rudrich, Regional Director Central Europe & Eastern Europe bei Websense in München. »Es ist nicht überraschend, dass viele Sicherheitsverantwortliche von ihren Security-Lösungen enttäuscht sind. Sie nutzen häufig noch Altsysteme, die nicht in der Lage sind, die Ablaufkette moderner Datendiebstahl-Angriffe zu unterbrechen.«
[1] Für die aktuelle, von Websense in Auftrag gegebene Untersuchung »Roadblocks, Refresh, & Raising the Human Security IQ« hat das Ponemon Institute weltweit rund 5.000 Verantwortliche für IT-Sicherheit in 15 Ländern befragt, darunter England, Deutschland, Frankreich, Italien, die Niederlande, Schweden und die USA.
Der vollständige Report (in Englisch) kann nach einer Registrierung bei Websense heruntergeladen werden: https://www.websense.com/content/2014-ponemon-report-part-2.aspx?cmpid=prnr7.17.14