Technische IT-Sicherheit bereitet zunehmend Probleme

Die Studie Security Bilanz Deutschland ermittelt im dritten Jahr in Folge die Sicherheitslage in Mittelstand und öffentlichen Verwaltungen sowie die Gefährdungslage, die diese Unternehmen und Verwaltungen wahrnehmen.

Dazu hat das Analystenhaus techconsult 500 Mittelständler aus Industrie, Handel, Banken und Versicherungen, Dienstleistungssektor sowie öffentliche Verwaltungen und Non-Profit-Unternehmen zwischen 20 und 1.999 Mitarbeitern zur Einschätzung ihrer Sicherheitsmaßnahmen und -lösungen und den Bedrohungen befragt, denen sie sich ausgesetzt sehen.

Die Studie ermittelt zwei Indizes für die IT- und Informationssicherheit, die diese aus unterschiedlichen Perspektiven fokussieren: Der Sicherheitsindex fasst die Umsetzung von Maßnahmen und Lösungen auf technischer, organisatorischer, rechtlicher und strategischer Ebene zusammen. Der Gefährdungsindex hingegen ergibt sich aus der Einschätzung der Absicherungen gegen bestimmte Angriffen und die wahrgenommene Bedrohung durch diese Angriffe. Ideal wären somit ein möglichst hoher Sicherheitsindex, der besagt, dass Lösungen und Maßnahmen sehr gut umgesetzt sind, sowie ein möglichst niedriger Gefährdungsindex, der angibt, dass die von Angriffen ausgehende Gefährdung niedrig ist.

Unternehmen schätzen eigene Sicherheit schlechter ein, Bedrohungen werden stärker wahrgenommen.

Gegenüber dem Vorjahr haben sich beide Indizes verschlechtert: Der Sicherheitsindex ist gesunken und der Gefährdungsindex stieg an. Unternehmen haben somit die Maßnahmen und Lösungen, die sie einsetzen, schlechter bewertet. Gleichzeitig fühlen sie sich durch verschiedene Angriffsszenarien bedrohter als zuvor. Der Sicherheitsindex erreicht nur noch 50 von 100 Punkten (-4 Punkte), der Gefährdungsindex stieg um einen Punkt auf 49 von 100 Punkten an. Das Polster zwischen Sicherheitsniveau und Gefährdungslage schrumpft somit weiter zusammen, was insbesondere in Hinblick auf noch unbekannte Angriffe sehr bedrohlich ist.

grafik techconsult sicherheitsindex gefährungsindex
Abbildung: Der von der Studie ermittelte Sicherheitsindex ist auf 50 von 100 Punkten (-4 Punkte) gefallen, während der Gefährdungsindex auf 49 von 100 Punkten (+1 Punkt) angestiegen ist.

 

Alle Ebenen von IT- und Informationssicherheit betroffen.

Die Umsetzung der Maßnahmen für IT- und Informationssicherheit wird von den befragten Unternehmen auf allen Ebenen schlechter bewertet. Die Pilotstudie Anfang 2014 zeigte, dass die technischen Maßnahmen und Lösungen im Vergleich besser bewertet wurde als nicht-technische. Maßnahmen auf organisatorischer Ebene, wie Mitarbeiterschulungen, oder die strategische Ausgestaltung von IT-Sicherheit im Unternehmen bereiteten den Befragten offensichtlich häufiger Schwierigkeiten.

Im Jahr 2015 zeigten die Studienergebnisse, dass Unternehmen auch auf technischer Ebene häufiger Probleme feststellten. Technische IT-Sicherheit war somit nicht besser umgesetzt als die ebenfalls nötigen organisatorischen, rechtlichen und strategischen Maßnahmen, angefangen von Awareness-Kampagnen zur Mitarbeitersensibilisierung, über die Klärung von Haftungsfragen bis hin zur Festlegung von Prozessen für die Überprüfung der Compliance.

Dieser Trend setzt sich 2016 fort: Die Umsetzung von technischen Maßnahmen und Lösungen wird deutlich schlechter bewertet als im Vorjahr, wodurch der Indikator für die Umsetzungszufriedenheit auf der technischen Ebene eine niedrigere Punktzahl erreicht als der Indikator für die Umsetzung von Vorkehrungen organisatorischer, rechtlicher oder strategischer Art. Der Indexwert für technische Maßnahmen und Lösungen sinkt auf 48 von 100 möglichen Punkten (2015: 54 Punkte).

Dieser Rückgang kann als Zeichen dafür angesehen werden, dass das Bewusstsein für IT- und Informationssicherheit bei den Unternehmen zunimmt. Techconsult-Analyst Henrik Groß kommentiert das Ergebnis: »Durch eine intensivere Beschäftigung mit dem Thema wird auch häufiger festgestellt, dass es Probleme und Schwachpunkte gibt. Dass insbesondere die technische Dimension deutlich schlechter bewertet wird, könnte daran liegen, dass Unternehmen sich damit verstärkt befassen, weil es natürlich naheliegend ist, erst einmal die technischen Aspekte von IT-Sicherheit zu untersuchen. Das ergibt aber nur Sinn, wenn auch gleichzeitig auf organisatorischer, rechtlicher und strategischer Ebene nachgebessert wird.

Um sich langfristig gegen Angriffe wie Ransomware zu wappnen, müssen neben technischer Absicherung auch organisatorische Maßnahmen wie beispielsweise Mitarbeitersensibilisierung in Form von Schulungen stattfinden, damit Mitarbeiter Angriffe besser erkennen können. Es müssen rechtliche Fragen geklärt sein, zum Beispiel welche Rechtsfolgen eine vernachlässigte IT-Sicherheit nach sich ziehen kann und ebenso muss IT-Sicherheit strategisch im Unternehmen verankert werden, indem beispielsweise eine eigene Position und ein Budget dafür definiert werden.«

grafik techconsult sicherheitsindex 2014 2016
Abbildung: Der Index für technische Maßnahmen und Lösungen verliert 6 Punkte und erreicht nur noch 48 von 100 Punkten.

 

Einschätzung technischer Maßnahmen und Lösungen deutlich schlechter.

Gegenüber 2015 lässt sich ein Anstieg von Problemen quer über alle Themenbereiche feststellen. Maßnahmen im Bereich Authentifizierung, Datenspeicherung und Datenübertragung sowie Netzwerksicherheit betrifft dies ebenso wie Basisschutz-Lösungen (etwa Antiviren-Lösungen und Firewalls), anspruchsvollere Lösungen (etwa zur Verschlüsselung von Daten und Kommunikation), komplexe integrierten Lösungen (etwa zur Angriffsanalyse und -prävention) und Lösungen für mobile Endgeräte.

Der Anteil der Unternehmen, die die Umsetzung ihrer Maßnahmen oder Lösungen als nicht gut bewerten, liegt zwischen der Hälfte und drei Vierteln der Befragten. Selbst bei einfachen Maßnahmen, wie Passwortvorgaben, geben 57 Prozent der Unternehmen an, diese nicht gut umgesetzt zu haben (2015: 52 Prozent). Komplexere Maßnahmen und Lösungen, wie zum Beispiel biometrische Authentifizierung oder Security Information and Event Management (SIEM), werden von fast drei Vierteln der Unternehmen nicht gut umgesetzt.

grafik techconsult sicherheit problemfelder
Abbildung: 71 Prozent der Unternehmen bewerten ihre Umsetzung von Telefonie-Verschlüsselung im Bereich Mobile Security als nicht gut.

 

Der erste Bericht zur Studie, der verschiedene Themenkomplexe der technischen IT- und Informationssicherheit detailliert untersucht, steht ab sofort auf der auf der Webseite des Projekts unter www.security-bilanz.de zum Download bereit.

[1] Die Studie Security Bilanz Deutschland ermittelt jährlich den Status Quo der IT- und Informationssicherheit im Mittelstand und öffentlichen Verwaltungen. Die Basis bildet eine repräsentative Befragung mit über 500 Interviews in Unternehmen und Verwaltungen/Non-Profits mit 20 bis 1.999 Mitarbeitern. Darüber hinaus steht mit dem Heise Security Consulter ein Self-Check-Tool bereit, mit dem Unternehmen und Verwaltungen ihre Lage bewerten und mit den Studienergebnissen vergleichen können.

Security-Check zur Studie: Der Security Consulter
Zusätzlich zur Studie bietet der individuelle Security-Check Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal www.security-bilanz.de zur Verfügung.
Die Studie Security Bilanz Deutschland und der Security Consulter werden unterstützt von Bitdefender, DATEV eG, Hewlett Packard Enterprise, msg systems ag, Jakobsoftware, Net at Work, Micro Focus und TeleTrust.