Threat Detection Effectiveness: Unternehmen geben sich selbst schlechte Noten

illu cc0 pixabay clkerfreevectorimages angry

illu cc0 pixabay

80 Prozent der untersuchten Firmen bezeichnen die Erkennungs- und Ermittlungsfähigkeiten der eigenen IT als unzureichend.

  • 90 Prozent meinen, Bedrohungen nicht schnell genug zu entdecken; 88 Prozent geben an, entdeckte Angriffe nicht zügig untersuchen zu können.
  • Nicht einmal die Hälfte der Firmen sammelt die Systemdaten, die für den Schutz von modernen IT-Infrastrukturen am wichtigsten sind (etwa aus Identity Management, Endpunkt-Kontrollen oder der Analyse von Datenpaketen).
  • Die meisten Unternehmen werten gesammelte Daten nicht aus – und beschränken dadurch die eigenen Aufklärungsfähigkeiten.
  • Viele Firmen investieren nach wie vor überwiegend in Prävention statt in Bedrohungserkennung; nur die wenigsten planen, dies in den kommenden zwölf Monaten zu ändern.

Unternehmen verlassen sich nach wie vor auf einen wahren Flickenteppich voneinander unabhängiger Sicherheitsinformationen und erreichen mit ihren Überwachungsprogrammen noch immer nicht die erwarteten Resultate. Das sind zwei der Schlüsselergebnisse einer Untersuchung zum Thema »Threat Detection Effectiveness« von RSA, der Sicherheitssparte von EMC.

Große Unzufriedenheit bei der Erkennung von Bedrohungen

Fast 80 Prozent der befragten Unternehmen sind unzufrieden mit ihrer Fähigkeit, Bedrohungen und Angriffe zu entdecken und zu untersuchen. So betrachten die meisten Befragten »Schnelligkeit« als wesentlich, um im Falle einer Cyberattacke Schäden und Verluste klein halten zu können. Doch genau diese erreichen nur wenige: 90 Prozent der Umfrageteilnehmer sehen ihre Organisation nicht in der Lage, Bedrohungen schnell zu entdecken. 88 Prozent räumen ein, entdeckte Bedrohungen nicht rasch untersuchen zu können. Diese Schwierigkeiten gehören zu den Hauptursachen dafür, dass Unternehmen immer wieder Angriffen zum Opfer fallen, bei denen Hacker erst in ein Netzwerk einbrechen und anschließend wochen- oder sogar monatelang darin verbleiben.

Anzeige

SIEM dominiert, komplementäre Werkzeuge fehlen

Bezüglich der eingesetzten Sicherheitstechnik äußerten sich die Befragten immerhin einigermaßen positiv – die meisten beurteilten die ihnen zur Verfügung stehenden Security-Lösungen als einigermaßen effektiv. So nutzen zwei Drittel der Befragten SIEM-Software (SIEM: Security Information and Event Management) und vertrauen dieser blind. Komplementäre Technologien wie Network Packet Capture, fortschrittliche Anti-Malware-Anwendungen oder Endpoint-Security-Tools nutzen dagegen nur wenige – obwohl diese Werkzeuge die Bedrohungserkennung und -untersuchung erheblich verbessern würden.

Kritische Sicherheitsdaten werden nicht erhoben …

Anzeige

Weniger als die Hälfte der befragten Unternehmen sammeln Daten über Datenströme und Netzwerkpakete – dabei können diese verlässliche Informationen über fortgeschrittene Attacken liefern. Nur 59 Prozent sammeln Endpunktdaten, mit denen sich kompromittierte Netzwerkzugangspunkte ermitteln ließen.

Interessant dabei: Die wenigen Firmen, die die entsprechenden Daten sammeln und analysieren, sehen sie als nützlicher für die Bedrohungsabwehr an als andere Organisationen. So bewerteten Befragungsteilnehmer, die Netzwerkpaketdaten auswerten, diese als bis zu 66 Prozent wertvoller als Vertreter der Vergleichsgruppe. Und Vertreter von Unternehmen, die Endpunktdaten auswerten, schrieben diesen 57 Prozent mehr Wert zu als andere.

… oder werden nicht miteinander verknüpft

Ein Viertel aller Befragten verknüpft sicherheitsrelevante Daten gar nicht und nur 21 Prozent stellen Daten über eine zentrale Konsole zur Verfügung. Lediglich 10 Prozent der Befragten gaben an, die Aktivitäten von Angreifern über verschiedene Datenquellen hinweg nachvollziehen zu können. Bei den übrigen herrscht dagegen meist eine Datenhaltung »in Silos« vor – und erschwert Untersuchungen ebenso wie das Nachvollziehen des Ausmaßes einmal entdeckter Angriffe.

Identitätsdaten und Verhaltensanalysen vorteilhaft nutzen

Eine vielversprechende Erkenntnis ist die steigende Wichtigkeit von Identitätsdaten, die dabei helfen, IT-Sicherheitsvorfälle zu erkennen und analysieren. Bisher sammeln nur etwas mehr als die Hälfte der befragten Unternehmen Daten von Identitäts- und Zugangssystemen – schreiben diesen jedoch 77 Prozent mehr Nutzen zu als diejenigen, die diese Informationen nicht sammeln. Mit Blick auf die Zukunft sind Verhaltensanalysen für das einfache Erkennen anormaler Aktivitäten die favorisierte geplante Investition: 33 Prozent der Befragten wollen diese Technologie in den nächsten 12 Monaten einführen.

»Die Resultate der Umfrage zeigen, dass viele Unternehmen nicht die notwendigen Schritte einleiten, um sich vor fortgeschrittenen Bedrohungen zu schützen – und in vielen Fällen nicht einmal planen, dies zu tun. Weder sammeln sie die richtigen Daten, noch integrieren sie die, die sie haben. Stattdessen verlassen sie sich lieber auf althergebrachte Präventionstechnologien. Dabei verlangt die Wirklichkeit eigentlich das Gegenteil, sprich: Das schnelle Beseitigen »blinder Flecken«, den konsequenten Einsatz von Schlüsseltechnologien und den Abschied von reinen Präventionsstrategien«, erklärt Ralf Kaltenbach, Director DACH und Eastern Europe bei RSA sowie Mitglied der EMC-Deutschland-Geschäftsführung.

[1] Die Studie wurde von RSA im Januar und Februar 2016 online durchgeführt. Von den gut 160 Unternehmen, die teilgenommen haben, beschäftigen 44 Prozent bis zu 1.000 Mitarbeiter, 31 Prozent bis zu 10.000 Mitarbeiter und 25 Prozent mehr als 10.000 Mitarbeiter. Die Befragten kamen aus 22 verschiedenen Industriebereichen. 58 Prozent davon stammen aus Amerika, 26 Prozent aus Europa und dem Nahen Osten und 15 Prozent aus dem Asiatisch-Pazifischen Raum und Japan.