Veraltete Sicherheitssysteme, mangelnde Kommunikation und begrenztes Sicherheitswissen

Eine neue Sicherheitsstudie offenbart erhebliche Mängel in der Kommunikation zwischen Sicherheitsverantwortlichen und Management. Außerdem herrscht große Unzufriedenheit mit den vorhandenen Security-Systemen [1]. Außerdem verfügten die Mitarbeiter der Unternehmen nur über begrenztes Sicherheitswissen. Nachfolgend sind die wichtigsten Ergebnisse der Untersuchung zusammengefasst.

 

Kommunikationsmängel zwischen Sicherheitsverantwortlichen und Führungskräften

 

  • 31 % der für Security zuständigen Teams sprechen nie mit dem Management über Cyber-Sicherheit;
  • Von denjenigen, die es doch tun, führen fast ein Viertel (23 %) solche Gespräche nur einmal im Jahr und weitere 19 % nur einmal pro Halbjahr. Lediglich 11 % sprechen vierteljährlich mit ihrem Management und gerade einmal 1 % tut dies wöchentlich.
  • Security-Teams wünschen sich komplette Aktualisierung der Sicherheits-Systeme:
  • 29 % der Studienteilnehmer würden die vorhandenen Security-Systeme ihrer Unternehmen komplett überarbeiten – wenn sie die nötigen Ressourcen und Möglichkeiten dazu hätten;
  • Mit 47 % ist fast die Hälfte der Befragten regelmäßig über den Schutz-Level enttäuscht, das erworbene Sicherheits-Lösungen am Ende tatsächlich bieten. Lediglich 12 % sind mit ihren Security-Systemen zufrieden;
  • 56 % der Studienteilnehmer glauben, dass ein Fall von Datendiebstahl im Unternehmen zu einem Wechsel des Sicherheitsanbieters führen würde;
  • Advanced Persistent Threats und Daten-Exfiltration werden von den Sicherheitsverantwortlichen als größte Bedrohungen gesehen;
  • 49 % der Befragten gaben an, in den nächsten zwölf Monaten signifikante Investitionen und Anpassungen für ihre Verteidigungsmaßnahmen zu planen.

 

Sicherheits-Know-how der Mitarbeiter wird zu wenig gefördert:

 

  • Nur 38 % der Befragten glauben, dass ihre Unternehmen ausreichend in Personal und Technologien investieren, um die avisierten Cyber-Security-Ziele zu erreichen;
  • 52 % der Unternehmen bieten keine entsprechenden Schulungen für ihre Mitarbeiter an;
  • Weniger als die Hälfte der befragten Sicherheitsverantwortlichen (42 %) haben im Rahmen ihrer derzeitigen Position einen Threat-Modelling-Prozess durchgeführt. Die große Mehrheit dieser Gruppe (94 %) fand dies für den Umgang mit Cyber-Risiken wichtig;
  • Unter den Ereignissen, die nach Ansicht der Studienteilnehmer das Management ihres Unternehmens dazu bringen würden, mehr Mittel für Security-Initiativen bereitzustellen, nehmen folgende Fälle die Spitzenplätze ein: Verlust von geistigem Eigentum (67 %), Diebstahl von Kundendaten (53 %) und Umsatzeinbußen durch Systemausfälle (49 %).

 

»Die globale Untersuchung des Ponemon Institute zeigt mangelnde Kommunikation, fehlendes Know-how und unzulängliche Systeme bei der Abwehr von Cyber-Bedrohungen. Das ermöglicht Kriminellen auf der ganzen Welt, Unternehmen erfolgreich zu attackieren«, sagt Michael Rudrich, Regional Director Central Europe & Eastern Europe bei Websense in München. »Es ist nicht überraschend, dass viele Sicherheitsverantwortliche von ihren Security-Lösungen enttäuscht sind. Sie nutzen häufig noch Altsysteme, die nicht in der Lage sind, die Ablaufkette moderner Datendiebstahl-Angriffe zu unterbrechen.«

___________________________________

[1] Für die aktuelle, von Websense in Auftrag gegebene Untersuchung »Roadblocks, Refresh, & Raising the Human Security IQ« hat das Ponemon Institute weltweit rund 5.000 Verantwortliche für IT-Sicherheit in 15 Ländern befragt, darunter England, Deutschland, Frankreich, Italien, die Niederlande, Schweden und die USA.

Der vollständige Report (in Englisch) kann nach einer Registrierung bei Websense heruntergeladen werden: https://www.websense.com/content/2014-ponemon-report-part-2.aspx?cmpid=prnr7.17.14

 

 

 

Weitere Artikel zu