Weltweites Vertrauen in die Cybersicherheit fällt auf 70 % – Gesamtnote nur noch 3-

screen-c-tenable-cybersecurity-assurance-report-countries

  • Die zweite jährliche Befragung von Sicherheitsprofis ergab, dass zwölf Prozent weniger als 2016 sicher sind, Cyberrisiken richtig einordnen zu können.
  • Deutschland liegt deutlich unter dem Durchschnitt und verliert vor allem im Bereich »Risk Assessment«.

Die »Global Cybersecurity Assurance Report Card« [1] fragte 700 IT-Sicherheitspraktikern aus neun Ländern und innerhalb sieben vertikaler Branchen ab. Ziel war es, einen globalen Indexwert zu errechnen, der widerspiegelt, ob die weltweite Cyberabwehr die Erwartungen der Experten erfüllen kann.

Laut der diesjährigen Erhebung von Tenable Network Security, fällt das weltweite Vertrauen in die Cyber Security um insgesamt sechs Prozentpunkte. Sie erreicht nun einen Gesamtwert von 70 %, was einer »3-« [2] entspricht.

Der generelle Vertrauensverlust ist das Resultat eines Rückgangs von 12 Prozentpunkten im »2017 Risk Assessment Index«. Der Index erfasst die Möglichkeiten der Befragten, IT-Sicherheitsrisiken bei elf entscheidenden Komponenten der Unternehmens-IT einzuschätzen.

Besorgniserregende Bedrohungslandschaft

In zwei aufeinanderfolgenden Jahren nannten die Fachleute die »besorgniserregende Bedrohungslandschaft« als die größte, einzelne Herausforderung, mit denen IT Security-Experten heute konfrontiert sind. Direkt danach folgt die »geringe Sicherheitssensibilität unter Mitarbeitern« und »mangelnder Einblick in Netzwerke (BYOD, Shadow-IT)«.

»Die heutigen Netzwerke verändern sich kontinuierlich, durch mobile Endgeräte, Cloud, IoT, Web-Applikationen, Container, virtuelle Maschinen. Unsere Daten weisen darauf hin, dass viele Unternehmen nicht genügend Einblicke gewinnen, um mit ihrer Sicherheitssituation zufrieden zu sein«, erklärt Cris Thomas, Strategist bei Tenable Network Security. »Es ist offensichtlich, dass neuere Technologien wie DevOps und Container zu einer schlechteren Gesamtnote beitragen. Dennoch müssen nicht nur diese beiden Aspekte, sondern das Gesamtrepertoire verbessert werden.«

Ergebnisse weltweit 2017

  • Die Wolken werden dunkler – Die Cloud als Software-as-a-Service (SaaS) und Infrastructure-as-a-Service (IaaS) waren zwei der am schlechtesten eingestuften Risk-Assessment-Bereiche im Report 2016. Für die Befragung 2017 wurden SaaS und IaaS mit Platform-as-a-Service (PaaS) zusammengefasst. Die neue Kategorie »Cloud Environment« erzielte 60 % (ausreichend). Das ist ein Rückgang von sieben Prozent im Vergleich mit den SaaS- und IaaS-Zahlen im vergangenen Jahr.
  • Der mobile Sumpf – Neben IaaS und SaaS waren mobile Endgeräte im letztjährigen Report eine der größten Schwächen von Enterprise-Security. In diesem Jahr sinkt der Wert für Risk Assessment mobiler Endgeräte um acht Prozentpunkte, von 65 % (ausreichend) (2016), auf 57 % (2017).
  • Neue Herausforderungen kommen – Zwei neue IT-Komponenten wurden im GCARC 2017 eingeführt – DevOps-Umgebungen und Container-Plattformen.

DevOps verändern durch größere Vereinheitlichung und Automatisierung die Art und Weise, wie Software-Teams zusammenarbeiten. Jedoch bringen sie auch neue Sicherheitsbedenken mit sich. Lediglich 57 % der Befragten gaben an, während eines DevOps-Prozesses Sicherheitsfragen richtig einschätzen zu können.

Gleichzeitig werden Container-Technologien wie Docker deutlich häufiger eingesetzt, weil Unternehmen Innovationszyklen und Markteinführung beschleunigen wollen. Allerdings gaben lediglich 52 % der Befragten an, dass ihre Unternehmen ausreichend geschult sind, um Schwachstellen innerhalb ihrer Container-Umgebung zu erkennen.

 

Überblick Cybersecurity Assurance Report Cards nach Land 2017

  1. Indien: Gut (84 %)
  2. USA: Gut (78 %)
  3. Kanada: Befriedigend (75 %)
  4. Frankreich: Befriedigend (74 %)
  5. Australien: Befriedigend (71 %)
  6. Großbritannien: Ausreichend (66 %)
  7. Singapur: Ausreichend (64 %)
  8. Deutschland: Ausreichend (62 %)
  9. Japan: Nicht ausreichend (48 %)

 

Überblick Cybersecurity Assurance Report Cards nach Branche 2017

  1. Einzelhandel: Befriedigend (76 %)
  2. Finanzsektor: Befriedigend (72 %)
  3. Produktion: Befriedigend (72 %)
  4. Telekommunikation & Technologie: Befriedigend (70 %)
  5. Gesundheitswesen: Ausreichend (65 %)
  6. Bildungswesen: Ausreichend (64 %)
  7. Öffentliche Verwaltung: Ausreichend (63 %)

 

Ergebnisse der GCARC 2017 für Deutschland

Deutsche Sicherheitsexperten bewerten vor allem das »Risk Assessment«, also die Risiko-Beurteilung, durchgängig negativ: Die Gesamtnote ist eine »6«, was sich auch in den Einzelergebnissen widerspiegelt. Egal, ob es um Cloud-Umgebungen, DevOps-Umgebungen, Web-Applikationen, stationäre PCs oder Mobilgeräte geht, die Ergebnisse schwanken zwischen 33 % und 56 %. Das entspricht einem »ungenügend«. Besser sehen die Ergebnisse bei der »Security Assurance« aus: Schlechteste Note ist hier eine »4-«, beim Thema »Zusammenführen von Risikoerkenntnissen«. Dafür erhalten Bereiche wie die »Effektivitätsmessung der Sicherheitsmaßnahmen«, »Sicherheit in Einklang mit Geschäftszielen« oder der »Austausch mit der Geschäftsleitung« eine »2«, also ein »gut«.

Dennoch erfuhr Deutschland insgesamt den größten Einbruch aller Ländern und Branchen – »Risk Assessment« verlor 25 %, wohingegen »Security Assurance« immerhin um fünf Prozentpunkt zulegte. Deutschland liegt mit einem Durchschnittswert von nun 62 % deutlich unter dem globalen Durchschnitt.

Durchgeführt wurde die 2016 Global Cybersecurity Assurance Report Card durch die CyberEdge Group, ein führendes Unternehmen für Forschung und Marketing, das für die größten Anbieter der Security-Branche arbeitet. Der Bericht kann unter folgender Adresse eingesehen und heruntergeladen werden: Global Cybersecurity Assurance Report Card 2017.

[1] Über die Global Cybersecurity Assurance Report Card 2017
Tenable befragte im September 2016 700 IT-Sicherheitsexperten aus Unternehmen mit mehr als 1000 Mitarbeitern. Die Befragten beantworteten online einen zwölf Punkte umfassenden Fragebogen anhand einer Fünf-Punkte-Skala. Die folgenden Indizes konnten abgeleitet werden, indem die beiden meistgenannten Wertungen (etwa stimme sehr zu + stimme eher zu) zusammengeführt und ein Mittelwert gebildet wurde: Der »Risk-Assessment-Index« misst die Möglichkeiten der Unternehmen IT-Sicherheitsrisiken bei zehn entscheidenden Komponenten zu erfassen. Der »Security-Assurance-Index« hingegen erfasste, wie stark Unternehmen Bedrohungen durch Investitionen in IT-Sicherheit eindämmen können und inwieweit die Geschäftsführung daran Interesse zeigt. Die Auswertungen der verschiedenen Indizes wurden für den Gesamtreport gemittelt. Mehr Informationen unter: tenable.com/2017-global-cybersecurity-assurance-report-card.

Cybersicherheit: Vertrauen stärken und staatliche Überwachung einschränken

SSL-Zertifikate: Wert des Sicherheitskennzeichens hängt vom Vertrauen in Zertifizierer ab

IT-Sicherheitstrends 2017: Auf diese Bedrohungen müssen sich Unternehmen einstellen

Sicherheit 2017: Blick in die Cybercrime-Glaskugel

Großes Vertrauen in mobile Sicherheit kann Weg zur Zutrittskontrolle per Smartphone ebnen

IT-Sicherheitstrends 2017: Datenschutz ist für die Wirtschaft am wichtigsten

Neues Leistungszentrum für Cybersicherheit und Datenschutz

Prognosen zur Zukunft der Cybersicherheit

Datenschutz: Ist ein deutscher Serverstandort allein vertrauensbildend?

Cybersicherheit: alarmierender Fachkräftemangel

Country Report Deutschland: Sicherheitsrisiko eine Frage des Betriebssystems

Sicherheit Made in Germany – Der Vorteil hochwertiger Entwicklung in Deutschland

IT-Sicherheitstrends 2017: Datenschutz ist für die Wirtschaft am wichtigsten

Internet der Dinge erfordert erhöhte Sicherheit

Cyberangriffe unter falscher Flagge täuschen Opfer und Sicherheitsteams

Weitere Artikel zu