IT-Sicherheit von Unternehmen oft mangelhaft

SicherheitSicherheitsmanagement
Warum Sicherheit am Perimeter ansetzen? Das macht heute nur noch wenig Sinn, meint Julian Totzek-Hallhuber, Solution Architekt, Veracode. (Bild: Shutterstock)

Langfristige strategische Planung bei IT-Sicherheit, Training und Sensibilisierung der Mitarbeiter, vertragliche Absicherung und organisatorische Fragen etwa bei Datenverlusten werden von vielen Unternehmen noch stiefmütterlich behandelt.

In den allermeisten Unternehmen besteht heute ein ausgeprägtes Bewusstsein für IT-Sicherheitsthemen. Anwender-Organisationen haben zwar technische Möglichkeiten für die Abwehr, doch damit ist das Thema meist nicht ausreichend abgedeckt, wie das Marktforschungsunternehmen techconsult jetzt in einer Studie zeigt.

Bereits 2014 hatten die Marktforscher eine Studie zur Lage der Sicherheit in mittelständischen Unternehmen angestrengt. Jetzt veröffentlichen die Analysten die zweite Auflage der Studie für das Folgejahr. Und die Mängel, die bereits 2014 zu beobachten waren, waren auch 2015 noch aktuelle. “Organisatorische, rechtliche und strategische Maßnahmen im Rahmen der IT- und Informationssicherheit werden bei der Mehrheit der Unternehmen unzureichend umgesetzt”, so das Fazit von techconsult.

So werden etwa bei zwei Dritteln aller Unternehmen standardisierte Verfahren für die IT-Sicherheit, die Sensibilisierung der Mitarbeiter oder die Umsetzung von Richtlinien nur unzureichend umgesetzt. Und gerade diese organisatorischen Themen sind es, die für Unternehmen besonders wichtig sind.

So müssen neben technischen Maßnahmen auch Mitarbeiter in den Prozess der IT- und Informationssicherheit integriert werden, weil das Fehlverhalten eines Einzelnen schnell das gesamte Unternehmen gefährden kann. Hier bieten sich beispielsweise Awareness-Kampagnen an, oder auch die Schulung an entsprechenden IT-Tools. “Dafür müssen Unternehmen aber bereit sein, den nötigen finanziellen und zeitlichen Aufwand für die detaillierte und umfangreiche Sensibilisierung der Mitarbeiter zum Thema IT-Security in Kauf zu nehmen”, ergänzen die Marktforscher von techconsult.

Auch in der Frage der rechtlichen Absicherung eines Unternehmens im Ernstfall seien bei mehr als 60 Prozent der Unternehmen Umsetzungsdefizite aufgefallen. Damit sind beispielsweise vertragsrechtliche Absicherung etwa im Fall vom Verlust unternehmensinterner Daten an unberechtigte Dritte. Durch diese Absicherung lassen sich bereits im Vorfeld Zuständigkeiten und Haftungsfragen klären, die rechtlichen Folgen und Konsequenzen gegebenenfalls abmildern können. Sind keine Maßnahmen definiert und der Ernstfall tritt ein, sind die Bemessung der Folgen und die möglichen rechtlichen Konsequenzen oftmals nicht mehr überschaubar und können sich für Unternehmen im schlimmsten Fall existenzbedrohend auswirken.

http://www.silicon.de/41617668/bitte-nicht-verzetteln-smart-services-und-industrie-4-0/
In rechtlichen und organisatorischen Fragen macht das Marktforschungsunternehmen techconsult noch erhebliche Mängel bei mittelständischen Unternehmen und bei Behörden aus. (Bild: techconsult)

Auch langfristig angelegte strategische Maßnahmen würden von fast zwei Drittel der Unternehmen nicht gut umgesetzt. So seien etwa bei weniger als einem Drittel der Unternehmen Prozesse festgelegt, die der regelmäßigen Überprüfung der eingesetzten technischen, organisatorischen und rechtlichen Maßnahmen dienen. Auch die Abstimmung über benötigte Ressourcen für den Bereich IT-Security oder auch die Integration von IT-Security-Maßnahmen in die Unternehmensprozesse wird nur bei wenigen Unternehmen erfolgreich umgesetzt.

Ein Fazit der Studie Security Bilanz Deutschland ist, dass knapp die Hälfte der befragten mittelständischen Unternehmen und öffentlichen Verwaltungen dringenden Handlungs-bedarf in Puncto IT- und Informationssicherheit aufweisen – zumal sich die Situation seit der Ersterhebung Anfang 2014 verschlechtert hat.

Wie ernst die Lage inzwischen gerade für deutsche und europäische Unternehmen ist, veranschaulicht Frank Kölmel, Vice President Central and Eastern Europe von FireEye. Immer mehr würden Angriffe “sehr gezielt auf einzelne Personen zugeschnitten und auf bestimmte Unternehmensdaten”. Kölmel erklärt auch, dass der moderne Hacker-Typus sehr viel Zeit, Geduld und auch entsprechende Ressourcen mitbringt, was bedeute, dass Unternehmen enorme Kraft aufwenden müssen, um sich gegen solche Angriffe zu wehren.

Auch scheinen solche Szenarien nicht aus der Luft gegriffen zu sein, wie Kölmel erklärt. So seien 97 Prozent der von FireEye auditierten Unternehmen bereits Angriffen ausgesetzt gewesen und im Schnitt seien diese Unternehmen etwa 200 Tage erfolgreichen Angriffen ausgesetzt gewesen. Problem sei aber häufig, dass Unternehmen entweder nicht bemerken, dass ein Angriff statt findet und dass nicht klar ist, was der Angreifer im Unternehmensnetz macht.

Einen solchen Angriff zu beenden dauere im Schnitt etwa 30 Tage und rund 75 Prozent dieser Angriffe werden nicht von den betroffenen Unternehmen selbst, sondern von externen Partnerunternehmen, einem Dienstleister oder vom BSI bemerkt. “Das ist etwas, was mich sehr nachdenklich macht, denn trotz fortschrittlicher Malware-Filter oder Sicherheitstechnologien fliegen die Unternehmen nach wie vor blind”, so Kölmel weiter.

techconsult gibt nun in einem Strategiepapier mittelständischen Unternehmen und Behörden einen Leitfaden, um in fünf Schritten IT- und Informationssicherheit langfristig zu verbessern.

Die Security Bilanz 2014 von techconsult deckt zahlreiche Mängel auf. (Bild: techconsult)
Die Security Bilanz 2014 von techconsult deckt zahlreiche Mängel auf. (Bild: techconsult)
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen