Nur noch 45 Prozent der Unternehmen weltweit vertrauen ihren eigenen Sicherheitsmaßnahmen. Die Ursachen sind dabei viel vielschichtig. Silicon.de-Blogger Volker Marschner erklärt, wie es zu dieser Entwicklung kommt.
Die IT-Angriffe auf Unternehmen in Deutschland werden immer ausgefeilter. Dies zeigt unter anderem der Bericht zur Lage der IT-Sicherheit in Deutschland 2015 des BSI. So gab es zahlreiche Sicherheitsvorfälle im vergangenen Jahr, die eine zunehmende Professionalisierung der Angriffsmittel und -methoden verdeutlichen. Dazu gehören vor allem Advanced Persistent Threats (APTs), die zum Beispiel auf den Deutschen Bundestag und verschiedene Unternehmen abzielten.
Entsprechend gilt die Gefährdungslage in Deutschland gemäß dem Bericht nach wie vor als hoch. Denn trotz der bekannt gewordenen Angriffe liegt die Anzahl der Schwachstellen in IT-Systemen weiterhin auf einem hohen Niveau. Zusätzlich gibt es Herausforderungen in verschiedenen Bereichen wie Nutzerverhalten, Internet-Protokolle, mobile Kommunikation, Apps, Spam, Botnetze, Identitätsdiebstahl oder die Sicherheit von industriellen Steueranlagen im Zuge von Industrie 4.0.
Doch was ist die Ursache für diese verschiedenen Symptome? Das BSI nennt hier unter anderem unzureichendes Patch-Management, veraltete Software, unterschätzte Gefahren durch Social Engineering und Manipulationen sowie mangelhafte Entdeckung, Überwachung und Bearbeitung von Vorfällen. Zwar erkennt auch die Studie die komplexen Zusammenhänge zwischen diesen Themen, doch das Problem geht noch tiefer.
Die Hauptursache liegt wohl darin, dass die IT-Investitionen laut Gartner im vergangenen Jahr stark gesunken sind, um knapp 6 Prozent. Dies bedeutet den stärksten Rückgang seit den Untersuchungen der Marktforscher. Dies führt jedoch zu einem noch größeren Risiko durch veraltete Systeme und Lösungen, für die es teilweise sogar keinen Herstellersupport mehr gibt.
So verwundert es nicht, dass laut unserem aktuellen Annual Security Report nur 45 Prozent der Unternehmen weltweit ihren eigenen Sicherheitsmaßnahmen noch vertrauen. Gleichzeitig sagen 92 Prozent, dass Aufsichtsbehörden und Investoren von ihnen erwarten, die Cybersecurity-Risiken im Griff zu haben. Entsprechend möchten sie ihre Sicherheitsmaßnahmen verstärken, insbesondere im Zuge der Digitalisierung von Prozessen. Doch ohne angemessenes Budget ist dies nicht möglich.
Die Studie ergab, dass von 2014 bis 2015 nach eigener Aussage 10 Prozent weniger Unternehmen eine aktuelle Sicherheits-Infrastruktur besitzen. 92 Prozent der mit dem Internet vernetzten Geräte weisen bekannte Sicherheitslücken auf. Und 31 Prozent aller untersuchten Geräte werden nicht mehr vom Hersteller unterstützt oder vom Anbieter gewartet.
Aufgrund der inzwischen fast üblichen Mangelverwaltung der IT-Sicherheit entstehen neben diesen “großen Baustellen” noch zahlreiche kleine Probleme, die jedoch nicht zu unterschätzen sind. Zum Beispiel sehen Security-Teams gefährliche Browser-Erweiterungen häufig als geringe Bedrohung an, daher sind mehr als 85 Prozent der Unternehmen davon betroffen. Jedoch bilden sie eine mögliche Ursache für große Datenlecks.
Fast 92 Prozent der bekannten Malware nutzt das Domain Name System als wichtige Funktion, aber die DNS-Experten tauschen sich nur selten mit den Sicherheitskollegen im eigenen Unternehmen aus, um die Gefahr zu bannen. Kein Wunder, dass die Zeit bis zur Entdeckung eines Cyberverbrechens im Durchschnitt zwischen 100 und 200 Tagen dauert – das ist viel zu lange.
Da die Budgetlage nach Aussage von Gartner auch im nächsten Jahr nicht deutlich besser wird, bleibt den meisten Unternehmen wohl nur eine Alternative, um ihre Sicherheitsvorkehrungen zu verbessern: Outsourcing. Auch aufgrund des Fachkräftemangels wird der Wert entsprechender Dienste zunehmend erkannt. So nutzen bereits 23 Prozent Security-Services wie Beratung, Überprüfungen oder Abwehr im Vergleich zu 14 Prozent im Vorjahr.
Mit einem umfassenden Ansatz, der vor, während und nach einer Attacke wirkt, sind Unternehmen dann optimal geschützt – zu vertretbaren Kosten. Und damit können sich sowohl die Lage der IT-Sicherheit als auch das Vertrauen der Unternehmen in ihre eigenen Security-Maßnahmen wieder deutlich verbessern.
