Unternehmen nutzen veraltete Sicherheitsansätze

Das Risiko bei IT-Sicherheit für Unternehmen wächst stetig und die Angriffe werden immer gezielter, wie die Unternehmensberatung Pricewaterhouse Coopers in einer aktuellen weltweiten Studie feststellt. Viele Unternehmen scheinen da nicht Schritt halten zu können. Aber auch ein Blick auf längst bekannte Bedrohungen könne sich laut Kaspersky auzahlen.

Laut einer weltweiten Studie des Beratungsunternehmens PwC sind bei vielen Unternehmen heute überkommene Sicherheits-Maßnahmen installiert. Auch Kaspersky Labs kommt in einem Audit zu dem Ergebnis, dass viele Unternehmen nicht auf aktuellem Stand sind. Kaspersky.

“Mit anderen Worten: Die meisten Organisationen verteidigen sich aktuell gegen Bedrohungen von gestern, während ihre Angreifer die Schwachstellen von morgen ausnutzen”, sagt Derk Fischer, PwC-Experte für Informationssicherheit.

In der weltweiten Studie zeigt PwC, dass sich zwar die Risiken für die Informationssicherheit drastisch entwickelt haben. Allerdings würden die Sicherheitsstrategien der Unternehmen mit dieser Entwicklung nicht Schritt halten. Somit bieten Unternehmen bieten mehr Angriffsflächen.

Dies ist das Ergebnis der weltweiten globalen CyberCrime-Studie “Defending yesterday“. PwC hat dafür mehr als 9.600 IT- und Sicherheitsmanager sowie Geschäftsführer aus 115 Ländern befragt. Auch 388 deutsche Unternehmen kommen in der Untersuchung zu Wort. Die Studie ist kostenlos verfügbar.

Die Studie zeigt, dass hochspezialisierte Cyberkriminelle so genannte Perimeter-Schutzmechanismen umgehen können, um schwer zu entdeckende Attacken (Advanced Persistent Threats, APT) auszuüben. Auf der anderen Seite verarbeiten Unternehmen immer größere Datenvolumen und auch Cloud-Computing oder das Nutzen privater Geräte im Unternehmen (BYOD) liefere für die Angreifer neue Angriffsvektoren.

Im Durchschnitt sei laut der Studie die Zahl der Sicherheitsvorfälle in den vergangenen 12 Monaten um 25 Prozent gestiegen, von 2989 auf 3741. Hacker sind, so die Schätzungen der Befragten, dabei zu 32 Prozent für die Attacken verantwortlich, 14 Prozent vermuten Wettbewerber hinter den Angriffen auf ihre Daten, und 12 Prozent machen organisierte Kriminalität dafür verantwortlich. Nur vier Prozent vermuten, dass hinter Angriffen ausländische Staaten stehen.

Doch obwohl PwC von veralteten Schuztmaßnahmen ausgeht, wächst die Investitionsbereitschaft bei der IT-Sicherheit: So gibt ein Unternehmen im Jahr 2013 durchschnittlich 4,3 Millionen Dollar für IT-Sicherheit aus und damit rund 51 Prozent mehr als noch 2012. In dem Jahr gaben Unternehmen etwa 2,8 Millionen Dollar aus.

47 Prozent der Befragten mache laut Studie bereits von Cloud-Computing Gebrauch (SaaS, PaaS, IaaS). Und 59 Prozent dieser Cloud-Nutzer sagen, dass sich die Sicherheit durch den Einsatz dieser Technologien verbessert habe. Lediglich 18 Prozent der Unternehmen geben aber auch an, mit besonderen Maßnahmen die Cloud-Sicherheit zu verbessern, oder diese in die Security-Policy mitaufgenommen haben.

PwC-Sicherheitsspezialist Fischer schließt daraus: “Das zeigt, dass neue Technologien wie Cloud-Computing oder die mobile Anbindung der Mitarbeiter bereits implementiert werden, bevor sie abgesichert sind.“

Häufigkeit von Angriffen, bei denen ältere oder bekannte Lecks ausgenutzt werden. Quelle: Kaspersky Labs.
Häufigkeit von Angriffen, bei denen ältere oder bekannte Lecks ausgenutzt werden. Quelle: Kaspersky Labs.

Auch der Sicherheitsanbieter Kaspersky Lab, der zusammen mit dem Spezialisten für Vulnerability Management Outpost24 bei verschiedenen europäischen Unternehmen und öffentlichen Einrichtungen einen Sicherheitsaudit durchgeführt hat, bezieht sich auf die Aktualität von Bedrohungen. Hier zeigt sich aber, dass viele Unternehmen auch bekannte Sicherheitslecks nicht beheben. So könnten Hacker für große Schäden sorgen, ohne dabei auf Zero-Day-Exploits zurückgreifen zu müssen.

Im Schnitt, so die gemeinsame Untersuchung, dauert es zwischen 60 und 70 Tage bis Unternehmen ein Patch für eine Sicherheitslücke ausgerollt haben. Damit bleibt Hackern genug Zeit, sich via bekannten Sicherheitslecks Zugang zu Unternehmensnetzwerken zu verschaffen. Auch sogenannte Social-Engineering-Methoden sind bei Angreifern beliebt. Dabei verschaffen sie sich nicht direkt Zugang zum firmeninternen Netzwerk, sondern versuchen die Mitarbeiter zu manipulieren.

Üblicherweise werden kritische Sicherheitsschwachstellen innerhalb von drei Monaten beseitigt. Allerdings lassen sich 77 Prozent der Lecks, die nicht innerhalb dieses Zeitraums behoben werden, sogar noch nach über einem Jahr nachweisen. Bei dem Sicherheitsaudit seien sogar Schwachstellen in Unternehmenssystemen entdeckt worden, die in den letzten zehn Jahren nicht behoben wurden.

“Unternehmen verschwenden so viele wertvolle Ressourcen darauf, potenzielle Schwachstellen von Morgen aufzudecken. Dabei übersehen sie komplett, aktuelle und gar vergangene Sicherheitsbedrohungen zu beseitigen“, erklärt Martin Jartelius, Chief Security Officer bei Outpost24. “Firmen müssen verstehen, dass Cyberkriminelle die Kontrolle über weite Teile des Unternehmensnetzwerks erlangen können, auch wenn sie keine neuen Angriffsmethoden verwenden. Der Grund sind oft fehlende Sicherheitspraktiken, fehlerhaft konfigurierte Sicherheitsgeräte oder ungenügend geschulte Mitarbeiter. Unternehmen tun gut daran, integrierte Sicherheitslösungen zu implementieren und diese eng mit ihren Geschäftsprozessen zu verzahnen.”

David Jacobi, Sicherheitsexperte und Mitautor des Audits erklärt in einem Blog, dass die meisten Angreifer nicht auf die allerneuesten Technologien zurückgreifen, sondern dafür altbekannte Lecks verwenden. “Wir neigen seltsamerweise dazu, uns zwar sehr effektiv um neue Bedrohungen zu kümmern, dabei die bestehenden zu vergessen.”