Categories: Sicherheit

IT-Sicherheit in Deutschlands Unternehmen längst nicht perfekt

Um die IT-Sicherheit in deutschen Unternehmen steht es nach wie vor nicht zum Besten. Das bestätigt eine im Juni 2018 von IDC durchgeführte Studie, bei der 230 deutsche Organisationen über 20 Mitarbeiter branchenübergreifend mittels eines strukturierten Fragebogens zu Themen rund um die organisationsinterne IT-Sicherheitsstrategie und -praxis befragt wurden. 58 Prozent der Unternehmen haben zwischen 20 und 1.000 Mitarbeitern, 42 Prozent haben mehr als 1.000 Beschäftigte.

Dabei zeigte sich, dass Unternehmen und andere Organisationen weiterhin massiv in ihrer Sicherheit bedroht werden: 67 Prozent von ihnen waren in den Monaten vor der Befragung von Sicherheitsvorfällen betroffen. Wichtigste Angriffsziele waren mit 34 Prozent PCs und Notebooks, danach folgten Netzwerke (31 Prozent) sowie Smartphones und Tablets (30 Prozent). Das heißt allerdings nicht, dass andere Systeme und Einrichtungen nicht angegriffen würden. 29 Prozent der Befragten verzeichneten Sicherheitsvorfälle, von denen das Rechenzentrum selbst und 28 Prozent solche, von denen Server betroffen waren. Auch Drucker, Sensoren und IoT-Implementierungen wurden zur Zielscheibe. Letztlich ist jedes Element mit einer IP-Adresse und damit auch jeder Mitarbeiter angreifbar.

Ein besonders hohes Risiko sind nach wie vor die Anwender. Häufig sind sie sich der Sicherheitsrelevanz ihres Verhaltens ganz oder partiell nicht bewusst oder sie verhalten sich falsch – etwa, wenn sie Phishing-Mails erhalten, die nach einer bewährten Faustregel immerhin von fünf bis zehn Prozent der Anwender angeklickt werden. Andere anwenderbezogene Risikoquellen sind Software-Downloads, Apps und Geräteverluste. Immerhin 37 Prozent der Befragten nennen das Fehlverhalten der Anwender als wichtigstes Sicherheitsrisiko. Gleich danach kommen schlecht gesicherte Endpoints (34 Prozent). Erst auf Platz drei folgen Angriffe von außen.

Noch immer dominiert eindeutig ein taktisches Investitionsverhalten, das auf aktuell Bedrohungssituationen oder Attacken mit dem Einkauf von Punktlösungen reagiert (Grafik: IDC).

Dass es immer komplexer wird, Sicherheit herzustellen, hat mit verschiedenen Faktoren zu tun, in deren Zentrum die digitale Transformation steht. Mit ihr kommen automatisierte Prozesse, ausgedehnte überbetriebliche Ökosysteme mit Partnern, Kunden und Lieferanten und infolgedessen umfassend vernetzte IP-basierte Systeme aller Art. Dazu gesellen sich vernetzungs- und datenintensive IT-Konzepte wie Cloud und Virtualisierung, Internet der Dinge und der Aufbau neuartiger Applikationen aus durch offene APIs verbundenen Mikroservices. Diese neue IT-Welt lässt sich mit punktuellen Lösungen nicht mehr ausreichend vor externen Angriffen und internem Fehlverhalten oder Unwissen schützen.

Weitere herausfordernde Faktoren sind steigende gesetzliche und regulatorische Anforderungen, in Deutschland beispielsweise durch die EU-DSGVO (EU-Datenschutzgrundverordnung), aber auch durch branchenspezifische Compliance-Regelwerke oder als verpflichtend betrachtete Zertifizierungen. Schließlich macht der Fachkräftemangel es Unternehmen schwer, ein schlagkräftiges und strategisch handlungsfähiges IT-Security-Team mit längerfristiger Perspektive aufzubauen.

Stückwerk dominiert über strategische, holistische Ansätze

Zur Verbesserung der Sicherheitslage wären holistische, strategische Ansätze erforderlich. Das bestätigt auch Hans-Peter Bauer, Vice President Central & Northern Europe beim auf ganzheitliche IT-Sicherheit spezialisierten Anbieter McAfee. „Es gilt angesichts der Komplexität der IT und der wachsenden Sicherheitsrisiken, den rein reaktiven Sicherheitsansatz abzuschütteln. Wir brauchen Automatisierung, Praktivität und Echtzeit-Reaktionsfähigkeit.“

Doch derzeit verfügen nur 58 Prozent der an der Untersuchung teilnehmenden Organisationen über ein zentrales Konzept zur Informationssicherheit. Immerhin ein gutes Drittel von ihnen verlässt sich auch heute auf Konzepte zum Schutz einzelner Anwendungen und Systeme. Sechs Prozent konnten über das Sicherheitskonzept ihres Unternehmens gar keine Aussage treffen.

Wie wenig sich strategische Ansätze bislang gegen ein punktuell-taktisches Vorgehen durchsetzen konnte, belegen die Daten der IDC-Studie zum Investitionsverhalten. Beim taktischen Investment in IT-Sicherheitslösungen wird vor allem nach Angriffen oder bei akuten Gefahrenlagen in die jeweils passenden punktuellen Lösungen investiert. Eine strategische Herangehensweise betrachtet IT-Security dagegen als ganzheitlichen Prozess mit ständigem Innovationsbedarf, für den auch entsprechende Mittel in Form regulärer Budgets bereitgestellt werden müssen. Taktisch oder überwiegend taktisch investieren 40 Prozent der befragten Organisationen. Nur 3 Prozent der Befragten gaben an, grundsätzlich strategisch zu investieren, 16 Prozent investieren überwiegend strategisch und bei konkretem Bedarf taktisch, die Übrigen bevorzugen eine Mischung aus beiden Konzepten.

Auch bei der angesichts der Komplexität und Vielfalt des Gesamtumfeldes notwendigen Automatisierung der Security-Prozesse bleibt noch viel zu tun. 80 Prozent haben mit diesem Schritt begonnen, allerdings häufig nur punktuell. Umfassend automatisiert hat ihre IT-Security-Abläufe weniger als die Hälfte der befragten Organisationen. Dabei betont IDC ausdrücklich, wie wichtig Automatisierung und Integration im Bereich IT-Security in den nächsten Jahren werden. Automatisierung hilft laut IDC, Prozessketten zu schließen, Security-Silos aufzulösen, Abläufe zu beschleunigen und die Transparenz zu erhöhen.

Teil 2 dieser Artikelserie, der in in den nächsten Tagen erscheint, fasst fünf wichtige Ratschläge, die sich für IDC aus den Befunden zur IT-Sicherheit in Deutschland ergeben, zusammen. Sie zeigen einen Weg auf, um zu einem ganzheitlichen und proaktiven IT-Sicherheitsansatz für die eigene Organisation zu kommen.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

12 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

13 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago