Implementierung von IT-Sicherheitsstandards als größte HerausforderungStiefkind: Risiko- oder Bedrohungsanalyse
2. November 2018Fast jedes zweite befragte DACH-Unternehmen unterschätzt den Wert einer Risikoanalyse oder einer Vorfallseinschätzung zu Cyber-Angriffen unterschätzt – obwohl jedes zweite Unternehmen bereits Ziel eines Cyber-Angriffs war. Zu diesem Ergebnis kommt die von IDG durchgeführten Studie Managed Security 2018, die von Fireeye mit in Auftrag gegeben wurde.
Die Umfrage „Managed Security 2018“ wurde von IDG im Auftrag von FireEye, NTT Security, Rackspace, SecuInfra, Trend Micro, Capgemini, HP, SHE durchgeführt. Zu den wichtigsten Ergebnissen der Studie gehören:
- Fast die Hälfte der befragten Unternehmen hat bisher noch keine Bewertung vorgenommen: Zu wissen, welche „Assets“ besonders bedroht sind und wo potenzielle Schwachstellen liegen, ist für Unternehmen unerlässlich. Allerdings haben 46 Prozent der befragten Unternehmen in der Vergangenheit keine Analysen durchgeführt. Größere Unternehmen sind etwas aktiver bei der Durchführung von Assessments: Mehr als die Hälfte (57 Prozent) der Großunternehmen haben bereits eine Analyse durchgeführt, während nur 47 Prozent der kleineren Unternehmen eine solche Bewertung vorgenommen haben.
- Mehr als die Hälfte der befragten Unternehmen verfügt über begrenzte Kenntnisse der Bedrohungslandschaft: Ungefähr 61 Prozent der befragten Unternehmen nutzen keine Threat Intelligence Services oder Vorfallseinschätzungen. Dies bedeutet, dass sich Unternehmen der Risiken, denen sie ausgesetzt sind, nicht vollständig bewusst sind und nicht genau wissen, wie andere Unternehmen ins Visier genommen werden. Insbesondere kleinere Unternehmen scheinen gefährdet zu sein: Nur 10,3 Prozent der kleineren Unternehmen nutzen Threat Intelligence Services, während zumindest 17,5 Prozent der größeren Unternehmen auf diese Dienste vertrauen.
- IT-Manager sind nach wie vor die Hauptentscheidungsträger: Trotz des wahrnehmbaren Trends, dass Entscheidungen zur Auslagerung von IT-Services von Entscheidern außerhalb der IT, wie zum Beispiel vom CIO, Chief Security Officer oder Geschäftsführer, getroffen werden, übernimmt in fast der Hälfte (46 Prozent) der Fälle der IT-Manager weiterhin die Leitung. Noch überraschender: Bei strategischen Entscheidungen zur IT-Sicherheit – einschließlich Managed Services – treffen IT-Manager in 80 Prozent der Fälle die Entscheidungen. Nur in 36 Prozent der Fälle ist der Chief Information Officer der Entscheidungsträger. Der CFO ist noch weniger involviert: Nur in 15 Prozent der befragten Unternehmen hat der CFO das letzte Wort, meist in kleineren Unternehmen mit weniger als 500 Mitarbeitern.
- Mehr als jedes zweite befragte Unternehmen war bereits Ziel eines Cyber-Angriffs: Rund 58 Prozent der befragten deutschen Unternehmen geben an, dass sie bereits Ziel eines Hackerangriffs waren. Vor allem größere Unternehmen stehen im Fokus von Cyber-Angriffen: 41 Prozent führen an, dass sie bereits mehrfach von Hackern angegriffen wurden. Von den Unternehmen mit weniger als 500 Mitarbeitern verzeichnete fast ein Viertel (24 Prozent) mehrfache Angriffe. Es ist jedoch davon auszugehen, dass einige der Angriffe nicht entdeckt wurden. Die Umfrage bekräftigt, dass Cyber-Angriffe schwerwiegende Auswirkungen haben können: In 38 Prozent der Fälle führten solche Angriffe zu massiven Störungen der Arbeitsprozesse.
- Die Implementierung von IT-Sicherheitsstandards ist die größte Herausforderung: Fast jedes zweite befragte Unternehmen (46 Prozent) findet, dass die Umsetzung eines hohen Sicherheitsniveaus in der IT seine größte Herausforderung ist. Komplexere Cyber-Angriffe in Verbindung mit verstärkten Anstrengungen zur Umsetzung von Sicherheitsmaßnahmen stellen Unternehmen vor wachsende Herausforderungen. Insbesondere führende IT-Manager sind sich dieser Herausforderung bewusst: Vor allem CIOs, CTOs und IT-Sicherheitsmanager sehen dies so (55 Prozent).
- Cyber-Angriffe werden immer komplexer: Für mehr als die Hälfte (51 Prozent) der befragten Unternehmen ist die größte technische Herausforderung die wachsende Komplexität von Cyber-Angriffen. Das ist die Sichtweise des Managements (50 Prozent), IT-Abteilungsleitern (55 Prozent) und IT-Spezialisten in IT-Abteilungen (60 Prozent) gleichermaßen. CIOs und Technologieleiter sind zuversichtlicher, die technischen Herausforderungen anzugehen: Nur 40 Prozent der CIOs und technischen Leiter sind dieser Meinung.
„Dass viele Unternehmen keine Risiko- oder Bedrohungsanalyse durchgeführt haben, ist Grund zur Besorgnis, da dies ein elementarer Bestandteil jeder Sicherheitsstrategie sein sollte“, sagte Mike Hart, VP Central Europe bei FireEye. „Unternehmen sollten auch Methoden wie Penetrationstests in Betracht ziehen, bei denen ein Dritter die Abwehrsysteme eines Unternehmens testet, bevor er einen Bericht zur Verfügung stellt, der etwaige Schwachstellen aufzeigt. Es ist gefährlich, diese Außenperspektive nicht zu haben, damit die Sicherheit auch nachhaltig verbessert werden kann.“(rhh)
Hier geht es zu FireEye