IDC-Studie: 67 Prozent der Unternehmen in Deutschland von IT Sicherheitsvorfällen betroffen | Über IDC | IDC Germany

Im Zuge der digitalen Transformation hat sich auch die Sicherheitslage weiter verschärft. Unternehmen in Deutschland können oder wollen offenbar auf diese Situation nicht angemessen reagieren. Somit überrascht es nicht, dass mehr als zwei Drittel der befragten Unternehmen berichten, in den letzten 24 Monaten erfolgreich attackiert worden zu sein. Die bisherigen Aktivitäten reichen ganz augenscheinlich nicht aus:

  • Lediglich 58 Prozent der Unternehmen verfügen über ein zentrales Konzept für Informationssicherheit, das alle Systeme und Geräte umfasst.
  • Zwar haben insgesamt 80 Prozent damit begonnen, ihre IT-Security-Abläufe zu automatisieren, dies allerdings nur punktuell und damit unzureichend.
  • Weniger als 50 Prozent setzen auf Integration und Standardisierung. Security-Silos bleiben damit weiterhin bestehen.

Zwar wächst insgesamt das Verständnis über den Nutzen moderner ganzheitlicher IT-Security, die Umsetzung lässt allerdings zu wünschen übrig. Das sind die wesentlichen Resultate der neuen IDC Studie „IT-Security-Trends in Deutschland 2018“.

Die digitale Transformation zwingt viele Unternehmen, ihre IT-Security neu auszurichten. Eine umfassende Prozessautomatisierung und das Agieren in Ökosystemen mit Partnern, Lieferanten und Kunden gehen mit einer umfassenden Vernetzung von IT und IP-basierten Geräten Hand in Hand. Zudem bieten Cloud Computing, das Internet der Dinge (IoT), Virtualisierung, offene Schnittstellen (APIs) und IT-Systeme Angriffspunkte, die intelligent abgesichert werden müssen. Cyberattacken werden immer ausgefeilter und lassen sich mit vorhanden Schutzmechanismen immer schlechter parieren. Gesetzliche Vorgaben, Regelwerke und Compliance-Anforderungen und der damit verbundene Datenschutz – Stichwort: EU-DSGVO – sowie die Absicherung der IT-Systeme, die in kritischen Infrastrukturen (Kritis) betrieben werden zwingen ebenfalls zu neuen Investitionen.

IDC hat im Juni 2018 in Deutschland IT-Entscheider aus 230 Organisationen mit mehr als 20 Mitarbeitern zum Thema IT-Security befragt.

Verschärfte Bedrohungslage: Jede IP-Adresse ist ein potenzielles Angriffsziel
67 Prozent der befragten Unternehmen geben an, in den letzten Monaten Sicherheitsvorfälle verzeichnet zu haben. Am häufigsten waren PC und Notebooks (34 Prozent), Netzwerke (31 Prozent) sowie Smartphones und Tablets (30 Prozent) betroffen. Das ist insofern kritisch, da sie als Einfallstor in das Rechenzentrum genutzt werden. Aber auch die Rechenzentren selbst (29 Prozent) und Server (28 Prozent) waren ebenso wie Drucker, Sensoren und IoT – wenn auch in geringerem Maße - betroffen. „Diese Zahlen unterstreichen, wie komplex und vielschichtig Cyberrisiken sind und dass sich die Unternehmen wesentlich stärker und vor allem besser absichern müssen. Im Vergleich mit einer IDC Studie zum Thema Endpoint Security aus dem vergangenen Jahr lässt sich ablesen, dass sich in den letzten Monaten viel zu wenig in den Unternehmen getan hat und ambitionierte Pläne nicht umgesetzt wurden. In diesem Punkt sehen wir nach wie vor die Anbieter in der Pflicht, weiterhin Aufklärungsarbeit zu leisten“, sagt Matthias Zacher, Manager Research und Consulting bei IDC und Projektleiter der Studie. „Jede IP-Adresse bietet eine Angriffsfläche, die minimiert werden muss und ausnahmslos jeder Mitarbeiter ist ein potentielles Angriffsziel. Das gilt für den Pförtner genauso wie für den Vorstandsvorsitzenden“.

Der Anwender ist und bleibt der größte Risikofaktor
Viele Organisationen haben es immer noch nicht geschafft, das Sicherheitsrisiko durch die eigenen Mitarbeiter in den Griff zu bekommen, es rangiert nach wie vor auf Platz 1 der größten Risiken, gefolgt von unzureichend gesicherten Endpoints (37 Prozent) und Angriffen von Cyber-Kriminellen. Das Fehlverhalten der Anwender sowie mangelnde Awareness – wie etwa eine Reaktion auf Phishing-Mails, Downloads unsicherer Apps oder Geräteverluste - haben auch in den letzten Monaten wieder Tür und Tor zu Firmendaten für Externe geöffnet.

Hier zeigt sich wieder einmal deutlich, dass das bloße Aufstellen von Richtlinien oder Verboten zu kurz greift und bei den Anwendern einfach nicht ankommt. Die Firmen müssen dringend neue, kreativere Wege gehen, um alle Mitarbeiter für den sicheren Umgang mit mobilen Endgeräten, Apps und Daten zu sensibilisieren. An Ideen mangelt es hier nicht, so wären etwa Live-Hacks, gefakte Phishing Mails und Penetration Tests ebenso wie eine Incentivierung für besonders auf Sicherheit bedachte Mitarbeiter erfolgversprechende Maßnahmen.

Abbildung 1: Top 3 Security-Risiken für Unternehmen in Deutschland

pm03_2018_abbilund01

N = 230 IT- und Security-Verantwortliche, gekürzte Darstellung
Quelle: IDC, 2018

Ohne ganzheitliche Konzepte zur Informationssicherheit lassen sich die Lücken nicht schließen
IT-Security-Lösungen, -Technologien und -Services entfalten ihre volle Wirkung nur innerhalb umfassender Konzepte. Erschreckend: Lediglich 58 Prozent der Unternehmen verfügen über ein zentrales Konzept für Informationssicherheit, das alle Systeme und Geräte umfasst.

IDC bewertet positiv, dass sich 82 Prozent der Unternehmen an IT-Security-Best-Practice orientieren und offenbar als ein probates Mittel zur Verbesserung der Security-Prozesse betrachten. Auch hier gilt es, diese Frameworks in so vielen Security-Domains wie möglich umzusetzen – was für die IT allerdings mit einem hohen Aufwand verbunden sein kann.

Automatisierung ermöglicht besser abgesicherte Unternehmen
Weniger als der Hälfte der befragten Unternehmen ist der Schritt der Neubewertung ihrer IT-Security vom bisher dominierenden „Prevent and Protect“, d. h. einer eher reaktiv orientierten Sicherheitslandschaft hin zu „Detect and Respond“, mit dem Ziel einer kontinuierlichen Überwachung in Echtzeit und entsprechenden Maßnahmen als Reaktion auf Auffälligkeiten im System bislang gelungen. Nicht einmal 50 Prozent der Unternehmen haben ihre Security-Prozesse umfassend automatisiert. Das Potenzial beschleunigter Abläufe, einer höheren Transparenz, der Verringerung manueller Fehler sowie der Entlastung der Mitarbeiter bleibt somit weitestgehend ungenutzt

Security-Silos bremsen ganzheitliche Konzepte aus
Die klassischen Security-Silos Endpoint-, Messaging-, Network- und Web-Security können keinen ausreichenden Schutz mehr bieten. Wir sehen nicht selten über 50 bis 80 unterschiedliche Security-Lösungen in einem Unternehmen im Einsatz, entweder als on-premises Software-Lösung, Appliance, Security-as-a-Service oder Managed Security Service. Die Mehrheit der befragten Unternehmen – konkret sind es zwei Drittel - betrachten die Integration für bessere Schutz- und Abwehrfähigkeiten als erforderlich und haben immerhin erkannt, dass ein integrativer Ansatz besser als die Summe aller Security-Lösungen schützt. In der Bewertung der verschiedenen Security-Prozessthemen steht die Integration an erster Stelle, dies unterstreicht noch einmal die Relevanz für die Anwender. Dennoch hapert es auch hier mit der Umsetzung. Dabei ist die Integration, Orchestrierung oder Korrelation zwischen verschiedenen Lösungskomponenten nach Einschätzung von IDC ein absolut zwingender Schritt für End-to-End Security-Architekturen.

Fazit
Die umfassende Absicherung der IT-Systeme vor dem Hintergrund der digitalen Transformation ist nach wie vor eine der größten Herausforderungen für deutsche IT-Organisationen. Allerdings ist eine weitgehend geschlossene Security-Kette nur in wenigen der befragten Unternehmen vorhanden. Die aktuelle Studie zeigt – wie auch schon die letztjährige – deutlich, dass viele Organisationen immer noch unzureichend geschützt sind. Zwar sind ein Basisschutz und Standard-Security-Lösungen in allen Organisationen vorhanden. Das allein reicht aber allenfalls aus, um großflächig angelegte, tagtäglich gefahrene Standardangriffe abzuwehren.

Viele Unternehmen drehen an einzelnen Stellschrauben, betrachten die Thematik aber nicht holistisch. Klar sein dürfte, dass Technologie allein nicht sicher macht. Ein Gesamtlösungsansatz zur Informationssicherheit ist eine Grundvoraussetzung, um alle Komponenten, Lösungen und Prozesse zu erfassen und in der Folge die erforderlichen Richtlinien abzuleiten. Die Verringerung der Komplexität muss ein wesentliches Element künftiger Security-Konzepte sein. Mittelfristig ist es unabdingbar, die klassischen IT-Security-Silos zu überwinden und Integration und Automatisierung von Security-Prozessen stärker zu nutzen.

Es zeichnen sich zudem bereits neue Herausforderungen und Veränderungen im Bereich der IT-Sicherheit ab, denen sich Unternehmen künftig stellen müssen. Aus Sicht von IDC werden eine zunehmende Autonomie der Fachbereiche, neue Use Cases jenseits der betriebswirtschaftlichen IT sowie Internet-of-Things-Szenarien verstärkt in den Fokus rücken. Für IT-Entscheider wird es also auch in Zukunft nicht einfacher, das Spannungsfeld aus Business Enablement und sicherem IT-Betrieb aufzulösen.

Eine Zusammenfassung der aktuellen Studie können Anwenderunternehmen kostenfrei hier anfordern.

Die Biografie von Matthias Zacher finden Sie hier.