Von Tripwire
Die Einstellung deutscher Unternehmen zum Einsatz und zur Effektivitätsmessung von Security Controls gibt Anlass zur Sorge. Dies ist das Resümee einer kürzlich von der IDC veröffentlichten Marktuntersuchung zum „Status der IT-Security-Praxis in Deutschland“ (http://www.tripwire.com/de/emea/register/sind-ihre-sensitiven-daten-sicher-eine-studie-zum-status-der-it-security-praxis?Djinn=BLG).
IT Security-Controls sind Maßnahmen für die Prävention, Bearbeitung und Minimierung geschäftlicher Risiken. Sie stellen die unternehmensinternen Abläufe, Policies und Technologien dar, die den reibungslosen Ablauf betrieblicher Prozesse sichern. Die Implementierung solcher Sicherheitskontrollen unterstützt Organisationen nachweislich dabei, ihre Abwehrfähigkeit gegenüber Netzwerkattacken, Datenverlust oder -diebstahl zu stärken. Dennoch werden den Untersuchungsergebnissen zufolge einige der wichtigsten Security Controls noch unterbewertet und unterschätzt.
Bedeutung noch verkannt
Der Studie, die durch Analysten der IDC im Auftrag der auf automatisierte Security und IT-Compliance spezialisierten Tripwire Inc., (http://www.tripwire.com/de/emea/) durchgeführt wurde, liegt die Befragung von IT-Security-Verantwortlichen in 150 deutschen Unternehmen zugrunde. Danach erfüllen die heute in den Organisationen eingesetzten IT-Security Controls zwar gewisse Basisanforderungen wie Daten-Recovery, Malware-Abwehr oder Zugriffsmanagement. „Aber tiefergehende Instrumente, die Schwachstellen in der IT-Security aufdecken und Abhilfe schaffen könnten, werden bisher kaum eingesetzt“, stellt Matthias Zacher, Senior Consultant bei IDC Deutschland, fest. Die Marktbeobachter gehen daher davon aus, dass die Bedeutung von Security Controls für die Datensicherheit und Geschäftseffizienz in vielen Organisationen noch verkannt ist. „Secure Configuration Standards“, welche die Liste der am wenigsten implementierten Kontrollen anführt (s. Grafik I.), sei hierfür ein gutes Beispiel, so Zacher. „Dass für diesen Bereich mehr als 41. Prozent der Befragten angeben, keinerlei Kontrollen implementiert zu haben, ist
erschreckend, denn die Unternehmen müssen schlichtweg eine sichere Konfiguration der Computer und Netzwerke gewährleisten und nachweisen und auch gehärtete Systeme regelmäßig achrüsten und updaten.“ Auch bei der Überwachung drahtloser (WLAN) Geräte (40,3%), beim Penetrations-Testing (36,7%) oder der Abwehr von Datenverlust (Data Loss Prevention, 22%) ist der Anteil der Unternehmen, die hier keinerlei IT-Security Controls implementiert haben, sehr hoch bis hoch (s. Grafik II.). Als besorgniserregend bewertet die Studie auch, dass knapp ein Viertel der befragten Unternehmen (24%) keinerlei Qualitätsmanagement in diesem Bereich einsetzt, also die Effizienz der genutzten Security Controls gar nicht überprüft.
Regelmäßige Audits unerlässlich
Häufige Prüfungen (Audits) der Effektivität von IT-Security Controls sind eine entscheidende Grundlage für die Messung der Qualität einer sicheren IT-Infrastruktur. Dennoch geben knapp 73%
der befragten Organisationen an, solche Prüfungen nur gelegentlich oder in großen Zeitabständen durchzuführen. Danach finden in den meisten Unternehmen (53%) derartige Audits nur einmal jährlich statt, halbjährlich führen 10% der Untersuchungsteilnehmer Audits durch und nur bei 9% der Befragten wird auf eine quartalsweise Prüfung geachtet.
„Wir halten regelmäßige Effektivitätsmessungen der Sicherheitskontrollen für unerlässlich“, schließt Zacher. „Denn nur dann können automatisierte Security Controls den Grad der IT-Sicherheit signifikant verbessern. Sie können außerdem sehr gezielt dort eingesetzt werden, wo Optimierungsbedarf besteht. Gezielt genutzt und regelmäßig überprüft setzen IT-Security Controls in der Regel interne Ressourcen für wichtigere Aufgaben frei und senken die Gesamtbetriebskosten für die IT-Security.“
Bitte klicken Sie zur Vergrößerung das folgende Bild an.
