Neue Ponemon-Studie zum Thema risikobasiertes Sicherheitsmanagement: Geringe Investitionen in die Gefahrenerkennung und falsche Schwerpunkte bei der Erfolgsmessung von risikobasierten Security Management-Programmen können zu erhöhten Sicherheitsrisiken führen.
Die auf automatisierte Security und IT-Compliance spezialisierte Tripwire Inc., (http://www.tripwire.com/de/emea/) und das Ponemon Institute geben jetzt die Ergebnisse einer neuen Untersuchung zum aktuellen Status des risikobasierten Security Managements (RBSM) in Deutschland bekannt (The State of Risk-Based Security Management (RBSM) Study). Die international ausgelegte Studie wurde unter 2.145 Personen in Unternehmen unterschiedlicher Größen und Branchen in Deutschland, den USA, Großbritannien und den Niederlanden durchgeführt.
In Deutschland wurden insgesamt 566 Unternehmen dazu befragt, wie sie ihr risikobasiertes Security Management (RBSM) einschätzen und wie sie ihr RBSM durch formale Programme oder den Einsatz spezifischer Kontrollen adressieren und die Effektivität dieser Maßnahmen messen.
Der Bericht zeigt detailliert den aktuellen Status von Risikomanagement auf und gibt einen Einblick in die Erwartungen, die deutsche Unternehmen an RBSM-Maßnahmen knüpfen. Darüber hinaus gibt die Studie eine Orientierung, wie Organisationen ihre Security-Maßnahmen verstärken und durch einen risikobasierten Ansatz einen Mehrwert für ihren Geschäftsbetrieb erzielen können. Nicht zuletzt gibt der Report Empfehlungen für eine akkurate und effiziente Risikominimierung, die Absicherung der Geschäftsdaten und das frühzeitige Erkennen von Cyberattacken und Datenschutzverletzungen an die Hand.
Die wichtigsten Ergebnisse der Studie im Überblick:
1. Keine Metrik = Kein Erfolg
Die Untersuchungsergebnisse zeigen, dass deutsche Unternehmen den Erfolg von RBSM-Programmen messen, indem sie versuchen, erzielte Kostenreduktionen nachzuweisen. Eine derartige Erfolgsmessung kann laut Ponemon zu falschen Annahmen und in der Folge zu falschen Verhaltensweisen und erhöhten Sicherheitsrisiken führen. Die Unternehmen sollten den Marktanalysten zufolge bessere Messverfahren etablieren und nutzen, zum Beispiel um die Qualität der Konfiguration, die Effektivität der Security Controls und tatsächliche Fortschritte im Security-Programm zu prüfen. Ohne diese „guten“ Mess-Parameter werden die Organisationen nicht in der Lage sein, einen Programmerfolg aufzuweisen.
2. Unausgewogener Ansatz bei Risikomanagement und Security
Den Untersuchungsergebnissen zufolge sind die zugeteilten Security-Ausgaben nicht abgestimmt auf die wahrgenommenen Risiken. In Deutschland machen die Unternehmen große Fortschritte bezüglich der Nutzung vorbeugender Sicherheitskontrollen. So genannte „Detective Controls“ zur Gefahrenerkennung sind jedoch Mangelware und die Organisationen sind in der Folge nicht in der Lage, ihre Sicherheitskontrollen zu identifizieren, sinnvoll zu implementieren und kontinuierlich zu überwachen. Um hier bessere Ergebnisse zu erzielen, sollten die Unternehmen eine angemessene Balance zwischen vorbeugenden und aufdeckenden Sicherheitsmaßnahmen schaffen.
3. Auch wenn die Organisationen ein starkes Engagement für RBSM bekunden – zu wenige ergreifen tatsächlich Maßnahmen.
Der größte Teil der deutschen Unternehmen (84%) behauptet, sich signifikant in Sachen RBSM zu engagieren. Doch auch, wenn die meisten Organisationen sich zu RBSM bekennen und einen formalen Ansatz definiert haben – nur 61% haben tatsächlich mit der Implementierung ihres RBSM-Programms begonnen, und 40% der befragten Untersuchungsteilnehmer haben noch keinerlei formale RBSM-Strategien oder Prozeduren etabliert.
4. RBSM wird in Deutschland, den USA, Großbritannien und den Niederlanden sehr unterschiedlich wahrgenommen.
In den USA geben 71% der befragten Unternehmen an, dass die von innen ausgehenden Sicherheitsgefahren durch so genannte „malicious insider“ – etwa die eigenen Mitarbeiter – sie stark besorgen. In Großbritannien teilen diese Sorge nur 49% der Organisationen, in Deutschland lediglich 39% und in den Niederlanden sehen sich nur 16% der Firmen mit Gefahren durch heimtückische Innentäter konfrontiert.
„Insgesamt machen diese Studienergebnisse deutlich, dass deutsche Unternehmen zum Thema risikobasiertes Security Management endlich über reine Lippenbekenntnisse hinaus kommen müssen“, so Michael Loger, Senior Sales Engineer für Tripwire in Central Europe. „Clevere Security-Verantwortliche werden das Thema Sicherheitsrisiko als Mittel nutzen, um entsprechend geschäftsrelevante Diskussionen anzustoßen – und sie werden objektive Messverfahren einsetzen, um die Effektivität ihrer Security-Maßnahmen zu belegen. Es ist zwingend erforderlich, den Kreislauf der „Security-Anschaffungen aus Gewohnheit“ zu durchbrechen und die Zuteilung von Security-Ressourcen mit den tatsächlichen Geschäftsanforderungen in Einklang zu bringen.“
„Wir glauben, dass risikobasiertes Security Management die Art, wie Unternehmen ihre geschäftskritischen Informationsbestände und Technologien schützen, grundlegend verändern wird – nämlich weg von reaktiven Sicherheitsmaßnahmen hin zu pro-aktivem Handeln“, so Larry Ponemon, Gründer des Ponemon Institute. Mit der Bereitstellung dieser Studie wollen wir die Unternehmen unterstützen und darin bestärken, diesen Ansatz quasi zum integralen Herzstück ihrer Geschäftsaktivitäten zu machen.“
Die vollständige Studie sowie themenverwandte Informationen und Multimediainhalte steht zur Verfügung unter http://www.tripwire.com/ponemon2012/the-state-of-risk-based-security-management-germany/showMeta/2/.
Folgen Sie uns zu diesem Thema auf Twitter unter #RiskyBiz2012.
Über Tripwire Inc.
Tripwire ist ein führender globaler Anbieter für intelligente, automatisierte IT-Sicherheit und Compliance. Mehrere tausend Unternehmen und Behörden sichern mit den Lösungen von Tripwire ihre IT-Infrastruktur, um sensible Daten zu schützen, Compliance nachzuweisen und Ausfallzeiten bei Systemen und Services zu verhindern. Tripwire VIA™ ist ein umfassendes Paket aus branchenführenden Lösungen für Dateiintegrität, Richtlinien-Compliance sowie Log- und Event-Management. Tripwire VIA™ bietet Unternehmen die Möglichkeit zum proaktiven Nachweis kontinuierlicher Compliance, zur Risikominimierung und zur Sicherung der operativen Kontrolle durch Transparenz, Intelligenz und Automatisierung.
Mit Hauptsitz in Portland, Oregon, verfügt Tripwire über Niederlassungen in 15 Ländern weltweit. Das Unternehmen wurde kürzlich vom Portland Business Journal zur Fastest Growing Private 100 List hinzugefügt und vom Oregon Business Magazine als eines der 100 besten Unternehmen in Oregon ausgezeichnet. Weitere Informationen finden Sie unter www.tripwire.com und auf Twitter: @TripwireInc.
Pressekontakt:
PublicWare®
Christiane Jacobs
Tel.: 089-66 077 812
Email: cjacobs@publicware.de
