Schwachstellen in der IT-Security bleiben häufig unentdeckt

IDC: „Der Mangel häufiger Prüfungen führt zu einem erhöhten, geschäftlichen Risiko.“

Trotz zunehmender Bedrohungen für die Geschäftsdaten und hoch entwickelter Angriffe auf die IT setzen deutsche Unternehmen für die Absicherung ihrer sensitiven Informationen nur selten auf die nötigen IT Security Controls – also Maßnahmen für die Prävention, Bearbeitung und Minimierung geschäftlicher Risiken. Zu diesem Ergebnis kommt die jetzt von der IDC vorgestellte Studie zum Status der IT-Security-Praxis in Deutschland: „Sind Ihre sensitiven Daten sicher?“ (http://www.tripwire.com/de/emea/register/sind-ihre-sensitiven-daten-sicher-eine-studie-zum-status-der-it-security-praxis?Djinn=BLG).

Für die im Auftrag der auf automatisierte Security und IT-Compliance spezialisierten Tripwire Inc., durchgeführte Erhebung haben Analysten der IDC die IT-Security-Verantwortlichen in 150 deutschen Unternehmen befragt. Danach findet das Thema Security und Compliance in den deutschen Organisationen zwar zunehmend Berücksichtigung. Generell scheint aber die IT-Sicherheit, gemessen am Grad der Automatisierung von IT Security Controls, in Deutschland noch auf einem niedrigen Stand zu sein.

Dabei wissen die Unternehmen genau, welche Daten als besonders sicherheitsrelevant zu bewerten sind und wie sie die Gefahren im Falle einer Sicherheitslücke einzuschätzen haben. Über 95% der Befragten gehen davon aus, dass ein Datenverlust zu einem Vertrauensverlust beim Kunden und negativen Auswirkungen auf das Image des Unternehmens führen wird. Hinzu kommen Umsatzverluste (67,3%), Schadenersatz, Wiederherstellungskosten, Vertragsstrafen und höhere Betriebskosten (66,7%), gesetzliche Strafen und Bußgelder (52,7%) sowie der Verlust des eigenen Jobs (12,7%).

Mangel an Know-how und Budget lässt Sicherheitslücken klaffen

Sicherheitslücken und deren Auswirkungen, wie z. B. eingeschleuster Schadcode, kompromittierte Daten und Dateien sowie jeglicher, unbefugte Zugriff auf die IT-Infrastruktur, müssen also umgehend entdeckt und geschlossen bzw. behoben werden. In der Befragung gibt jedoch weniger als die Hälfte der Unternehmen an, im Falle eines erfolgreichen Angriffs auf die IT die Ursache und alle nicht autorisierten Eingriffe schnell herausfinden und identifizieren zu können. 51% der Organisationen fühlen sich dazu jedoch nur teilweise in der Lage oder fürchten, diesen Anforderungen nicht gewachsen zu sein. Damit bleibt ein Großteil der Schwachstellen in der IT-Security unentdeckt.

Es gibt sehr unterschiedliche Gründe für das Versagen der IT-Security bei der Erkennung und Schließung von Sicherheitslücken. Der Studie zufolge sind die drei häufigsten der Mangel an passenden Fachkräften (48,7%), fehlendes internes Know-how (42,7%) und ein zu kleines Budget für den Kauf geeigneter  Technologien (39%). Es besteht also ein hoher Bedarf, entsprechende Fähigkeiten im Unternehmen aufzubauen.  Dabei muss genau darauf geachtet werden, dass die knappen Ressourcen dort zum Einsatz kommen, wo Angriffe am wahrscheinlichsten und am schwerwiegendsten sind.

Knapp ein Viertel der deutschen Unternehmen nimmt keinerlei Qualitätsmessung vor

„ Wir sind der Auffassung, dass automatisierte IT Security Controls ein sehr geeigneter Weg sind, den aktuellen Status der IT-Sicherheit in Unternehmen zu verbessern und Return on Investment zu generieren“, so Matthias Zacher, Senior Consultant bei IDC Deutschland. „Wenn deutsche Unternehmen vermehrt umfassende IT-Security-Systeme anwenden und anfangen würden, diese regelmäßig zu überprüfen, würden IT-Security-Verantwortliche feststellen, dass Automatisierung in diesem Bereich der einzige Weg ist, die Gesamtkosten der IT effizient und effektiv zu senken. Am wichtigsten aber bleibt, dass ein solch umfangreiches System von IT Security Controls den Schutz sensitiver Daten besser gewährleisten würde, als heute vielfach genutzte Ansätze.“

Stand heute setzen nach eigenen Angaben zwar 90% der befragten Unternehmen grundlegende Basis-Controls wie Malwareschutz, Datenwiederherstellung und Informationssicherheitsrichtlinien ein. Aber tiefergehende Instrumente, die Schwachstellen in der IT-Security aufdecken und Abhilfe schaffen könnten (Security Configuration Management, Störfallbearbeitungen, Auslastungstests) werden bisher kaum genutzt. Auch die Prüfung (Audit) der Effektivität von IT Security Controls ist ein wichtiges Element zur Messung der Qualität einer sicheren Infrastruktur. 24% der Befragten geben aber an, solche Prüfungen niemals durchzuführen, 53,3% der Unternehmen nehmen solche Audits gerade einmal jährlich vor.

„Wenn keine regelmäßigen Überprüfungen der IT Security Controls stattfinden“, so Zacher, „verringert das den Wert dieser Instrumente erheblich, da stets sichergestellt sein muss, dass sie funktionieren und effektiv sind. Unternehmen können unmöglich etwas verwalten, das sie nicht vorher messen – und der Mangel häufiger Prüfungen führt damit zu einem erhöhten, geschäftlichen Risiko.“

Bitte klicken Sie auf das folgende Diagramm um eine Übersicht zu erhalten.