Sicherheitsverantwortliche und Management reden zu wenig miteinander

Im Auftrag von Websense hat das Ponemon-Institut eine Untersuchung darüber angestellt, wie die Kommunikation zwischen Sicherheitsverantwortlichen und Management verläuft. Dabei offenbarten sich erhebliche Mängel in der Verständigung zwischen Entscheidern für den Bereich IT-Sicherheit und den sonstigen Führungskräften eines Unternehmens. Außerdem werden auch die Qualität vorhandener Security-Systeme beanstandet und die IT-Sicherheitskenntnisse des Unternehmenspersonals kritisiert. Für die Untersuchung wurden weltweit rund 5000 Security-Verantwortliche in 15 Ländern befragt – darunter Deutschland, Frankreich, Großbritannien, Italien, den Niederlanden, Schweden und den USA.

Lediglich 1 Prozent der im Rahmen der Ponemon-Studie befragten Sicherheitsverantwortlichen spricht wöchentlich mit den Führungskräften über Cyber-Security. Ganze 31 Prozent tun dies nie (Grafik: Ponemon Institute).

Der wesentliche Aspekt der Studie betrifft die unternehmensinterne Kommunikation zwischen den Sicherheitsverantwortlichen sowie den jeweiligen Führungskräften: Demnach haben 31 Prozent der befragten Security-Teams erklärt, dass sie sich nicht mit dem Management über IT-Sicherheit austauschen. Von denjenigen, die dies tun, führen fast ein Viertel (23 Prozent) solche Gespräche nur einmal pro Jahr, weitere 19 Prozent nur einmal pro Halbjahr. Lediglich 11 Prozent der IT-Entscheider kommunizieren vierteljährlich mit ihren Vorgesetzten über das Thema – gerade einmal 1 Prozent tut dies wöchentlich.

Security-Teams wünschen sich komplette Aktualisierung der Sicherheitssysteme

Weiterhin ergab die Befragung, dass 29 Prozent der Studienteilnehmer einen starken Wunsch nach der Überarbeitung der bestehenden Security-Systeme hegen. Sofern sie die notwendigen Ressourcen und Möglichkeiten zur Verfügung hätten, würden sie die Sicherheitsinfrastruktur ihrer Unternehmen am liebsten vollständig überarbeiten. Daher ist es auch nicht verwunderlich, dass nahezu die Hälfte der Befragten (47 Prozent) regelmäßig über das Schutz-Level enttäuscht ist, das die durch die Firmen erworbenen Sicherheitslösungen bieten. Demgegenüber sind nur 12 Prozent mit ihren Sicherheitssystemen zufrieden. 56 Prozent der Security-Teams glauben zudem, dass ein Fall von Datendiebstahl im Unternehmen zu einem Wechsel des Sicherheitsanbieters führen würde.

In dem Zusammenhang sehen IT-Verantwortliche Advanced Persistent Threats sowie den Abfluss von Daten als die größten Gefahren (40 Prozent). Diese und andere Bedrohungen veranlassen 49 Prozent der Befragten in den kommenden zwölf Monaten nach eigenen Angaben zu Investitionen und Anpassungen ihrer Sicherheitssysteme.

Advanced Persistent Threats und Datenabfluss werden von den Security-Teams als die größten Cyber-Bedrohungen angesehen (Grafik: Ponemon Institute).

Die Umfrage hat aber auch ergeben, dass sich weniger als die Hälfte der Sicherheitsverantwortlichen (42 Prozent) genötigt fühlt, einen sogenannten Threat-Modelling-Prozess zur flexiblen Reaktion auf Cyber-Risiken durchzuführen – und das obwohl eine überwältigende Mehrheit von 94 Prozent dies als wichtig für den Umgang mit solchen Bedrohungen erachtet.

Sicherheits-Know-how der Mitarbeiter wird zu wenig gefördert

Ein Sicherheitsrisiko wird dabei nicht nur in der Infrastruktur, sondern auch in den Mitarbeitern selbst gesehen: So gaben 52 Prozent der befragten Security-Teams an, ihre Firmen investierten nicht genügend in Sicherheitsschulungen für ihre Mitarbeiter. Lediglich 38 Prozent der Studienteilnehmer glauben hingegen, dass ihr Unternehmen ausreichend Investitionen in Personal und Technologien tätigt, um anvisierte Security-Ziele zu erreichen.

Unter den Ereignissen, die nach Ansicht der Sicherheitsverantwortlichen das Management ihres Unternehmens dazu bringen würden, mehr Mittel für Security-Initiativen bereitzustellen, finden sich als häufigste Nennungen der Verlust von geistigem Eigentum (67 Prozent), der Diebstahl von Kundendaten (53 Prozent) sowie Umsatzeinbußen aufgrund von Systemausfällen (49 Prozent).

„Die globale Untersuchung des Ponemon Institute zeigt mangelnde Kommunikation, fehlendes Know-how und unzulängliche Systeme bei der Abwehr von Cyber-Bedrohungen. Das ermöglicht Kriminellen auf der ganzen Welt, Unternehmen erfolgreich zu attackieren. Es ist nicht überraschend, dass viele Sicherheitsverantwortliche von ihren Security-Lösungen enttäuscht sind. Sie nutzen häufig noch Altsysteme, die nicht in der Lage sind, die Ablaufkette moderner Datendiebstahl-Angriffe zu unterbrechen“, kommentiert Michael Rudrich, Regional Director Central Europe & Eastern Europe bei Websense in München, die Studienergebnisse.

Die aktuelle Studie stellt den zweiten Teil der Untersuchung „Exposing the Cybersecurity Cracks: A Global Perspective“ dar. Aus dem ersten Teil ging hervor, dass Security-Verantwortliche dem Abfluss von Daten in ihrem Unternehmen weitgehend machtlos gegenüberstehen: Unter anderem waren im Rahmen der „Deficient, Disconnected and In-the-Dark“ genannten Studie, 69 Prozent der Befragten der Ansicht, dass bereits gelegentliche und vom Sicherheitssystem unbemerkte Cyber-Attacken auf ihr Unternehmen stattgefunden haben.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Rainer Schneider

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago