IT-Sicherheit in Deutschlands Unternehmen längst nicht perfekt

Um die IT-Sicherheit in deutschen Unternehmen steht es nach wie vor nicht zum Besten. Das bestätigt eine im Juni 2018 von IDC durchgeführte Studie, bei der 230 deutsche Organisationen über 20 Mitarbeiter branchenübergreifend mittels eines strukturierten Fragebogens zu Themen rund um die organisationsinterne IT-Sicherheitsstrategie und -praxis befragt wurden. 58 Prozent der Unternehmen haben zwischen 20 und 1.000 Mitarbeitern, 42 Prozent haben mehr als 1.000 Beschäftigte.

Dabei zeigte sich, dass Unternehmen und andere Organisationen weiterhin massiv in ihrer Sicherheit bedroht werden: 67 Prozent von ihnen waren in den Monaten vor der Befragung von Sicherheitsvorfällen betroffen. Wichtigste Angriffsziele waren mit 34 Prozent PCs und Notebooks, danach folgten Netzwerke (31 Prozent) sowie Smartphones und Tablets (30 Prozent). Das heißt allerdings nicht, dass andere Systeme und Einrichtungen nicht angegriffen würden. 29 Prozent der Befragten verzeichneten Sicherheitsvorfälle, von denen das Rechenzentrum selbst und 28 Prozent solche, von denen Server betroffen waren. Auch Drucker, Sensoren und IoT-Implementierungen wurden zur Zielscheibe. Letztlich ist jedes Element mit einer IP-Adresse und damit auch jeder Mitarbeiter angreifbar.

Ein besonders hohes Risiko sind nach wie vor die Anwender. Häufig sind sie sich der Sicherheitsrelevanz ihres Verhaltens ganz oder partiell nicht bewusst oder sie verhalten sich falsch – etwa, wenn sie Phishing-Mails erhalten, die nach einer bewährten Faustregel immerhin von fünf bis zehn Prozent der Anwender angeklickt werden. Andere anwenderbezogene Risikoquellen sind Software-Downloads, Apps und Geräteverluste. Immerhin 37 Prozent der Befragten nennen das Fehlverhalten der Anwender als wichtigstes Sicherheitsrisiko. Gleich danach kommen schlecht gesicherte Endpoints (34 Prozent). Erst auf Platz drei folgen Angriffe von außen.

Noch immer dominiert eindeutig ein taktisches Investitionsverhalten, das auf aktuell Bedrohungssituationen oder Attacken mit dem Einkauf von Punktlösungen reagiert (Grafik: IDC).

Dass es immer komplexer wird, Sicherheit herzustellen, hat mit verschiedenen Faktoren zu tun, in deren Zentrum die digitale Transformation steht. Mit ihr kommen automatisierte Prozesse, ausgedehnte überbetriebliche Ökosysteme mit Partnern, Kunden und Lieferanten und infolgedessen umfassend vernetzte IP-basierte Systeme aller Art. Dazu gesellen sich vernetzungs- und datenintensive IT-Konzepte wie Cloud und Virtualisierung, Internet der Dinge und der Aufbau neuartiger Applikationen aus durch offene APIs verbundenen Mikroservices. Diese neue IT-Welt lässt sich mit punktuellen Lösungen nicht mehr ausreichend vor externen Angriffen und internem Fehlverhalten oder Unwissen schützen.

Weitere herausfordernde Faktoren sind steigende gesetzliche und regulatorische Anforderungen, in Deutschland beispielsweise durch die EU-DSGVO (EU-Datenschutzgrundverordnung), aber auch durch branchenspezifische Compliance-Regelwerke oder als verpflichtend betrachtete Zertifizierungen. Schließlich macht der Fachkräftemangel es Unternehmen schwer, ein schlagkräftiges und strategisch handlungsfähiges IT-Security-Team mit längerfristiger Perspektive aufzubauen.

Stückwerk dominiert über strategische, holistische Ansätze

Zur Verbesserung der Sicherheitslage wären holistische, strategische Ansätze erforderlich. Das bestätigt auch Hans-Peter Bauer, Vice President Central & Northern Europe beim auf ganzheitliche IT-Sicherheit spezialisierten Anbieter McAfee. „Es gilt angesichts der Komplexität der IT und der wachsenden Sicherheitsrisiken, den rein reaktiven Sicherheitsansatz abzuschütteln. Wir brauchen Automatisierung, Praktivität und Echtzeit-Reaktionsfähigkeit.“

Doch derzeit verfügen nur 58 Prozent der an der Untersuchung teilnehmenden Organisationen über ein zentrales Konzept zur Informationssicherheit. Immerhin ein gutes Drittel von ihnen verlässt sich auch heute auf Konzepte zum Schutz einzelner Anwendungen und Systeme. Sechs Prozent konnten über das Sicherheitskonzept ihres Unternehmens gar keine Aussage treffen.

Wie wenig sich strategische Ansätze bislang gegen ein punktuell-taktisches Vorgehen durchsetzen konnte, belegen die Daten der IDC-Studie zum Investitionsverhalten. Beim taktischen Investment in IT-Sicherheitslösungen wird vor allem nach Angriffen oder bei akuten Gefahrenlagen in die jeweils passenden punktuellen Lösungen investiert. Eine strategische Herangehensweise betrachtet IT-Security dagegen als ganzheitlichen Prozess mit ständigem Innovationsbedarf, für den auch entsprechende Mittel in Form regulärer Budgets bereitgestellt werden müssen. Taktisch oder überwiegend taktisch investieren 40 Prozent der befragten Organisationen. Nur 3 Prozent der Befragten gaben an, grundsätzlich strategisch zu investieren, 16 Prozent investieren überwiegend strategisch und bei konkretem Bedarf taktisch, die Übrigen bevorzugen eine Mischung aus beiden Konzepten.

Auch bei der angesichts der Komplexität und Vielfalt des Gesamtumfeldes notwendigen Automatisierung der Security-Prozesse bleibt noch viel zu tun. 80 Prozent haben mit diesem Schritt begonnen, allerdings häufig nur punktuell. Umfassend automatisiert hat ihre IT-Security-Abläufe weniger als die Hälfte der befragten Organisationen. Dabei betont IDC ausdrücklich, wie wichtig Automatisierung und Integration im Bereich IT-Security in den nächsten Jahren werden. Automatisierung hilft laut IDC, Prozessketten zu schließen, Security-Silos aufzulösen, Abläufe zu beschleunigen und die Transparenz zu erhöhen.

Teil 2 dieser Artikelserie, der in etwa einer Woche erscheint, fasst fünf wichtige Ratschläge, die sich für IDC aus den Befunden zur IT-Sicherheit in Deutschland ergeben, zusammen. Sie zeigen einen Weg auf, um zu einem ganzheitlichen und proaktiven IT-Sicherheitsansatz für die eigene Organisation zu kommen.