Die in Teil 1 dieser Serie ausführlicher dargestellte Untersuchung von IDC aus dem Jahr 2018 bei 230 Unternehmen mit mehr als 20 Mitarbeitern erbrachte das erschreckende Ergebnis, dass 67 Prozent der Befragten in den vergangenen Monaten Sicherheitszwischenfälle verzeichnen mussten.
Ferner zeigte die Studie, dass nur 19 Prozent der Organisationen strategisch in IT-Security investieren und dass immerhin 36 Prozent von ihnen kein zentrales Konzept zur Informationssicherheit besitzt, sondern fragmentarisch Konzepte für einzelne Anwendungen umsetzt.
Außerdem hat nur die Hälfte ihre IT-Sicherheitsprozesse umfassend automatisiert. „Dabei ist es sehr wichtig, eine lösungsorientierte Vorgehensweise und einen gesamtheitlichen IT-Sicherheitsansatz zu implementieren, um die IT-Sicherheit in Organisationen zu steigern“, sagt Hans-Peter Bauer, Vice President Central & Northern Europe beim IT-Sicherheitsspezialisten McAfee. IDC hat im Rahmen der Studie fünf Hinweise erarbeitet, wie sich die unbefriedigende Situation ändern lässt.
- Organisationen sollten realistisch und vollständig erfassen, wie es um ihre Schutz-, Abwehr- und Wiederherstellungsfähigkeit steht. Nur so entsteht Transparenz im Patchwork der Security-Lösungen. Diese Bewertung muss alle Unternehmensbereiche, auch Fachbereiche, Tochterfirmen oder Homeoffices umfassen, wo häufig eigenständig IT-Produkte beschafft und genutzt werden. Einzubeziehen sind alle Geräteklassen, auch Drucker oder eventuell vorhandene Sensoren und Ähnliches. Denn angreifbar ist letztlich alles, was über IP erreichbar ist, auch jeder einzelne Mitarbeiter. Wichtig ist es zu prüfen, inwieweit sich die IT-Sicherheitsstrategie schon in Richtung Vorbeugung sowie Schutz und weg von rein reaktivem Verhalten bewegt hat. Ziel ist eine kontinuierliche und lückenlose Überwachung in Echtzeit, die Auffälligkeiten sofort erkennt und darauf reagiert.
- Organisationen sollten ihr IT-Sicherheitskonzept ganzheitlich, strategisch und zentral aufsetzen. Nur so lassen sich Lücken an einzelnen Angriffspunkten verhindern. Es gibt eine Reihe bewährter Best-Practice- und Sicherheitsframeworks, an denen man sich hier orientieren kann, wie es 82 Prozent der Anwender laut der IDC-Studie bereits tun. Beispiele sind NIST mit seinem Konzept „Identify-Protect-Detect-Respont-Recover“, ENISA oder das BSI. Frameworks sollten in möglichst vielen Security-Domains umgesetzt werden, auch wenn das Aufwand bedeutet. Zu einer umfassenden IT-Sicherheitsstrategie gehört auch, in regelmäßigen Abständen die Risikoeinstufung von Lösungen neu zu bewerten, denn sie kann sich durch neue Angriffsvektoren und andere Faktoren ändern. Schließlich ist auch ein regelmäßiges und ausreichend großes IT-Sicherheitsbudget nötig, um einen strategischen, holistischen Ansatz zu realisieren. Damit lassen sich Anschaffungen, beispielsweise effektive Backup- und Recovery-Lösungen, gemeinsam mit Geschäftsführung und Fachbereichen konzipieren und realisieren, so dass Angriffe ins Leere laufen.
- Tools sollten miteinander integriert und Prozesse automatisiert werden, damit aus einer fragmentierten IT-Sicherheitslandschaft eine einheitliche IT-Sicherheitsumgebung wird. Das meinen auch zwei Drittel der von IDC befragten Organisationen. Dazu gehören bereits etablierte Standard- und Basisschutzlösungen wie Anti-Malware, Spam-Filter und Firewalls, aber auch neue Lösungen. Integration kann auf mehreren Ebenen erfolgen: zwischen den Lösungen eines Anbieters oder mehrerer Anbieter, als Orchestrierung, Synchronisierung über eine Kommunikationsschicht und offene APIs oder als Korrelation verschiedener Lösungen. Zudem ist eine durchgreifende Automatisierung der Security-Prozesse notwendig, um Ressourcen zu entlasten – vor allen Dingen die Mitarbeiter. Denn sie vereinfacht oder ersetzt manuelle Tätigkeiten wie Patching, das Aufsetzen von Servern oder Konfigurationstätigkeiten, die dem Team die Zeit für konzeptionelle Aufgaben stiehlt. Nur so ist eine Ende-zu-Ende-Sicherheitsarchitektur möglich, meint IDC.
- Eine ganzheitliche Sicherheitsstrategie sollte unterschiedliche Lösungen und Bereitstellungsmodelle einbeziehen. Vor allem sollte sie auch neuartige Ansätze integrieren, die auf eine proaktive Bewachung zielen und Technologien wie Big Data, Artificial Intelligence und Machine Learning nutzen. Denn diese Technologien sind nun einsatztauglich und lassen sich gut mit aktiven analytischen Erkennungs- und Überwachungstools koppeln, um auffällige Muster in Echtzeit zu erkennen und darauf zu reagieren. Dadurch wird die IT-Landschaft robuster und Organisationen können sich besser gegen Angriffe wehren. Viele Unternehmen verwenden diese bereits: So setzen 57 Prozent verhaltensbasierte Analysen, 55 Prozent Echtzeitanalysen und 47 Prozent kontextbezogene Analysen ein. Big Data-Technologien verwenden erst 25 Prozent der Organisationen, aber 53 Prozent planen ihren Einsatz. Auch Security-Services aus der Cloud sind eine wichtige Option – schon heute nutzen sie zwei Drittel der Unternehmen, vor allem für Firewalls/IDS und IPS, zum Schutz von Mails, für die Client-Verwaltung und das Filtern von E-Mails.
- Zu einer Security-Strategie gehört auch eine organisationsweite Security-Kultur, die gezielt entwickelt werden muss. Wer IT-Security lediglich als Bremse des Tagesgeschäfts betrachtet und entsprechend kommuniziert, wird Mitarbeiter schwerlich davon überzeugen können, das eigene Verhalten sicherheitsbewusst auszurichten. Kreativität und Sensibilisierung sind gefragt: Warum nicht Life-Hacks, Fake-Phishing-Mails, Penetrationstests, ein „Sicherheitstipp des Monats“ oder ein Preis für besonders sicherheitsbewusstes Verhalten von Mitarbeitern? Schließlich schützt nur Informationssicherheit Daten, geistiges Kapital und letztlich den Ruf der Organisation vor den Schäden, die erfolgreich durchgeführte Cyber-Attacken bedeuten.
Wer diese Ratschläge beherzigt und Stück für Stück umsetzt, kommt am Ende zu einer besseren, weil ganzheitlichen und alle Sektoren, Angriffspunkte und Mitarbeiter umfassenden Sicherheitsstrategie. Entsprechend kommuniziert, genießt sie bei Mitarbeitern und in den Fachbereichen ein positives Image und Akzeptanz. Bei so vorbereiteten Organisationen dürften es Cyber-Angreifer schwerer haben, ihre bösartigen Absichten umzusetzen.
Weitere Informationen zum Thema
- IT-Sicherheit in Deutschlands Unternehmen längst nicht perfekt
- Automatisierung unterstützt eine erfolgreiche Bedrohungsabwehr
- Mensch und Maschine: Das Dreamteam bei der Bedrohungssuche
- Herkömmliche Sicherheitsstrategien scheitern an Angriffsflut – neues Paradigma muss her
- Integrierte, offene Sicherheitsplattformen bieten dauerhaften Schutz
- IDC: IT-Security in Deutschland (Whitepaper)
- Erfolgreiche Cyber-Sicherheit erfordert eine neue Sichtweise (Whitepaper)
- Störenfriede stören – Kunst oder Wissenschaft (Whitepaper)
- McAfee Labs Threats-Report: Cryptocurrency-Mining-Malware und Phishing-Kampagnen auf dem Vormarsch (Whitepaper)