Deutsche Unternehmen legen besonders großen Wert auf die Absicherung ihrer IT - doch auf die neuen Angriffsformen sind die Firmen dennoch nur unzureichend vorbereitet. Sie unterschätzen das Risiko, so das Fazit der aktuellen IDC-Studie "Vor dem Sturm: IT-Security in Deutschland 2013". Im Rahmen der Studie befragte IDC im über 300 deutschen Unternehmen mit mehr als 100 Mitarbeitern.
Foto: IDC
Gezieltes Vorgehen der Angreifer
IDC unterscheidet zwischen sechs verschiedenen Angreifertypen. Diese sind im Einzelnen Cyber-War, APT-Angriffe, Cyber-Kriminalität, E-Spionage, Hacktivismus und E-Vandalismus. Die befragten Unternehmen bewerten ihr Bedrohungspotenzial sehr unterschiedlich: So betrachten sich im Schnitt 50 bis 60 Prozent der Unternehmen als sehr bis sehr stark bedroht. Dagegen erkennen 25 bis 40 Prozent nur ein geringes bis sehr geringes Risiko.
Unternehmen hierzulande schätzen die Gefahr, Opfer eines Cyber-kriminellen Angriffs zu werden, mit dem Wert 2,86 am höchsten ein (bei einer Skala von 1 = sehr hohes Bedrohungspotenzial bis 6 = sehr geringes Potenzial 2,58). Ziel einer E-Spionage zu werden, halten die Befragten nahzu für ebenso wahrscheinlich (2,61) gefolgt von E-Vandalismus (2,83), Cyber-War (2,86), Hacktivismus (2,90) und APT-Angriffe (3,05). Nach Ansicht von IDC zeigt sich, dass insbesondere das Thema APT aus nicht die erforderliche Aufmerksamkeit erhält.
Foto: IDC
"37 Prozent der befragten Unternehmen verstehen sich nicht als Ziel von APT-Angriffen. Diese Einstellung kann fatale Folgen haben", warnt Matthias Zacher, Senior Consultant bei IDC. "Vielleicht besitzt der mittelständische Prozessfertiger wertvolle Produktunterlagen, die Ziel eines Angriffs sein könnten. Oder der lokal tätige Dienstleister hat Zugang zu einem Großunternehmen oder einer Behörde mit sensiblen Informationen. Dann ist dieser Dienstleister ein Element eines mehrstufigen Angriffs." Jedes Unternehmen sei damit potenziell gefährdet.
Branchen unterschiedlich sensibilisiert
Die Unternehmen der einzelnen Branchen bewerten das Bedrohungspotenzial durchaus unterschiedlich. Während die Dienstleistungsbranche, der Handel und Prozessfertiger die verschiedenen unterschiedlichen Angriffstypen in Gänze als Bedrohung sehen, ist das bei anderen Branchen nur punktuell der Fall. So sind im Gesundheitswesen, in der Branche Transport und Verkehr und beim Bildungswesen deutliche Spreizungen in der Bewertung festzustellen. IDC empfiehlt aber allen Unternehmen, die Gefährdungslage regelmäßig neu zu prüfen.
Daten gelten als besonders gefährdet
Die Angriffe zielen aus Sicht der Befragten auf Datendiebstahl, das Unterbrechen bzw. Stören von Betriebsabläufen in den IT-Systemen oder in Produktionssystemen, auf Imageschäden und auf den Missbrauch der unternehmenseigenen IT-Systeme für kriminelle Zwecke.
Um dies zu verhindern, haben die Firmen verschiedene Schritte zum Schutz ihrer Daten unternommen. 67 Prozent haben definiert, wie mit sensitiven Daten umzugehen ist, in 56 Prozent der Unternehmen ist geregelt, wie Daten aus verschiedenen Unternehmensbereichen gehandhabt werden, 55 Prozent verfügen über Festlegungen zu Daten in mobilen Endgeräten und Bestimmungen zum Weitergabe an berechtigte Dritte existieren bei 53 Prozent.
Je nach Thema planen ca. 30 Prozent der Organisationen innerhalb der nächsten 24 Monate weitere Konzepte umzusetzen. Das ist aus Sicht von IDC dringend erforderlich und erst dann kann die Situation als zufriedenstellend eingeschätzt werden. Die Top 3 Angriffsformen nach Häufigkeit der Nennungen sind Malware (69 Prozent), Phishing und Social Engineering (50 Prozent) und bedrohliche Insider (44 Prozent).
Nachholbedarf bei mobilen Lösungen
Erwartungsgemäß betrachten die Unternehmen ihre Rechenzentren und die geschäftskritischen Anwendungen als am stärksten abgesichert. Diese zentralen Elemente der Unternehmens-IT verfügen über umfassende Schutzmechanismen. Aber das allein genügt den IDC-Experten zufolge nicht.
Am unteren Ende der Wertungsskala platzieren die Unternehmen Tablet PCs und Smartphones. Diese gelten als unsicherste Komponenten der betrieblichen Informationstechnologie. Das gilt in den Augen der Befragten um so mehr, wenn private Geräte dem geschäftlichen Einsatz dienen (Bring your own Device). Datenaustausch, Einbindung in Unternehmensnetze und zentralisiertes Gerätemanagement werfen noch viele Fragen auf.
Handlungsbedarf erkannt
Untätig waren und sind die Unternehmen indes nicht. So haben 53 Prozent das Access und Identity Management verbessert, 33 Prozent planen dies zu tun. 48 Prozent nutzen bessere Verschlüsselungsmethoden und bei weiteren 35 Prozent steht dies im Lastenheft. 41 Prozent haben ihre Systeme gehärtet, weitere 41 Prozent wollen hier nachziehen.
Wie Systemhäuser ihren Kunden helfen können, sich für die neuen Formen der Bedrohung zu schützen, vermittelt der Channel Sales Kongress "Storage & Security" am 11. Juni in Köln. Nähere Informationen dazu finden Interessenten unter: http://www.channelpartner.de/events.
Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation ChannelPartner. (mhr)