In einem Punkt sind sich die IT-Entscheider in Deutschland einig: Die Bedrohung durch immer komplexere Cyber-Angriffe nimmt massiv zur. Für fast drei Viertel der Fachleute ist das die größte Herausforderung, mit der sie sich im Bereich IT-Sicherheit konfrontiert sehen. Eng damit verknüpft ist ein zweiter Faktor: die langen Reaktionszeiten, bis solche Attacken erkannt und gestoppt werden. Mehr als 55 Prozent der Sicherheitsexperten stufen sie als das zweitgrößte Problem im Zusammenhang mit dem Schutz von IT-Infrastrukturen ein. Abhilfe versprechen sich viele Unternehmen durch das Automatisieren von IT-Security-Prozessen. Das ergab die COMPUTERWOCHE-Studie "Security Automation 2017", die von IDG Research Services erstellt wurde.
"Kurze Reaktionszeiten sind bei Cyber-Angriffen ein Schlüsselthema, alleine deshalb, um den Schaden zu minimieren", bestätigt Matthias Straub, Director Consulting für Deutschland und Österreich bei NTT Security (Germany). "Das Automatisieren von IT-Sicherheitsprozessen und der Einsatz entsprechender Lösungen kann maßgeblich dazu beitragen, die Reaktion auf Angriffe erheblich zu reduzieren." Das sehen auch rund 89 Prozent der IT-Entscheider so. Sie stufen IT Security Automation künftig als unverzichtbares Werkzeug ein, um Cyber-Attacken schnellstmöglich zu identifizieren und zu unterbinden.
Mehr als 86 Prozent der mittelständischen Unternehmen mit 100 bis 999 Mitarbeitern und der großen Firmen mit mehr als 1000 Mitarbeitern wollen daher automatisierte IT-Sicherheitslösungen einsetzen. Mit 74 Prozent ist die Quote der kleinen Unternehmen mit bis zu 100 Mitarbeitern etwas niedriger. Allerdings, so Matthias Straub, zeigt sich an solchen Zahlen, dass ein Umdenken in Unternehmen stattfindet: "Viele Firmenschätzen die Rolle von Security Automation als wichtig ein. Das ist vor allem dann der Fall, wenn es zu einem Sicherheitsvorfall kam." Danach steht nach Einschätzung des Fachmanns von NTT Security für IT-Sicherheitsmaßnahmen häufig ein größeres Budget bereit, auch für Managed Services und Beratungsleistungen durch externe Fachleute.
Angreifer bleiben lange unbemerkt
Dass in puncto Reaktionsgeschwindigkeit bei Cyber-Attacken ein erheblicher Nachholbedarf besteht, bestätigen Daten des IT-Sicherheitsunternehmens FireEye: "Nach unseren Erfahrungswerten für den Raum Europa, Mittlerer Osten und Afrika können sich Angreifer im Durchschnitt 106 Tage lang unbemerkt in einem Netzwerk bewegen", erläutert Mike Hart, Vice President Central Europe bei FireEye. Dadurch haben Kriminelle genügend Zeit, um Daten "abzusaugen" oder zu manipulieren und Hintertüren für weitere Attacken einzurichten.
Zum Video: IT-Sicherheitsprozesse werden automatisiert – aber in kleinen Schritten
Den Hauptgrund dafür, dass sich Hacker so lange in Corporate Networks "herumtreiben" können, sieht Hart nicht in einer nachlässigen Haltung der IT-Abteilungen: "Unternehmen wissen vielmehr meist nicht, wie sie mit der wachsenden Zahl und steigenden Komplexität von Cyber-Angriffen umgehen sollen", stellt der Manager von FireEye fest. "Um die Reaktionszeit bei Angriffen zu reduzieren, muss ein Sicherheitsspezialist wissen, wo er mit der Suche ansetzen soll."
Angreifer profitieren davon, dass die IT-Umgebungen von Unternehmen und öffentlichen Einrichtungen immer schwerer zu verteidigen sind. Trends wie Cloud-Computing, der wachsende Einsatz mobiler Endgeräte in Unternehmen und die Option, von unterwegs und dem Home-Office aus zu arbeiten, vergrößern die Angriffsfläche.
"Eine besondere Herausforderung in Bezug auf die Sicherheit stellt der Einsatz privater mobiler Endgeräte in Unternehmen", sagt Alexander Haugk, Senior Consultant und Trainer bei der baramundi Software AG. "Denn Nutzer verwenden typischerweise nach wie vor eigene Apps auf ihrem Smartphone oder Tablet." Daher muss die IT-Abteilung sicherstellen, dass durch den Einsatz privater Endgeräte keine Gefahren für geschäftsrelevante Daten entstehen, etwa durch bösartige Apps oder durch Anwendungen, die umfassende Berechtigungen erfordern. Automatisierte Sicherheitslösungen können laut Haugk dazu beitragen, das Management und die Absicherung von Mobilsystemen zu vereinfachen und dadurch IT-Fachleute entlasten.
Zum Video: IT-Sicherheitsprozesse werden automatisiert – aber in kleinen Schritten
Vorteile: Schnelle Reaktion und Entlastung der IT-Abteilung
Der IT-Abteilung mehr "Luft zum Atmen" zu verschaffen, ist denn auch für 43 Prozent der Teilnehmer der Studie der COMPUTERWOCHE und IDG Research Services ein wichtiger Vorteil von IT Security Automation. Ebenso viele der IT-Entscheider erwarten von automatisierten Prozessen eine Begrenzung des Schadens durch Cyber-Angriffe. Der wichtigste Punkt ist jedoch für zwei Drittel der Befragten eine schnellere Reaktion auf Attacken. " Incident Response ist ein wichtiger Bestandteil von Security-Automation-Ansätzen", bestätigt Matthias Straub. "Wichtig ist jedoch, dass die Nutzer exakt prüfen, welche Reaktionen auf Attacken automatisiert ablaufen können. Die erfordert eine sorgfältige Planung."
Hinzu kommt ein weiterer Faktor: "Unternehmen dürfen die Komplexität von Security Automation nicht unterschätzen", unterstreicht Alexander Haugk. Zudem setzen viele Unternehmen seiner Einschätzung nach zu komplizierte Automatisierungslösungen ein - mit der Folge, dass Nutzer bei der praktischen Anwendung Probleme haben. "Zudem sollten Unternehmen die Rolle von präventiven Maßnahmen nicht unterschätzen", so Haugk weiter. Der Fachmann von baramundi spielt dabei auf weitere Ergebnisse der Studie an: zum einen die Maßnahmen, die Unternehmen als Reaktion auf die steigenden Anforderungen im Bereich IT-Sicherheit ergreifen, zum anderen den Status-quo im Bereich Security Automation.
Unternehmen nutzen nur teilweise das Automatisierungspotenzial
So haben nur 45 Prozent der befragten Unternehmen das Patch-Management automatisiert. An die 28 Prozent wollen die Patch- und Update-Zyklen von Anwendungen und Systemsoftware verkürzen, um Hackern keine Schlupflöcher zu bieten. "Es ist geradezu erschreckend, welch geringen Stellenwert IT-Fachleute dem Thema Patch-Management einräumen. Dadurch erhöht sich die Gefahr erheblich, dass Hacker bekannte Sicherheitslücken für ihre Zwecke ausnutzen ", kritisiert Haugk. Ein durchgängiges (End-to-End) Monitoring ihrer IT-Infrastruktur hat erst ein Drittel der Befragten umgesetzt. Eine automatische Reaktion auf Attacken (Incident Response) ist erst bei rund 30 Prozent der Unternehmen im Einsatz.
Dass Security Automation eine Technologie ist, die sich Unternehmen erst noch etablieren muss, belegen weitere Resultate der Studie. So reagieren derzeit die meisten Unternehmen (46 Prozent) mit einer erweiterten Schulung und Weiterbildung von Mitarbeitern auf die wachsenden Anforderungen im Bereich IT-Sicherheit. Auf den folgenden Plätzen rangieren Investitionen in Backup und Disaster Recovery sowie in präventive IT-Sicherheitsmaßnahmen. Zusätzliche Ausgaben für Security-Automation-Lösungen haben nur 10 Prozent der Unternehmen auf der Agenda.
Mike Hart von FireEye kritisiert diese Vorgehensweise: "Backups und Disaster-Recovery-Maßnahmen sind keine Lösung, um die Folgen von Angriffen wie etwa Attacken mittels Erpressersoftware zu beseitigen. Denn ein betroffenes Unternehmen weiß normalerweise nicht, wie lange ein Angreifer bereits Zugang zu seinen IT-Systemen hat. Daher ist beispielsweise Threat Intelligence unverzichtbar, um Attacken möglichst frühzeitig zu erkennen." Für Alexander Haugk ist es nicht verwunderlich, dass IT-Abteilungen und Geschäftsführung vor allem mithilfe von Weiterbildungsmaßnahmen den wachsenden Risiken durch Hacker-Angriffe und Insider-Attacken begegnen wollen: "Schulungen sind günstig und lassen sich schnell umsetzen. Außerdem geben solche Maßnahmen der IT-Abteilung und Geschäftsführung das Gefühl, man habe ja etwas für die IT-Sicherheit getan."
Internet der Dinge macht Security Automation unverzichtbar
Allerdings ist absehbar, dass bestehende IT-Sicherheitskonzepte um automatisierte Prozesse ergänzt werden müssen. Einer der Gründe dafür ist das Internet der Dinge: "IoT wird die Angriffsfläche in Unternehmen und öffentlichen Einrichtungen deutlich erhöhen. Wichtig ist es daher, dass die Nutzer von den Anbietern von IoT-Lösungen fordern, dass diese IT-Sicherheit in ihre Lösungen integrieren", sagt Matthias Straub. Erschwert wird dies derzeit durch fehlende Standards und die Tatsache, dass "Unternehmen froh sind, wenn eine IoT-Umgebung überhaupt funktioniert", so Alexander Haugk.
Allerdings spielt Sicherheit beim Internet of Things eine zentrale Rolle. Denn Schwachstellen in Industrie-4.0-Umgebungen, vernetzten Fahrzeugen oder im Bereich Home Automation ermöglichen Angriffe bis hin privaten Bereich hinein. Angesichts der Vielzahl der vernetzten "Dinge" werden daher automatisierte IT-Sicherheitsprozesse und entsprechende Lösungen künftig auch beim Internet der Dinge unverzichtbar sein.
Fazit: Security Automation wird zur Normalität
Auch wenn sich etliche Unternehmen mit dem Thema intensiver als bislang beschäftigen müssen, zeigt die Studie "Security Automation 2017" eines: Ohne Automatisierung von Prozessen im Bereich IT-Sicherheit wird künftig so gut wie keine IT-Abteilung auskommen können. Denn IT-Umgebungen lassen sich heute nicht mehr "im Handbetrieb" vor der wachsenden Zahl immer komplexerer Attacken schützen. Hinzu kommt, dass Unternehmen IT-Fachleute für wichtigere Aufgaben benötigen, etwa für die Digitalisierung von Geschäftsprozessen und Angeboten.
Unternehmen, die den Schritt in Richtung Security Automation gehen wollen, müssen zudem nicht unbedingt eigene Fachleute dafür abstellen. Managed Services Provider und Partner von Security-Spezialisten übernehmen nötigenfalls Aufgaben wie Consulting sowie die Implementierung und den Betrieb einer IT-Sicherheits-Infrastruktur in einem Unternehmen. Immerhin rund 46 Prozent der Firmen und öffentlichen Einrichtungen in Deutschland arbeiten laut der Studie bereits mit einem Managed Security Services Provider zusammen. Weitere 16 Prozent wollen dies tun. Speziell für kleinere und mittelständische Unternehmen ist dies eine Option, um ihre IT-Infrastruktur vor Cyber-Angriffen zu schützen.
Die aktuelle COMPUTERWOCHE-Studie "Security Automation 2017" von IDG Research Services steht als PDF-Download im Computerwoche Online-Shop zur Verfügung. Interessenten können im Shop zudem ein Print-Exemplar der Studie (inklusive PDF-Download) bestellen. Im Bereich "Markstudien" sind außerdem weitere aktuelle Marktuntersuchungen von IDG Research Services verfügbar, etwa zu Themen wie Sourcing, Real Analytics, Digital Customer Experience und Industrie 4.0.
Informationen zur Studie
Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner
Studienpartner
Gold-Partner: NTT Security, FireEye Deutschland GmbH
Silber-Partner: Baramundi Software AG, Hornetsecurity GmbH
Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-C-H-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Spezialisten aus dem IT-Bereich
Gesamtstichprobe: 408 abgeschlossene und qualifizierte Interviews
Methode: Online-Umfrage (CAWI)