IT-Security in Deutschland 2018

Die digitale Transformation ist ein Sicherheitsrisiko

Bernhard Haluschak ist als Redakteur bei der IDG Business Media GmbH tätig. Der Dipl. Ing. FH der Elektrotechnik / Informationsverarbeitung blickt auf langjährige Erfahrungen im Server-, Storage- und Netzwerk-Umfeld und im Bereich neuer Technologien zurück. Vor seiner Fachredakteurslaufbahn arbeitete er in Entwicklungslabors, in der Qualitätssicherung sowie als Laboringenieur in namhaften Unternehmen.
Zwei Drittel aller Unternehmen in Deutschland sind in den letzten zwei Jahren erfolgreich von Cyberkriminellen angegriffen worden - Tendenz steigend. Die IDC-Studie "IT-Security in Deutschland 2018" legt offen, woran es in den Unternehmen hapert.
IT-Security ist und bleibt 2018 und darüber hinaus ein wichtiges Thema in Deutschland.
IT-Security ist und bleibt 2018 und darüber hinaus ein wichtiges Thema in Deutschland.
Foto: Alexander Geiger - shutterstock.com

Für viele Unternehmen ist die digitale Transformation ein Fluch und zwar in puncto Security. Neue Technologien versprechen neue Geschäftsmodelle und damit Umsatzwachstum, gleichzeitig müssen aber komplexe Prozesse automatisiert und die Vernetzung der IT auf alle Bereiche des Unternehmens und darüber hinaus ausgedehnt werden. Ganz zu schweigen von der Integration einer Vielzahl neuer IP-fähiger Geräte und die IP-Aufrüstung alter Systeme. Zudem müssen sich die IT-Verantwortlichen mit Cloud Computing, dem Internet der Dinge (IoT), Virtualisierung, offenen IT-Systemen und Schnittstellen (APIs) auseinandersetzen, die nochmals eine Fülle neuer Angriffspunkte liefern.

Doch damit nicht genug: Auch die Angreifer haben in den letzten Jahren dazugelernt und neue Angriffstechniken etabliert, um herkömmliche Schutzmechanismen zu umgehen. Gleichzeitig haben sie ihr "Business" professionalisiert und zu einer lukrativen Einnahmequelle ausgebaut. Auch erleichtern anonyme Zahlungsmittel wie Bitcoin und Co. es den Erpressern, ihre Geschäftsmodelle ohne große Hindernisse zu betreiben. Darüber hinaus verlangen aktuelle Compliance-Richtlinien (EU-DSGVO) und Nachweise zur Absicherung kritischer Infrastrukturen (Kritis) im Bereichen Wasser, Ernährung, Informationstechnik und Telekommunikation sowie Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen eine Neukalibrierung bestehender IT-Infrastrukturen.

IDC hat in Deutschland 230 Organisationen mit mehr als 20 Mitarbeitern zum Thema IT-Sicherheit interviewt und die Ergebnisse in der Studie "IT-Security in Deutschland 2018" zusammengefasst.

Das sind die größten Risikofaktoren im Unternehmen

Es ist kaum verwunderlich, dass der Mitarbeiter in einem Unternehmen mit einem Anteil von 37 Prozent das größte Risiko darstellt. So führten laut IDC-Studie mangelndes Sicherheitsbewusstsein und fehlendes Know-how dazu, dass sie Phishing-Mails nicht erkennen oder Daten und Anwendungen aus unsicheren Quellen laden und so den Angreifern die Tür ins Unternehmen öffnen. Hier sind die Unternehmen in der Pflicht, den Mitarbeitern durch neue kreative Ansetze wie Live-Hacks oder praxisnahe Workshops das entsprechende Wissen zu vermitteln anstatt über Verbote und starre Richtlinien.

Gleich hinter den Anwendern platzieren sich mit 34 Prozent "ungesicherte oder mangelhaft gesicherte Endpoints", gefolgt von "Malware, Phishing und Social Engineering oder DoS-Angriffe" mit 31 Prozent. Doch auch die Gefahren von sogenannten Innentätern sollten IT-Verantwortliche nicht unterschätzen. Die von Mitarbeitern ausgelösten Sicherheitsrisiken wie etwa vorsätzliches Fehlverhalten oder Datenmissbrauch beziffert IDC in ihrer Umfrage mit 28 Prozent. Auch die unachtsame Vernetzung von Geräten mit Anwendungen ist mit 23 Prozent nicht unproblematisch.

Das sind laut den Analysten IDC die größten IT-Security-Risiken in Deutschland 2018.
Das sind laut den Analysten IDC die größten IT-Security-Risiken in Deutschland 2018.
Foto: IDC

Analytische Sicherheitsansätze auf dem Vormarsch

Die Studie zeigt, dass sich mittlerweile grundlegende IT-Security-Lösungen flächendeckend in den Unternehmen etabliert haben. So ist der Einsatz von Endpoint Security Software in Form von Anti-Virus und Threat Prevention (88 Prozent) oder Verschlüsselung (70 Prozent) kein Thema mehr. Auch Firewall Appliances (62 Prozent), Netzwerk-, Web- oder Messaging-Security-Software (56 bis 52 Prozent) sind bei den Firmen fest in das Sicherheitskonzept verwoben.

Um auch neuen Bedrohungen Herr zu werden, sind aktuell analytische und verhaltensbasierte Sicherheitstechnologien gefragt. Sie können auf Basis von selbstlernenden Systemen im Vorfeld unbekannte Aktivitäten schneller erkennen, analysieren und abwehren. In diesem Kontext setzen bereits 22 Prozent der befragten Firmen auf Security-Analytics-Technologien, 26 Prozent befinden sich in der Planungsphase.

Im Detail nutzen 57 Prozent der Studienteilnehmer verhaltensbasierte Analyse-Tools und 17 Prozent planen dies zu tun. Dahinter folgen Real-time Analytics mit 55 Prozent und kontextbezogene Analysen mit 47 Prozent. Das Schlusslicht bildet mit 25 Prozent "Big Data für Security Analytics". Es hat aber das größte Entwicklungspotenzial, da 53 Prozent der Firmen planen, diese Technologie zu nutzen.

Security aus der Cloud und Automatisierung

Das Auslagern der Security in die Cloud erfreut sich ungebremster Beliebtheit. Im Vergleich zum Vorjahr nutzen 20 Prozent mehr Unternehmen Security Services aus der Cloud. Nach den Studienergebnissen gehören mit 66 Prozent Firewalls, IDS und IPS zu den Top Security-Tools und -Ressourcen aus der Cloud. Es folgen E-Mail-Protection (60 Prozent), Web-Filtering (58 Prozent), Client-Verwaltung (55 Prozent) und Data Backup und Disaster Recovery (53 Prozent).

Um die Security-Abteilungen von lästigen Pflichten zu entlasten, werden immer mehr Prozesse automatisiert. Die Firmen versprechen sich von diesen Maßnahmen, die IT-Mitarbeiter von stupiden und lästigen Arbeiten zu befreien und manuelle Fehler zu reduzieren. Zudem lassen sich dadurch Security-Prozesse extrem beschleunigen und Lücken in Prozessketten schließen. So geben 38 Prozent der Teilnehmer an, dass sie bereits 25 bis 49 Prozent ihrer Prozesse im IT-Security-Management automatisiert haben. 28 Prozent erreichen einen Automatisierungsgrad von 50 bis 74 Prozent und 5 Prozent haben eine Automatisierungsquote von 75 bis 100 Prozent. Lediglich 21 Prozent der Befragten haben weniger als 25 Prozent ihrer Prozesse automatisiert und nur 5 Prozent verfügen über keine automatisierten Abläufe.

Für die Bekämpfung von Cyberkriminellen lassen sich vielfältige IT-Security-Ansätze nutzen.
Für die Bekämpfung von Cyberkriminellen lassen sich vielfältige IT-Security-Ansätze nutzen.
Foto: IDC

IT-Security erfolgreich planen

Laut den IDC-Analysten gehen viele Unternehmen (40 Prozent) zu sehr taktisch orientiert an das Thema IT-Security heran. Zwar könnten in kritischen Situationen Einzellösungen schnell helfen, doch langfristig führten diese nicht zu dem gewünschten Erfolg. Denn eine stabile IT-Sicherheit erfordert eine definierte Planung und braucht daher strategische Investitionen, um dauerhaft wirksam zu sein. Hier gilt das Motto: Agieren statt reagieren, um möglichen Hacker-Angriffen vorzubeugen. In diesem Kontext haben nur 19 Prozent der Unternehmen ein überwiegend strategisches Security-Konzept. Doch viele der Firmen (37 Prozent) fahren zweigleisig mit einer sowohl taktisch als auch strategisch orientierten Sicherheitsplanung.

Um die IT-Sicherheit in den Griff zu bekommen, setzen zwischen 47 und 34 Prozent der Unternehmen auf standardisierte Lösungen, die sich leicht in Client- und System-Management-Lösungen oder in andere Orchestrierungstools integrieren lassen. Besonders stark im Kommen sind intelligente Kommunikations-Layer, die unterschiedliche Lösungen eines Anbieters synchronisieren können. 16 Prozent der Befragten besitzen bereits solche Systeme und 58 Prozent planen, diese zu evaluieren.

Fazit

Die Ergebnisse der IDC-Studie machen eines klar: Das Thema Security ist und bleibt in den Unternehmen ein Dauerthema und es verschärft sich zunehmend. Neue technologische Herausforderungen wie Digitalisierung oder das Internet of Things (IoT) erfordern bei einer Vielzahl von IT-Verantwortlichen ein neues Verständnis von IT-Security. Diese Defizite werden zwar erkannt, aber noch nicht in konkrete Handlungsschritte umgesetzt. "Das gilt für den Pförtner genauso wie für den Vorstandsvorsitzenden", betont Matthias Zacher, Manager Research und Consulting bei IDC und Projektleiter der Studie.

So ist es nicht verwunderlich, dass viele Unternehmen mit massiven Sicherheitsvorfällen zu kämpfen haben. In den letzten Monaten verzeichneten 67 Prozent der befragten Firmen massive Sicherheitsverletzungen. Um diese Zahl zu reduzieren, bedarf es IDC zufolge eines einheitlichen Sicherheitskonzeptes, das IT-Security-Lösungen, -Technologien und -Services zentral zusammenfasst und steuert. Bereit 58 Prozent der Teilnehmer haben so ein umfassendes Security-Konzept eingeführt, das alle Systeme und Geräte integriert.

Security-Lösungen unterliegen dynamischen Vorgängen, um aber eine dauerhafte Absicherung zu gewährleisten, müssen sie ständig anpasst werden, so das Fazit der Analysten. Dies erfordert neue Lösungsansätze in Form von Automatisierung, Analytics oder flexiblen und modularen Nutzungsmodellen. Diese sind bereits verfügbar, werden allerdings von den Unternehmen noch nicht konsequent genutzt. Darüber hinaus sollten sich die Unternehmen langfristig mehr auf strategische als auf taktische IT-Security-Lösungen konzentrieren.