Studie Endpoint Security 2022

Endpunkt-Sicherheit braucht die Innenansicht

22.06.2022
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Neun von zehn Unternehmen denken bei Endpoint-Attacken nicht an mögliche Innentäter. Das hat gefährliche Folgen für die Security-Konzepte.
Die Studie "Endpoint Security 2022" zeigt: Das Risiko durch den Faktor Mensch sollte nicht nur auf externe Angriffe beschränkt gesehen werden.
Die Studie "Endpoint Security 2022" zeigt: Das Risiko durch den Faktor Mensch sollte nicht nur auf externe Angriffe beschränkt gesehen werden.
Foto: hasan as'ari - shutterstock.com

Wenn es darum geht, den Täterkreis bei Endpoint-Angriffen zu benennen, denken die meisten Unternehmen an die Attacken, die jenseits der eigenen Firma gestartet werden. Nur neun Prozent vermuten Innentäter als Verantwortliche für Endpoint-Attacken, so die aktuelle Studie "Endpoint Security 2022" von CIO, CSO und COMPUTERWOCHE in Zusammenarbeit mit Microsoft und Fortinet.

Dabei wissen die befragten Unternehmen gar nicht genau, wer die Täter sein könnten. Für 29 Prozent ist es ein unbekannter Täterkreis, zwölf Prozent haben keine Vorstellung, wer die Täter sein könnten. Nachrichtendienste als mögliche Täter nennen nur drei Prozent der Unternehmen, die unerlaubte Datenzugriffe über Endpoints festgestellt haben.

Helge Schroda Business Lead Cybersecurity Microsoft
Helge Schroda Business Lead Cybersecurity Microsoft
Foto: Dr. Wolfgang Ruge / Microsoft Deutschland GmbH

Wer sich schützen will, muss den Gegner kennen

Wenn aber insgesamt 41 Prozent die Täterkreise bei Endpoint-Angriffen nicht näher bestimmen können, ist es bemerkenswert, dass 81 Prozent der Attacken nicht von Innentätern ausgehen. Dabei sind es genau die Nutzerinnen und Nutzer, die den bedrohten Endpoints und den Applikationen und Daten darauf am nächsten sind. Im Gegensatz zu den externen Angreifenden haben sie ohne weiteres Zugang zu den Endpoints.

Mögliche Innentäter auszublenden ist riskant, denn wenn man sich der denkbaren Gegner nicht bewusst ist, kann man auch kein dem Risiko entsprechendes Schutzkonzept entwickeln.

29 Prozent der Befragten gehen von einem unbekannten Täterkreis aus.
29 Prozent der Befragten gehen von einem unbekannten Täterkreis aus.
Foto: Research Services: Patrick Birnbreier

Sicherheitsrichtlinien berücksichtigen die internen Risiken nicht

Wie die Studie zeigt, gibt es bei klassischen Endpoints wie Druckern deutliche Lücken zwischen Einsatz und Regelung der Sicherheit. "Überrascht hat mich, dass 15 Prozent der befragten Unternehmen Drucker/Kopierer/Scanner in ihrer IT-Security-Strategie nicht mitberücksichtigt haben", kommentiert Thorsten Henning, Director Systems Engineering DACH bei Fortinet, die Umfrageergebnisse. "Diese IoT-Geräte sind genauso verwundbar, wie die gerade erst von HP veröffentlichte Sicherheitslücke für über 200 seiner Modelle zeigt".

Henning sieht darin ein deutliches Risiko: "Für Angreifer sind gerade Drucker und Scanner willkommene Einfallstore, weil sie oft im selben Büronetzwerk wie die PCs der Mitarbeiter sind. Cyberkriminelle, die einen Drucker übernommen haben, können sich von hieraus seitlich weiter im Netzwerk bewegen und wertvolle Informationen über das Netzwerk und die Mitarbeiter sammeln. Gleichzeitig bekommen sie vertrauliche Dokumente frei Haus geliefert. Wenn diese Geräte nicht von der IT-Security überwacht werden, gewinnen die Angreifer Zeit, weil sie länger unentdeckt bleiben".

Thorsten Henning, Director Systems Engineering DACH bei Fortinet
Thorsten Henning, Director Systems Engineering DACH bei Fortinet
Foto: Fortinet GmbH

Offensichtlich unterschätzen die Unternehmen die Angriffsrisiken bei Druckern und Scannern gleich doppelt: Zum einen könnten externe Angreifende über das Internet die vernetzten Drucker und Scanner kapern. Zum anderen könnten unvorsichtige Nutzerinnen und Nutzer, aber auch Innentäter die mangelnde Kontrolle bei Scannern und Druckern zur Bedrohungen werden lassen. Vertrauliche Informationen könnten ungewollt oder absichtlich in falsche Hände geraten.

Der Fortinet-Experte berichtet aus der eigenen Unternehmenspraxis: „Auch wir haben gerade zu Beginn der Pandemie eine starke Nachfrage sowohl nach VPN- als auch Endpoint-Security-Lösungen gehabt. Über Nacht mussten zu Beginn des ersten Lockdowns die meisten Büroangestellten aus dem Home-Office arbeiten. Unternehmen, die darauf nicht vorbereitet waren, mussten schnell nachrüsten. Budgets wurden dafür kurzfristig umgeschichtet. Nachdem sichergestellt war, dass Mitarbeiter von zu Hause aus auf die Unternehmensdaten zugreifen konnten, wurde der Fokus zunehmend auf den Endpunktschutz gelegt. Unternehmen waren insbesondere besorgt, durch Ransomware angegriffen zu werden, oder wurden bereits angegriffen.“

Zur Studie 'Endpoint Security 2022' im Aboshop

Auch ehemalige Beschäftigte sind eine unterschätzte Bedrohung

In der aktuellen Studie zur Endpoint Security 2022 wird eine weitere Lücken in den Innenansichten der Unternehmen deutlich, wenn es um Endpoint-Sicherheit geht: Gerade in der IT-Abteilung scheint der Risikofaktor Mensch nicht ausreichend im Fokus zu stehen. So sagen CIOs, CDOs und IT-Leitende nur zu 35 Prozent, dass die Nachlässigkeit der eigenen Beschäftigten ein hohes oder sehr hohes Risiko darstelle.

Auch die Sabotage durch ehemalige Beschäftigte beurteilen die Befragten aus der IT nicht so kritisch, nur 29 Prozent halten dies für ein hohes oder sehr hohes Risiko für Endpoints. Diese Sicht auf Innentäter kann sich im Fall der IT-Leitungsebene besonders stark auf die Strategie für Endpoint-Sicherheit auswirken, denn die IT-Leitungsebene verantwortet relativ häufig die Security für Endpoints.

42 Prozent der Befragten sehen ein Risikopotenzial durch Nachlässigkeit interner Mitarbeiter.
42 Prozent der Befragten sehen ein Risikopotenzial durch Nachlässigkeit interner Mitarbeiter.
Foto: Research Services: Patrick Birnbreier

Zero Trust als Antwort auf die lückenhafte Innenansicht

Die unzureichende Sicht auf die Bedrohung von Innen könnte mit geeigneten Security-Konzepten schnell beantwortet und behoben werden, insbesondere mit Zero Trust. Zero Trust ist ein Sicherheitskonzept, bei dem keinem Gerät, keinem Nutzer und keinem Dienst - weder innerhalb noch außerhalb des Unternehmensnetzes - per se vertraut wird. Sämtliche Anwender und Dienste müssen einzeln authentifiziert werden, der gesamte Datenverkehr im Netzwerk wird zudem analysiert.

Wie die Studie zeigt, sind es nur 13 Prozent der Unternehmen, die auf die Anwendung eines Zero-Trust-Konzepts setzen. Das liegt aber nicht etwa an den dafür notwendigen Budgets. Denn selbst bei einem höheren jährlichen IT-Budget steigt der Einsatz von Zero-Trust-Konzepten nicht, auch von diesen Unternehmen haben nur 13 Prozent Zero Trust etabliert.

Offensichtlich erschwert die fehlende Innenansicht in der Endpoint-Sicherheit die Entscheidung für Zero Trust, da die Notwendigkeit eines solchen Ansatzes nicht so einfach zu erkennen ist, als wenn gegenwärtige und ehemalige Beschäftigte als Endpoint-Risiko wahrgenommen werden.

Zur Studie 'Endpoint Security 2022' im Aboshop

Der Faktor Mensch wird zu einseitig gesehen

Die Studienergebnisse zeigen, dass der Faktor Mensch in der Security zwar viel diskutiert, aber nicht in allen Facetten wahrgenommen wird. So stimmen 54 Prozent der Befragten der Aussage zu, dass "die beste Endpoint Security nichts bringt, wenn der Faktor Mensch das größte Sicherheitsrisiko bleibt". Dass der Faktor Mensch daher Teil des Security-Konzepts werden müsse, verneinen nur fünf Prozent der Befragten. Vergleicht man dies aber mit der weit verbreiteten Ansicht, dass mögliche Innentäter nicht zu den größten Endpoint-Risiken zählen, wird deutlich, dass der Faktor Mensch bisher zu einseitig gesehen wird.

Wenn man die Risiken für Endpoints, die von uns Menschen ausgehen können, alleine auf Bedienungsfehler und eine ungewollte Datenpanne beschränkt, vergisst man, dass es auch Menschen gibt, die absichtlich Daten von den Endpoint abfließen lassen, die ganz bewusst Sicherheitsfunktionen an den Endpoints abstellen, nicht nur aus Versehen.

Wer den Faktor Mensch mit allen möglichen Auswirkungen berücksichtigt, kommt fast automatisch zu dem Schluss, dass Endpoint Security einen Zero-Trust-Ansatz verfolgen muss.

Die Komplexität muss reduziert werden

Ein weiterer Aspekt unterstreicht, dass man in der Endpoint Security noch mehr an den Faktor Mensch denken sollte: Für uns Menschen ist die Security zu komplex, es braucht zwar mehr Security, aber weniger Komplexität.

"Die Studie fördert zu Tage, dass im Bereich der Cybersecurity ein enormer Bedarf für die Konsolidierung von Lösungen und Lieferanten besteht. Das ist auch unsere Wahrnehmung bei Microsoft", erklärt Helge Schroda, Business Lead Cybersecurity bei Microsoft. "Komplexität ist der große Gegner von sicheren Systemen, und eine Vereinfachung erreichen wir durch weniger, immer besser miteinander funktionierenden Systemen".

Schroda sieht einen wachsenden Bedarf für die Vereinfachung der Security, da sich die Anwendungsfelder der Cybersicherheit ausweiten. Als Beispiele nennt er Operational Technology (OT) und Internet of Things (IoT). "Die Studie zeigt auf, dass neue Gefahren aus dem Bereich der IOT und OT erwachsen und diesen effektiv begegnet werden muss", so Helge Schroda.

Endpoint-Sicherheit muss "menschlicher" werden

Endpoint-Sicherheit muss alle "Schnittstellen" im Blick haben und absichern, auch die Schnittstelle hin zu den Nutzenden und hin zu der IT-Administration. Bei der Wahl der richtigen technischen Security-Maßnahmen darf das Risiko durch uns Menschen nicht auf die externen Angriffe beschränkt gesehen werden. Der Mensch ist Risiko- und Sicherheitsfaktor zugleich.

Die eigenen Beschäftigten können zu beidem beitragen, zum Risiko und zur Sicherheit. Auch von außerhalb können durch uns Menschen Risiken und Sicherheit für die Endpoints ausgehen: Risiken durch die Angreifenden, Sicherheit von den Security-Dienstleistern, wobei auch hier die möglichen Risiken durch Fehler und durch mögliche, bösartige Absichten nicht vergessen werden dürfen.

Es zeigt sich, dass Unternehmen nicht nur bei ihren Endpoints mehr Transparenz benötigen, sondern auch bei den Menschen als Nutzende, als Dienstleister und als Angreifende. Endpoint Security braucht mehr Innenansichten, um den Risiken wirklich begegnen zu können.

Jetzt im Shop: die Studie "Endpoint Security 2022".
Jetzt im Shop: die Studie "Endpoint Security 2022".
Foto: Research Services: Patrick Birnbreier

Zur Studie 'Endpoint Security 2022' im Aboshop

Studiensteckbrief

Herausgeber: CIO, CSO und COMPUTERWOCHE

Platin-Partner: Microsoft Deutschland GmbH

Gold-Partner: Fortinet GmbH

Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Spezialisten aus dem IT-Bereich

Teilnehmergenerierung: Persönliche E-Mail-Einladung über die Entscheiderdatenbank Entscheiderdatenbank von CIO, CSO und COMPUTERWOCHE sowie - zur Erfüllung von Quotenvorgaben - über externe Online-Access-Panels

Gesamtstichprobe: 332 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 4. bis 11. Februar 2022

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung & Durchführung: Custom Research Team von CIO, CSO und COMPUTERWOCHE in Abstimmung mit den Studienpartnern