Die Befragung von rund 300 IT-Entscheidern und Sicherheitsfachleuten im Rahmen der Strategic Security Survey 2018 von Dark Reading hat ergeben, dass mehr und nicht weniger Unternehmen mit Datenschutzverletzungen rechnen - und sie fühlen sich schlecht gerüstet, ihre Daten gegen diese Bedrohungen zu schützen.
Foto: byvalet - shutterstock.com
Zunehmende Komplexität der Bedrohungen, eine sich verbreiternde Angriffsfläche, Insider-Bedrohungen und ein starker Anstieg von Ransomware und gezielten Angriffen gehören zu den Trends, die diese Befürchtungen auslösen.
Pessimismus nimmt zu
Die Zahl der Befragten, die erwarten, dass ihre Unternehmen in den nächsten zwölf Monaten verletzt werden, ist im Laufe des Jahres 2017 gestiegen. Eine hohe Anzahl von Befragten erwartet, dass ein Insider mit vertrauenswürdigem Zugang die Ursache für den Verstoß sein wird. Aber auch Bedenken hinsichtlich externer Angreifer und ausgeklügelter neuer Bedrohungen sind groß. Eine wachsende Angriffsfläche, gezielte Angriffe und Ransomware verstärken in vielen Unternehmen das Gefühl, unvorbereitet zu sein. Aber die Besorgnis über Überbesetzung und Budgets scheint sich gegenüber den 2017 geäußerten Bedenken leicht verringert zu haben.
Lesetipp: Die Insider-Gefahr aus dem Dark Web
Auf die Frage, ob sie glauben, dass ihre Unternehmen anfälliger für Datenschutzverletzungen sind als vor einem Jahr, bejahten dies 19 Prozent der Befragten. Die Zahl ist etwas höher gegenüber 17 Prozent im Vorjahr.
Dagegen ist der Anteil der Befragten, die der Meinung sind, dass die Gefährdung ihres Unternehmens durch Datenschutzverletzungen im vergangenen Jahr gleich geblieben ist, deutlich gesunken. Während im letzten Jahr 55 Prozent angaben, dass ihre Anfälligkeit für Datenschutzverletzungen in den letzten 12 Monaten stabil geblieben sei, sind es im diesen Jahr nur noch 48 Prozent. Diese Bedenken und Erwartungen hinsichtlich der Verletzung sind beunruhigend, da die Investitionen in die Cybersicherheit in den letzten Jahren stark gestiegen sind. Die Umfrageergebnisse zeigen jedoch, dass für die meisten Unternehmen die großen Ausgaben noch nicht in mehr Sicherheit umgesetzt wurden.
Zunehmende Cyberkriminalität und gezielte Angriffe
Auf die Frage nach dem wahrscheinlichsten Grund für einen größeren Datenangriff im kommenden Jahr, erwartet jeder Sechste (61 Prozent) einen fahrlässigen Anwender oder einen Mitarbeiter, der sich über Richtlinien hinwegsetzt, als Verursacher.
Lesetipp: Ist Cybercrime nur ein Märchen?
Mehr als die Hälfte (54 Prozent) der Befragten nennen Cyber-Kriminelle als die größte Bedrohung für ihre Sicherheit. Mehr als ein Viertel (26%) gehen davon aus, dass es im nächsten Jahr aufgrund eines gezielten Angriffs auf ihr Unternehmen zu einer größeren Datenpanne kommen wird. 21 Prozent der Befragten ist bereits ein solch gezielter Angriff wiederfahren - verglichen mit 17 Prozent im Vorjahr.
Ein weiterer Grund, warum gezielte Bedrohungen zu einem Problem werden, ist die Forcierung staatlich gelenkter Cyber-Aktivitäten. In den letzten Jahren gab es erhebliche Bedenken, dass staatlich geförderte Angreifer - insbesondere aus Russland, China und Nordkorea - gezielte Angriffe auf Organisationen richten. Der Tumult um den Eingriff in die US-Wahlen ist dabei lediglich die Spitze des Eisbergs.
Die durchschnittliche Datenpanne kostet Unternehmen stolze 3,62 Millionen Dollar
Angriffe können verheerende Folgen haben: So schätzen 17 Prozent der befragten Studienteilnehmer den entstandenen Schaden zwischen 100.000 und 999.999 US-Dollar. Neun Prozent gehen von 1 Million bis 4,9 Millionen US-Dollar aus, während zwei Prozent die Schäden sogar oberhalb von 5 Millionen US-Dollar beziffern.
Das Ponemon Institute kam im vergangenen Jahr zu ähnlichen Ergebnissen und bezifferte die weltweiten Durchschnittskosten einer Datenpanne auf 3,62 Millionen US-Dollar oder etwa 141 US-Dollar pro Datensatz. Neben den unmittelbaren Wiederherstellungskosten der IT, sind mitunter weitreichende Rechtsberatungskosten, Schadenersatzansprüche Dritter, Strafzahlungen in regulierten Branchen und langfristige Reputationsschäden die Konsequenz.
Verharren im Dornröschenschlaf
Trotz weitreichender Implikationen geben lediglich 25 Prozent der IT- und Sicherheitsprofis in der Umfrage an, dass ihr Top-Management das Thema vollständig im Blick hat. Neununddreißig Prozent geben an, dass ihre Top-Manager zwar Verständnis für Geschäftsrisiken haben, Datenschutzverletzungen jedoch schwer quantifizieren können. Beide Zahlen sind niedriger gegenüber den 29 Prozent beziehungsweise 45 Prozent im Vorjahr.
Fünfundzwanzig Prozent der Befragten geben an, dass ihre Top-Manager nicht wirklich verstehen, wie Cyber-Angriffe das Unternehmen stören könnten - eine deutliche Verschlecheterung verglichen mit 18 Prozent im Vorjahr.
Die Zahlen deuten darauf hin, dass Top-Manager von Unternehmen immer schlechter und nicht besser werden, wenn es darum geht, die wahren Auswirkungen von Datenschutzverletzungen zu verstehen - zu einer Zeit, in der ihre Beteiligung im Zuge der Digitalisierung mehr gefordert ist denn je.
App Security als größte Bedrohungen
Schwachstellen in Anwendungen nehmen an Bedeutung enorm zu. Das Datenleck im Online-Ticketsystem bei British Airways ist hierzu ein aktuelles Beispiel.
So nannten 42 Prozent der Studien-Befragten Applikationsausfälle als die größte Bedrohung für die Sicherheit ihrer Daten. Sicherheitsprobleme bei Applikationen sind nicht neu; viele Studien und Sicherheitsberichte der letzten Jahren, haben Probleme im Zusammenhang mit der hohen Häufigkeit von Schwachstellen wie SQL-Injektion, standortübergreifende Skripte und Konfigurationsfehler in Web-Anwendungen aufgezeigt.
Diese Sorgen wurden in den letzten Jahren durch die zunehmende Einführung von agilen Softwareentwicklungsmodellen wie DevOps und Continuous Delivery verschärft, die manchmal eher auf Geschwindigkeit denn auf Sicherheit setzen. Sicherheitsexperten sind auch besorgt über die häufige Verwendung von Open-Source-Code in der heutigen Software, von denen einige nur unzureichend auf Sicherheit getestet werden können.
Auf die Frage nach den häufigsten Arten von Cyber-Angriffen im vergangenen Jahr, wurden Malware und Phishing erneut als größte Übeltäter benannt. Während 52 Prozent einen Malware-Angriff verzeichneten, hatten 48 Prozent mit Phishing zu kämpfen. Ransom-Software (16 Prozent) war der dritthäufigste Grund für eine Datenpanne im vergangenen Jahr, was gegenüber früheren Umfragen deutlich zurückgegangen ist.
Andere Arten von gemeldeten Datenschutzverletzungen waren Denial-of-Service-Angriffe (15 Prozent) und Diebstahl von Computern oder Speichermedien (14 Prozent).
Lesetipp: So funktionieren DDoS-Angriffe
Fazit
Die Ergebnisse der Studie zeigen, dass Datensicherheitsfragen trotz steigendem Bewusstsein und zunehmender Investitionen in die Cybersicherheit kritischer denn je sind. Angriffe werden zunehmend komplexer und ausgeklügelter und nehmen an Häufigkeit zu, was zu großer Verunsicherung führt. Mehr Unternehmen erwarten in den nächsten zwölf Monaten eine größeren Datenpanne als im Vorjahr.
Die Digitalisierung führt unweigerlich dazu, dass sich Unternehmen größeren Risiken aussetzen und die Abhängigkeit steigt, was die Verfügbarkeit der IT betrifft. Dies ist nicht per se verwerflich, bedeutet aber ein Umdenken und entschlossenes Handeln um Risiken wirkungsvoll zu mitigieren. Beunruhigend bleibt, wie viele Manager den Ergebnissen der Studie nach all dies weiterhin auf die leichte Schulter nehmen und schlechter informiert sind als im Vorjahr.
Um die Herausforderungen zu meistern, ist es höchste Zeit IT-Sicherheit zur Chefsache zu machen. Wie die Maus sitzend vor der Schlange zu verharren und auf Besserung zu hoffen, ist wenig ratsam - für Lethargie ist in Sicherheitsfragen schlicht weg kein Platz!