IT-Sicherheit 2020

Wo Security einen neuen Kurs braucht

03.11.2020
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Die Security-Strategien vieler Unternehmen passen nicht zur Bedrohungslage. Lesen Sie, was jetzt zu tun ist.
Security ist ein komplexes, weitläufiges Feld. Die IDG-Research-Studie "Cyber Security 2020" legt offen, in welchen Bereichen neue Wege gefragt sind.
Security ist ein komplexes, weitläufiges Feld. Die IDG-Research-Studie "Cyber Security 2020" legt offen, in welchen Bereichen neue Wege gefragt sind.
Foto: Take Photo - shutterstock.com

Nur 14 Prozent aller Unternehmen in Deutschland denken, dass es bei ihnen bisher keinen unberechtigten Datenzugriff gegeben hat, so die aktuelle Studie "Cyber Security 2020" von IDG Research Services in Zusammenarbeit mit Microsoft, Cisco Secure, DriveLock, F-Secure, Infinigate, McAfee, Micro Focus, Trend Micro und Airlock.

Allerdings sehen die befragten Unternehmen oftmals den Schaden durch die Cyberattacken nicht oder nicht umfassend genug. Bei den kleinen Betrieben (weniger als 500 Beschäftigte) haben 39 Prozent ihrer Meinung nach bisher keinen Schaden feststellen können, 34 Prozent berichten von einen Schaden, aber nur fünf Prozent von einem massiven Schaden durch Cyberangriffe.

Hans-Peter Bauer, Vice President Central Europe bei McAfee, hat dafür eine Erklärung: "Ein Ergebnis der IDG-Studie zur Cyber Security 2020 war, dass mehr als ein Drittel aller befragten Unternehmen denken, noch keine wirtschaftlichen Schäden durch Cyberangriffe erlitten zu haben. Diese Einschätzung betrachtet oft nur den direkten Schaden. Schäden, die aber durch den Diebstahl von geistigem Eigentum entstehen, werden jedoch oft erst lange Zeit später erkannt."

Offensichtlich wird das volle Ausmaß der Schäden durch Cyberattacken noch nicht gesehen. Das bleibt nicht ohne Folgen für die Security-Strategien der Unternehmen.

Zur Studie "Cyber Security 2020" im Studienshop

Outsourcing darf kein Tabu mehr sein

Der wirkliche Schaden, den Cyberattacken verursachen können, bleibt auch deshalb vielfach unerkannt, weil sich die besonders komplexen und intelligenten Angriffe ohne entsprechendes Security-Know-how und ohne die richtigen Security-Technologien "unter dem Radar" bewegen, sie fallen schlicht nicht oder viel zu spät auf.

Trotzdem halten nur rund 20 Prozent der befragten Unternehmen die Aus- und Weiterbildung der Security-Mitarbeiter für eine große Herausforderung. Nur 19 Prozent sehen die Situation der fehlenden personellen Ressourcen im Unternehmen und damit den Fachkräftemangel in der Security als ein großes Problem an. Das Outsourcing von Security-Aufgaben hat deshalb keinen so hohen Stellenwert bei den Unternehmen, wie man erwarten würde.

Wie die Studie zeigt, sagen nur 13 Prozent der Unternehmen, dass das Outsourcing der Cyber Security bei ihnen kein Tabuthema ist. 55 Prozent jedoch halten das Outsourcing für ein No-Go in ihrem Unternehmen.

"Es ist richtig überraschend, dass das Outsourcing der eigenen Cybersicherheit nicht in Frage kommt, obwohl und wohl wissend es Ressourcenengpässe gibt", meint Rüdiger Trost, Head of Cyber Security Solutions F-Secure DACH. "Das ist nicht nur schwierig, weil der Fachkräftemarkt wie leergefegt ist, sondern weil naturgemäß eine interne Unit mangels Praxis kaum mit den neuesten Tricks der Angreifer mithalten kann."

Auch Anton Kreuzer, CEO der DriveLock SE, zeigt sich erstaunt, dass so viele Unternehmen kein Outsourcing ihrer Security in Erwägung ziehen wollen: "Die Einschätzung der Befragten, Cyberattacken als das wichtigste Unternehmensrisiko anzusehen, hat mich positiv überrascht. Wenn ich mir allerdings anschaue, ob die Maßnahmen dagegen ausreichend sind, wundere ich mich, warum Security Outsourcing gemieden wird."

Kreuzer rät den Unternehmen, hier umzudenken: "Die Angriffstaktiken werden immer ausgefeilter, IT-Sicherheitsspezialisten sind rar. Security Outsourcing an einen Provider mit einer breiten Lösungspalette und Fachleuten ist nicht unsicher, sondern gerade für kleinere Unternehmen eine ernstzunehmende Option."

"Outsourcing und ein vertrauensvoller Partner mit starker Datenschutzpolitik ist unabdingbar, um eine starke Verteidigungslinie und die Sicherheit dahinter - unabhängig von der Entwicklungsstufe der Sicherheit und Größe des Unternehmens - schnell und professionell umzusetzen", meint auch Rüdiger Trost von F-Secure.

Cybersicherheit ist kein Produkt mehr

Nur 13 Prozent der befragten Unternehmen planen nicht, ihre Cyber Security (teilweise) zu automatisieren, wie die Studie "Cyber Security 2020" zeigt. Dabei denken viele Unternehmen aber immer noch in Einzelfunktionen und Tools und betrachten nicht den Security-Prozess als Ganzes.

So denken 59 Prozent bei der Automatisierung an die Angriffsmeldung, aber nur 49 Prozent auf die Angriffserkennung. Die Angriffsabwehr wird von 57 Prozent bei der Automatisierung erwähnt. Wichtig ist allerdings, dass bei der Detektion und Antwort auf Cyberattacken ein durchgehender Prozess herrschen muss, der möglichst viel Unterstützung durch Security Automation erfährt. Meldungen ohne Erkennung sind ebenso wenig hilfreich wie eine Abwehr ohne vorherige Detektion.

"Cybersicherheit darf nicht mehr als Produkt betrachtet werden, sondern als fortlaufender Prozess mit ganzheitlicher Betrachtung der eigenen Infrastruktur", erklärt Trost.

Endpunktsicherheit mit Luft nach oben

Endgerätesicherheit ist für 38 Prozent der befragten C-Level-Entscheider (Geschäftsführung / Vorstand) die größte Aufgabe für die Security, in der IT-Leitung sehen dies 35 Prozent so.

"Das Endgerätesicherheit bei den befragten Top IT-Entscheidern und der IT-Leitung als größte Aufgabe für IT-Sicherheit eingeschätzt wird, freut mich und bestätigt unser Unternehmen in seiner Produktplanung", so DriveLock-CEO Kreuzer.

Wie die Studie "Cyber Security 2020" aufzeigt, zeigt sich bei der Endpoint-Sicherheit jedoch oftmals noch Verbesserungspotenzial.

"Das Thema Endpoint Security scheint ja nun bei den meisten Unternehmen angekommen zu sein, wie die Befragung zeigt", so Anton Kreuzer weiter. "Dass dies aber unzureichend umgesetzt wird, zeigt sich beispielsweise daran, dass privilegierte Zugänge wie die von Administratoren mit Bordmitteln verwaltet werden als wären es normale Benutzeraccounts. Da benötigt es ein ausgeklügeltes Rechte- und Zugangsmanagement und Firmenrichtlinien müssen passgenau abgebildet werden. Gute Lösungen leisten die zentrale Verwaltung der Sicherheitsrichtlinien."

Wie die Studie "Cyber Security 2020" von Computerwoche und CIO also zeigt, müssen es die Unternehmen noch besser schaffen, die von ihnen wahrgenommenen Cyberbedrohungen und die Strategien im Bereich Cyber Security in Einklang zu bringen.

Andernfalls helfen die geplanten Erhöhungen bei den Security-Budgets in 2021 wenig, da sie oftmals nicht zur Priorität der Cyberrisiken passen. Insbesondere das Outsourcing sollte nochmals überdacht werden, da es nicht zu erwarten ist, dass in 2021 der Fachkräftemangel in der Security zurückgehen wird - leider ist eher das Gegenteil der Fall.

Ergebnisdiskussion auf der it-sa 365

Im Rahmen der "Launch Days" der IT-Security-Plattform "it-sa 365" wurden die Ergebnisse der Studie vorgestellt und gemeinsam mit Vertretern der Studienpartner diskutiert. Eine Aufzeichnung der Session steht hier zur Verfügung. Eine kostenlose Registrierung auf der Plattform ist für den Abruf notwendig.

Foto: stockphoto-graf - www.shutterstock.com

Zur Studie "Cyber Security 2020" im Studienshop

Studiensteckbrief

Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner

Platin-Partner: Microsoft Deutschland GmbH

Gold-Partner: Cisco Secure; DriveLock SE; F-Secure GmbH; McAfee Germany GmbH; Micro Focus GmbH; TrendMicro Deutschland GmbH

Silber-Partner: Ergon Informatik AG (Airlock)

Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Spezialisten aus dem IT-Bereich

Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media; persönliche E-Mail-Einladungen zur Umfrage

Gesamtstichprobe: 655 abgeschlossene und qualifizierte Interviews; Stichprobe 1: 318; Stichprobe 2: 337

Untersuchungszeitraum: 20. bis 28. Juli 2020

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern

Durchführung: IDG Research Services