Bitdefender hat im Herbst 2022 weltweit 1.693 überwiegend kleine und mittelständische Unternehmen dazu befragt, wie sie ihre Cyberabwehr aufgestellt sehen. [...]
Ressourcenmangel ist trotz langsam wachsender Teams ein wichtiges Thema – aber nicht das zentrale. Menschliches Fehlverhalten von Mitarbeitern scheint für viele das größere Problem zu sein. Die Studie belegt die dünne Personaldecke in der IT-Abwehr kleiner und mittlerer Unternehmen.
Diese verfügen in ihrem eigenen Urteil über hinreichende Tools, verlangen aber zunehmend auch die Prävention und das frühzeitige Erkennen von Gefahren. Wer dies und die Abwehr der Folgen von menschlichen Fehlern leisten will, muss angesichts dünner Personalressourcen eigentlich nach externer Hilfe suchen.
Hier mag aber ein Problem liegen: Denn ein Auslagern von IT-Sicherheit ziehen die meisten der Befragten nicht in Betracht. Menschliche Fehler von Angestellten kann eine IT-Abwehr aber alleine kaum ausschließen oder dessen Folgen eindämmen.
Die Sicherheitsverantwortlichen sehen die steigende Gefahr durch Cyberkriminelle und wissen, dass ihre IT-Sicherheit mehr leisten muss. Deswegen wollen immer mehr der Befragten weg von der herkömmlichen Abwehr und zu ganzheitlichen Ansätzen mit Prävention, Erkennung und Abwehr übergehen.
53 % der befragten Unternehmen und Organisationen in über 100 Ländern sind bereits diesen Weg gegangen, zwölf % testen eine proaktivere Sicherheitsstrategie, 32 % ziehen eine proaktivere Defensivstrategie für die nähere Zukunft in Betracht.
Dennoch stellen 61 % der Befragten im Rückblick auf die vergangenen zwölf Monate zufrieden fest, ihre Sicherheitslage habe sich verbessert. Das sind sechs % mehr als bei der Vorgängerumfrage aus dem Jahr 2021. Ganze vier % der Studienteilnehmer gehen davon aus, dass ihre IT-Sicherheit schlechter aufgestellt sei.
Zu den weiteren zentralen Ergebnissen der Studie gehören:
1. Nur 51 % der Unternehmen glaubten 2022, NIEMALS Ziel einer fortgeschrittenen Attacke gewesen zu sein
Das heißt im Umkehrschluss: fast jedes zweite Unternehmen durchaus. 21 % sehen eine hohe Wahrscheinlichkeit dafür, dass ein solcher Angriff in naher Zukunft stattfinden wird. Bedenklich ist, dass trotzdem nur 39 % einen Cyberabwehrplan vorbereitet haben.
2. Mangel an Sicherheitspersonal und -fähigkeiten ist nur für jedes dritte Unternehmen das Hauptproblem
Allen Diskussionen rund um den ohne Zweifel vorhandenen Personalmangel zum Trotz: Befragt nach den wichtigsten Herausforderungen an die IT-Sicherheit liegt der Faktor Personal- und Kompetenzmangel mit 34 % nur auf Rang vier. Die Lage scheint sich aber zu verschärfen. Denn das sind fünf Prozentpunkte mehr als 2021.
Für die meisten der Befragten stellen begrenzte Budgets (48 %) das größte Problem dar. Sicherheit scheint in ihren Augen kaufbar zu sein. Ebenso gefährlich sind für die Studienteilnehmer unsicheres Verhalten der Angestellten (47 %) und menschliche Fehler (43 %). An Tools zur Sicherheit mangelt es ihnen wohl nicht: Nur 15 % sehen das größte Problem im Fehlen von einschlägigen Sicherheitstools.
3. IT-Sicherheit ist nur eine Aufgabe von vielen
Ganze 18 % der Unternehmen können einen Mitarbeiter ausschließlich für die Belange der IT-Sicherheit abstellen, in 82 % ist IT-Defensive eine Aufgabe von vielen für die IT-Administration. Dass IT-Teams ohnehin sehr klein sind, verschärft die Lage noch: In 30 % der Fälle sind die Administratoren Einzelkämpfer für alles, in 41 % bestehen die Teams aus zwei bis vier Personen.
Wenn ein eigenes Cybersicherheitsteam existiert, besteht es bei 50 % der Unternehmen aus einer Person, zu 38 % aus zwei bis vier Personen. Viele Unternehmen wollen aber Abhilfe schaffen: 21 % planen konkret, Cybersicherheitspersonal einzustellen. 2020 lag dieser Anteil noch bei 15 %. Das Bewusstsein für die Mangelsituation steigt also, ist aber niedriger als die Diskussion vermuten lässt.
4. IT-Sicherheit bleibt im Hause
Trotzdem lagert nur knapp jedes vierte befragte Unternehmen seine Sicherheit an einen MSP, einen MSSP oder einen MDR-Dienstleister aus. Aber 13 % der anderen überlegen, dies zu tun. 61 % glauben dagegen, eine solche Hilfe nicht nötig zu haben.
„IT-Administrationen müssen viel leisten – und sie tun es auch: Die Studienergebnisse zeigen, dass sich Unternehmen auch nicht hinter Personalmangel oder einer unzulänglichen Technologieausstattung verstecken. Selbst nach automatisierten Set-and-Forget-Lösungen sucht nicht einmal jeder vierte schwerpunktmäßig. Dass Sicherheit eine wichtige und große Aufgabe ist, dessen ist man sich offenbar bewusst“, kommentiert Jörg von der Heydt, Regional Director DACH bei Bitdefender die diesjährigen Ergebnisse der in den vergangenen drei Jahren wiederholt durchgeführten Studie.
„Das positive Selbsturteil der Befragten zu ihrem Sicherheitsstatus sollte aber auf keinen Fall dazu führen, sich in Sicherheit zu wiegen. Genauso gefährlich ist vor allem bei kleineren Unternehmen der Rückschluss, eine vollständig selbstverwaltete IT-Sicherheit sei hinreichend. Zumal diese viel Arbeit macht: Wenn einfache Bedienbarkeit und Support für 33 bzw. 27 % der Befragten Top-Kriterien für die Auswahl einer Sicherheitslösung sind, ist dies vielleicht ein kleiner Ruf nach Entlastung. Ebenso die Tatsache, dass drei von vier der Befragten eine einheitliche Sicherheitsplattform für Endpunkt, Netzwerk und Cloud wünschen. Dass es für zwei Drittel der Befragten kein Thema ist, IT-Sicherheit auszulagern, mag aus Sorge um das intellektuelle Eigentum der Daten und um die Compliance verständlich sein. Aber es erstaunt, denn niemand kann für seine IT-Sicherheit allein sorgen. Nur Plattformsicherheit und Hilfe von außen sorgen für hinreichende IT-Sicherheit.“
Über die Studie
Für die Bitdefender Cybersecurity Posture Survey Looking Forward 2023 befragte das Unternehmen weltweit 1.693 Unternehmen in 100 Ländern. Jeweils 44 % aus Nord- und Südamerika sowie aus Europa. 85 % der befragten Unternehmen der unterschiedlichsten Industriebereiche beschäftigen dabei weniger als 500 Mitarbeiter.
Die vollständige Studie finden Sie hier.
Be the first to comment