FireEye, ein Anbieter von Intelligence-basierten Sicherheitslösungen, zeigt in seiner von IDG durchgeführten Studie Managed Security 2018, dass fast jedes zweite befragte DACH-Unternehmen den Wert der Durchführung einer Risikoanalyse oder einer Vorfallseinschätzung zu Cyberangriffen unterschätzt - obwohl jedes zweite Unternehmen bereits Ziel eines Cyberangriffs war. [...]
Fast die Hälfte der befragten Unternehmen hat demnach bisher noch keine Bewertung vorgenommen. Zu wissen, welche „Assets“ besonders bedroht sind und wo potenzielle Schwachstellen liegen, ist für Unternehmen unerlässlich. Allerdings haben 46 Prozent der befragten Unternehmen in der Vergangenheit keine Analysen durchgeführt. Größere Unternehmen sind etwas aktiver bei der Durchführung von Assessments: Mehr als die Hälfte (57 Prozent) der Großunternehmen haben bereits eine Analyse durchgeführt, während nur 47 Prozent der kleineren Unternehmen eine solche Bewertung vorgenommen haben.
Ungefähr 61 Prozent der befragten Unternehmen nutzen keine Threat Intelligence Services oder Vorfallseinschätzungen. Dies bedeutet, dass sich Unternehmen der Risiken, denen sie ausgesetzt sind, nicht vollständig bewusst sind und nicht genau wissen, wie andere Unternehmen ins Visier genommen werden. Insbesondere kleinere Unternehmen scheinen gefährdet zu sein: Nur 10,3 Prozent der kleineren Unternehmen nutzen Threat Intelligence Services, während zumindest 17,5 Prozent der größeren Unternehmen auf diese Dienste vertrauen.
IT-Manager sind nach wie vor die Hauptentscheidungsträger
Trotz des wahrnehmbaren Trends, dass Entscheidungen zur Auslagerung von IT-Services von Entscheidern außerhalb der IT, wie zum Beispiel vom CIO, Chief Security Officer oder Geschäftsführer, getroffen werden, übernimmt in fast der Hälfte (46 Prozent) der Fälle der IT–Manager weiterhin die Leitung. Noch überraschender: Bei strategischen Entscheidungen zur IT–Sicherheit – einschließlich Managed Services – treffen IT–Manager in 80 Prozent der Fälle die Entscheidungen. Nur in 36 Prozent der Fälle ist der Chief Information Officer der Entscheidungsträger. Der CFO ist noch weniger involviert: Nur in 15 Prozent der befragten Unternehmen hat der CFO das letzte Wort, meist in kleineren Unternehmen mit weniger als 500 Mitarbeitern.
Rund 58 Prozent der befragten deutschen Unternehmen geben an, dass sie bereits Ziel eines Hackerangriffs waren. Vor allem größere Unternehmen stehen im Fokus von Cyberangriffen: 41 Prozent führen an, dass sie bereits mehrfach von Hackern angegriffen wurden. Von den Unternehmen mit weniger als 500 Mitarbeitern verzeichnete fast ein Viertel (24 Prozent) mehrfache Angriffe. Es ist jedoch davon auszugehen, dass einige der Angriffe nicht entdeckt wurden. Die Umfrage bekräftigt, dass Cyberangriffe schwerwiegende Auswirkungen haben können: In 38 Prozent der Fälle führten solche Angriffe zu massiven Störungen der Arbeitsprozesse.
Die Implementierung von IT-Sicherheitsstandards ist die größte Herausforderung
Fast jedes zweite befragte Unternehmen (46 Prozent) findet, dass die Umsetzung eines hohen Sicherheitsniveaus in der IT seine größte Herausforderung ist. Komplexere Cyberangriffe in Verbindung mit verstärkten Anstrengungen zur Umsetzung von Sicherheitsmaßnahmen stellen Unternehmen vor wachsende Herausforderungen. Insbesondere führende IT–Manager sind sich dieser Herausforderung bewusst: Vor allem CIOs, CTOs und IT-Sicherheitsmanager sehen dies so (55 Prozent).
Für mehr als die Hälfte (51 Prozent) der befragten Unternehmen ist die größte technische Herausforderung die wachsende Komplexität von Cyberangriffen. Das ist die Sichtweise des Managements (50 Prozent), IT-Abteilungsleitern (55 Prozent) und IT-Spezialisten in IT-Abteilungen (60 Prozent) gleichermaßen. CIOs und Technologieleiter sind zuversichtlicher, die technischen Herausforderungen anzugehen: Nur 40 Prozent der CIOs und technischen Leiter sind dieser Meinung.
„Dass viele Unternehmen keine Risiko- oder Bedrohungsanalyse durchgeführt haben, ist Grund zur Besorgnis, da dies ein elementarer Bestandteil jeder Sicherheitsstrategie sein sollte“, sagte Mike Hart, VP Central Europe bei FireEye. „Unternehmen sollten auch Methoden wie Penetrationstests in Betracht ziehen, bei denen ein Dritter die Abwehrsysteme eines Unternehmens testet, bevor er einen Bericht zur Verfügung stellt, der etwaige Schwachstellen aufzeigt. Es ist gefährlich, diese Außenperspektive nicht zu haben, damit die Sicherheit auch nachhaltig verbessert werden kann.“
Be the first to comment