Geringe Investitionen in die Gefahrenerkennung und falsche Schwerpunkte bei der Erfolgsmessung von risikobasierten Security Management-Programmen können zu erhöhten Sicherheitsrisiken führen. [...]
Das auf automatisierte Security und IT-Compliance spezialisierte Unternehmen Tripwire und das Ponemon Institute geben die Ergebnisse einer neuen Untersuchung zum aktuellen Status des auf Risiko fußenden Security Managements (RBSM) in Deutschland bekannt („The State of Risk-Based Security Management Study“). Die international ausgelegte Studie wurde unter 2.145 Personen in Unternehmen unterschiedlicher Größen und Branchen in Deutschland, den USA, Großbritannien und den Niederlanden durchgeführt.
In Deutschland wurden insgesamt 566 Unternehmen dazu befragt, wie sie ihr risikobasiertes Security Management (RBSM) einschätzen und wie sie ihr RBSM durch formale Programme oder den Einsatz spezifischer Kontrollen adressieren und die Effektivität dieser Maßnahmen messen. Die wichtigsten Ergebnisse der Studie im Überblick:
1. Keine Metrik, kein Erfolg
Die Untersuchungsergebnisse zeigen, dass deutsche Unternehmen den Erfolg von RBSM-Programmen messen, indem sie versuchen, erzielte Kostenreduktionen nachzuweisen. Eine derartige Erfolgsmessung kann laut Ponemon zu falschen Annahmen und in der Folge zu falschen Verhaltensweisen und erhöhten Sicherheitsrisiken führen. Die Unternehmen sollten den Marktanalysten zufolge bessere Messverfahren etablieren und nutzen, zum Beispiel um die Qualität der Konfiguration, die Effektivität der Security Controls und tatsächliche Fortschritte im Security-Programm zu prüfen. Ohne diese „guten“ Mess-Parameter werden die Organisationen nicht in der Lage sein, einen Programmerfolg aufzuweisen.
2. Unausgewogener Ansatz bei Risikomanagement und Security: Den Untersuchungsergebnissen zufolge sind die zugeteilten Security-Ausgaben nicht auf die wahrgenommenen Risiken abgestimmt. In Deutschland machen die Unternehmen große Fortschritte bezüglich der Nutzung vorbeugender Sicherheitskontrollen. Sogenannte „Detective Controls“ zur Gefahrenerkennung sind jedoch Mangelware und die Organisationen sind in der Folge nicht in der Lage, ihre Sicherheitskontrollen zu identifizieren, sinnvoll zu implementieren und kontinuierlich zu überwachen. Um hier bessere Ergebnisse zu erzielen, sollten die Unternehmen eine angemessene Balance zwischen vorbeugenden und aufdeckenden Sicherheitsmaßnahmen schaffen.
3. Auch wenn die Organisationen ein starkes Engagement für RBSM bekunden – zu wenige ergreifen tatsächlich Maßnahmen: Der größte Teil der deutschen Unternehmen (84%) behauptet, sich signifikant in Sachen RBSM zu engagieren. Doch auch wenn die meisten Organisationen sich zu RBSM bekennen und einen formalen Ansatz definiert haben, nur 61% haben tatsächlich mit der Implementierung ihres RBSM-Programms begonnen und 40% haben noch keinerlei formale RBSM-Strategien oder Prozeduren etabliert.
4. RBSM wird in Deutschland, den USA, Großbritannien und den Niederlanden sehr unterschiedlich wahrgenommen: In den USA geben 71% der befragten Unternehmen an, dass die von innen ausgehenden Sicherheitsgefahren durch sogenannte „malicious insider“ – etwa die eigenen Mitarbeiter – für Kopfschmerzen sorgen. In Großbritannien teilen diese Sorge nur 49% der Organisationen, in Deutschland lediglich 39% und in den Niederlanden sehen sich nur 16% der Firmen mit Gefahren durch heimtückische Innentäter konfrontiert.
„Insgesamt machen diese Studienergebnisse deutlich, dass deutsche Unternehmen zum Thema risikobasiertes Security Management endlich über reine Lippenbekenntnisse hinaus kommen müssen“, so Michael Loger, Senior Sales Engineer für Tripwire in Central Europe. „Clevere Security-Verantwortliche werden das Thema Sicherheitsrisiko als Mittel nutzen, um entsprechend geschäftsrelevante Diskussionen anzustoßen – und sie werden objektive Messverfahren einsetzen, um die Effektivität ihrer Security-Maßnahmen zu belegen. Es ist zwingend erforderlich, den Kreislauf der Security-Anschaffungen aus Gewohnheit zu durchbrechen und die Zuteilung von Security-Ressourcen mit den tatsächlichen Geschäftsanforderungen in Einklang zu bringen.“
„Wir glauben, dass risikobasiertes Security Management die Art, wie Unternehmen ihre geschäftskritischen Informationsbestände und Technologien schützen, grundlegend verändern wird – nämlich weg von reaktiven Sicherheitsmaßnahmen hin zu proaktivem Handeln“, so Larry Ponemon, Gründer des Ponemon Institute. Mit der Bereitstellung dieser Studie wollen wir die Unternehmen unterstützen und darin bestärken, diesen Ansatz quasi zum integralen Herzstück ihrer Geschäftsaktivitäten zu machen.“
Be the first to comment