Für viele Unternehmen ist die digitale Transformation ein Fluch und zwar in puncto Security. Neue Technologien versprechen neue Geschäftsmodelle und damit Umsatzwachstum, gleichzeitig müssen aber komplexe Prozesse automatisiert und die Vernetzung der IT auf alle Bereiche des Unternehmens und darüber hinaus ausgedehnt werden.
Ganz zu schweigen von der Integration einer Vielzahl neuer IP-fähiger Geräte und die IP-Aufrüstung alter Systeme. Zudem müssen sich die IT-Verantwortlichen mit Cloud Computing, dem Internet der Dinge (IoT), Virtualisierung, offenen IT-Systemen und Schnittstellen (APIs) auseinandersetzen, die nochmals eine Fülle neuer Angriffspunkte liefern.
Doch damit nicht genug: Auch die Angreifer haben in den letzten Jahren dazugelernt und neue Angriffstechniken etabliert, um herkömmliche Schutzmechanismen zu umgehen. Gleichzeitig haben sie ihr "Business" professionalisiert und zu einer lukrativen Einnahmequelle ausgebaut. Auch erleichtern anonyme Zahlungsmittel wie Bitcoin und Co. es den Erpressern, ihre Geschäftsmodelle ohne große Hindernisse zu betreiben.
Darüber hinaus verlangen aktuelle Compliance-Richtlinien (EU-DSGVO) und Nachweise zur Absicherung kritischer Infrastrukturen (Kritis) im Bereichen Wasser, Ernährung, Informationstechnik und Telekommunikation sowie Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen eine Neukalibrierung bestehender IT-Infrastrukturen.
IDC hat in Deutschland 230 Organisationen mit mehr als 20 Mitarbeitern zum Thema IT-Sicherheit interviewt und die Ergebnisse in der Studie "IT-Security in Deutschland 2018" zusammengefasst.
Das sind die größten Risikofaktoren im Unternehmen
Es ist kaum verwunderlich, dass der Mitarbeiter in einem Unternehmen mit einem Anteil von 37 Prozent das größte Risiko darstellt. So führten laut IDC-Studie mangelndes Sicherheitsbewusstsein und fehlendes Know-how dazu, dass sie Phishing-Mails nicht erkennen oder Daten und Anwendungen aus unsicheren Quellen laden und so den Angreifern die Tür ins Unternehmen öffnen. Hier sind die Unternehmen in der Pflicht, den Mitarbeitern durch neue kreative Ansetze wie Live-Hacks oder praxisnahe Workshops das entsprechende Wissen zu vermitteln anstatt über Verbote und starre Richtlinien.
Gleich hinter den Anwendern platzieren sich mit 34 Prozent "ungesicherte oder mangelhaft gesicherte Endpoints", gefolgt von "Malware, Phishing und Social Engineering oder DoS-Angriffe" mit 31 Prozent. Doch auch die Gefahren von sogenannten Innentätern sollten IT-Verantwortliche nicht unterschätzen. Die von Mitarbeitern ausgelösten Sicherheitsrisiken wie etwa vorsätzliches Fehlverhalten oder Datenmissbrauch beziffert IDC in ihrer Umfrage mit 28 Prozent. Auch die unachtsame Vernetzung von Geräten mit Anwendungen ist mit 23 Prozent nicht unproblematisch.
Analytische Sicherheitsansätze auf dem Vormarsch
Die Studie zeigt, dass sich mittlerweile grundlegende IT-Security-Lösungen flächendeckend in den Unternehmen etabliert haben. So ist der Einsatz von Endpoint Security Software in Form von Anti-Virus und Threat Prevention (88 Prozent) oder Verschlüsselung (70 Prozent) kein Thema mehr. Auch Firewall Appliances (62 Prozent), Netzwerk-, Web- oder Messaging-Security-Software (56 bis 52 Prozent) sind bei den Firmen fest in das Sicherheitskonzept verwoben.
Um auch neuen Bedrohungen Herr zu werden, sind aktuell analytische und verhaltensbasierte Sicherheitstechnologien gefragt. Sie können auf Basis von selbstlernenden Systemen im Vorfeld unbekannte Aktivitäten schneller erkennen, analysieren und abwehren. In diesem Kontext setzen bereits 22 Prozent der befragten Firmen auf Security-Analytics-Technologien, 26 Prozent befinden sich in der Planungsphase.
Im Detail nutzen 57 Prozent der Studienteilnehmer verhaltensbasierte Analyse-Tools und 17 Prozent planen dies zu tun. Dahinter folgen Real-time Analytics mit 55 Prozent und kontextbezogene Analysen mit 47 Prozent. Das Schlusslicht bildet mit 25 Prozent "Big Data für Security Analytics". Es hat aber das größte Entwicklungspotenzial, da 53 Prozent der Firmen planen, diese Technologie zu nutzen.
Security aus der Cloud und Automatisierung
Das Auslagern der Security in die Cloud erfreut sich ungebremster Beliebtheit. Im Vergleich zum Vorjahr nutzen 20 Prozent mehr Unternehmen Security Services aus der Cloud. Nach den Studienergebnissen gehören mit 66 Prozent Firewalls, IDS und IPS zu den Top Security-Tools und -Ressourcen aus der Cloud. Es folgen E-Mail-Protection (60 Prozent), Web-Filtering (58 Prozent), Client-Verwaltung (55 Prozent) und Data Backup und Disaster Recovery (53 Prozent).
Um die Security-Abteilungen von lästigen Pflichten zu entlasten, werden immer mehr Prozesse automatisiert. Die Firmen versprechen sich von diesen Maßnahmen, die IT-Mitarbeiter von stupiden und lästigen Arbeiten zu befreien und manuelle Fehler zu reduzieren. Zudem lassen sich dadurch Security-Prozesse extrem beschleunigen und Lücken in Prozessketten schließen.
So geben 38 Prozent der Teilnehmer an, dass sie bereits 25 bis 49 Prozent ihrer Prozesse im IT-Security-Management automatisiert haben. 28 Prozent erreichen einen Automatisierungsgrad von 50 bis 74 Prozent und 5 Prozent haben eine Automatisierungsquote von 75 bis 100 Prozent. Lediglich 21 Prozent der Befragten haben weniger als 25 Prozent ihrer Prozesse automatisiert und nur 5 Prozent verfügen über keine automatisierten Abläufe.
Digitalisierung funktioniert nur mit einer modernen IT
Laut den IDC-Analysten gehen viele Unternehmen (40 Prozent) zu sehr taktisch orientiert an das Thema IT-Security heran. Zwar könnten in kritischen Situationen Einzellösungen schnell helfen, doch langfristig führten diese nicht zu dem gewünschten Erfolg. Denn eine stabile IT-Sicherheit erfordert eine definierte Planung und braucht daher strategische Investitionen, um dauerhaft wirksam zu sein. Hier gilt das Motto: Agieren statt reagieren, um möglichen Hacker-Angriffen vorzubeugen.
In diesem Kontext haben nur 19 Prozent der Unternehmen ein überwiegend strategisches Security-Konzept. Doch viele der Firmen (37 Prozent) fahren zweigleisig mit einer sowohl taktisch als auch strategisch orientierten Sicherheitsplanung.
Um die IT-Sicherheit in den Griff zu bekommen, setzen zwischen 47 und 34 Prozent der Unternehmen auf standardisierte Lösungen, die sich leicht in Client- und System-Management-Lösungen oder in andere Orchestrierungstools integrieren lassen. Besonders stark im Kommen sind intelligente Kommunikations-Layer, die unterschiedliche Lösungen eines Anbieters synchronisieren können. 16 Prozent der Befragten besitzen bereits solche Systeme und 58 Prozent planen, diese zu evaluieren.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Fazit
Die Ergebnisse der IDC-Studie machen eines klar: Das Thema Security ist und bleibt in den Unternehmen ein Dauerthema und es verschärft sich zunehmend. Neue technologische Herausforderungen wie Digitalisierung oder das Internet of Things (IoT) erfordern bei einer Vielzahl von IT-Verantwortlichen ein neues Verständnis von IT-Security. Diese Defizite werden zwar erkannt, aber noch nicht in konkrete Handlungsschritte umgesetzt. "Das gilt für den Pförtner genauso wie für den Vorstandsvorsitzenden", betont Matthias Zacher, Manager Research und Consulting bei IDC und Projektleiter der Studie.
So ist es nicht verwunderlich, dass viele Unternehmen mit massiven Sicherheitsvorfällen zu kämpfen haben. In den letzten Monaten verzeichneten 67 Prozent der befragten Firmen massive Sicherheitsverletzungen. Um diese Zahl zu reduzieren, bedarf es IDC zufolge eines einheitlichen Sicherheitskonzeptes, das IT-Security-Lösungen, -Technologien und -Services zentral zusammenfasst und steuert. Bereit 58 Prozent der Teilnehmer haben so ein umfassendes Security-Konzept eingeführt, das alle Systeme und Geräte integriert.
Security-Lösungen unterliegen dynamischen Vorgängen, um aber eine dauerhafte Absicherung zu gewährleisten, müssen sie ständig angepasst werden, so das Fazit der Analysten. Dies erfordert neue Lösungsansätze in Form von Automatisierung, Analytics oder flexiblen und modularen Nutzungsmodellen. Diese sind bereits verfügbar, werden allerdings von den Unternehmen noch nicht konsequent genutzt. Darüber hinaus sollten sich die Unternehmen langfristig mehr auf strategische als auf taktische IT-Security-Lösungen konzentrieren.