Unternehmen nutzen nur teilweise das Automatisierungspotenzial
So haben nur 45 Prozent der befragten Unternehmen das Patch-Management automatisiert. An die 28 Prozent wollen die Patch- und Update-Zyklen von Anwendungen und Systemsoftware verkürzen, um Hackern keine Schlupflöcher zu bieten. "Es ist geradezu erschreckend, welch geringen Stellenwert IT-Fachleute dem Thema Patch-Management einräumen. Dadurch erhöht sich die Gefahr erheblich, dass Hacker bekannte Sicherheitslücken für ihre Zwecke ausnutzen ", kritisiert Haugk. Ein durchgängiges (End-to-End) Monitoring ihrer IT-Infrastruktur hat erst ein Drittel der Befragten umgesetzt. Eine automatische Reaktion auf Attacken (Incident Response) ist erst bei rund 30 Prozent der Unternehmen im Einsatz.
Dass Security Automation eine Technologie ist, die sich Unternehmen erst noch etablieren muss, belegen weitere Resultate der Studie. So reagieren derzeit die meisten Unternehmen (46 Prozent) mit einer erweiterten Schulung und Weiterbildung von Mitarbeitern auf die wachsenden Anforderungen im Bereich IT-Sicherheit. Auf den folgenden Plätzen rangieren Investitionen in Backup und Disaster Recovery sowie in präventive IT-Sicherheitsmaßnahmen. Zusätzliche Ausgaben für Security-Automation-Lösungen haben nur 10 Prozent der Unternehmen auf der Agenda.
Mike Hart von FireEye kritisiert diese Vorgehensweise: "Backups und Disaster-Recovery-Maßnahmen sind keine Lösung, um die Folgen von Angriffen wie etwa Attacken mittels Erpressersoftware zu beseitigen. Denn ein betroffenes Unternehmen weiß normalerweise nicht, wie lange ein Angreifer bereits Zugang zu seinen IT-Systemen hat. Daher ist beispielsweise Threat Intelligence unverzichtbar, um Attacken möglichst frühzeitig zu erkennen." Für Alexander Haugk ist es nicht verwunderlich, dass IT-Abteilungen und Geschäftsführung vor allem mithilfe von Weiterbildungsmaßnahmen den wachsenden Risiken durch Hacker-Angriffe und Insider-Attacken begegnen wollen: "Schulungen sind günstig und lassen sich schnell umsetzen. Außerdem geben solche Maßnahmen der IT-Abteilung und Geschäftsführung das Gefühl, man habe ja etwas für die IT-Sicherheit getan."
Internet der Dinge macht Security Automation unverzichtbar
Allerdings ist absehbar, dass bestehende IT-Sicherheitskonzepte um automatisierte Prozesse ergänzt werden müssen. Einer der Gründe dafür ist das Internet der Dinge: "IoT wird die Angriffsfläche in Unternehmen und öffentlichen Einrichtungen deutlich erhöhen. Wichtig ist es daher, dass die Nutzer von den Anbietern von IoT-Lösungen fordern, dass diese IT-Sicherheit in ihre Lösungen integrieren", sagt Matthias Straub. Erschwert wird dies derzeit durch fehlende Standards und die Tatsache, dass "Unternehmen froh sind, wenn eine IoT-Umgebung überhaupt funktioniert", so Alexander Haugk.
Allerdings spielt Sicherheit beim Internet of Things eine zentrale Rolle. Denn Schwachstellen in Industrie-4.0-Umgebungen, vernetzten Fahrzeugen oder im Bereich Home Automation ermöglichen Angriffe bis hin privaten Bereich hinein. Angesichts der Vielzahl der vernetzten "Dinge" werden daher automatisierte IT-Sicherheitsprozesse und entsprechende Lösungen künftig auch beim Internet der Dinge unverzichtbar sein.
Fazit: Security Automation wird zur Normalität
Auch wenn sich etliche Unternehmen mit dem Thema intensiver als bislang beschäftigen müssen, zeigt die Studie "Security Automation 2017" eines: Ohne Automatisierung von Prozessen im Bereich IT-Sicherheit wird künftig so gut wie keine IT-Abteilung auskommen können. Denn IT-Umgebungen lassen sich heute nicht mehr "im Handbetrieb" vor der wachsenden Zahl immer komplexerer Attacken schützen. Hinzu kommt, dass Unternehmen IT-Fachleute für wichtigere Aufgaben benötigen, etwa für die Digitalisierung von Geschäftsprozessen und Angeboten.
Unternehmen, die den Schritt in Richtung Security Automation gehen wollen, müssen zudem nicht unbedingt eigene Fachleute dafür abstellen. Managed Services Provider und Partner von Security-Spezialisten übernehmen nötigenfalls Aufgaben wie Consulting sowie die Implementierung und den Betrieb einer IT-Sicherheits-Infrastruktur in einem Unternehmen. Immerhin rund 46 Prozent der Firmen und öffentlichen Einrichtungen in Deutschland arbeiten laut der Studie bereits mit einem Managed Security Services Provider zusammen. Weitere 16 Prozent wollen dies tun. Speziell für kleinere und mittelständische Unternehmen ist dies eine Option, um ihre IT-Infrastruktur vor Cyber-Angriffen zu schützen.
Die aktuelle COMPUTERWOCHE-Studie "Security Automation 2017" von IDG Research Services steht als PDF-Download im Computerwoche Online-Shop zur Verfügung. Interessenten können im Shop zudem ein Print-Exemplar der Studie (inklusive PDF-Download) bestellen. Im Bereich "Markstudien" sind außerdem weitere aktuelle Marktuntersuchungen von IDG Research Services verfügbar, etwa zu Themen wie Sourcing, Real Analytics, Digital Customer Experience und Industrie 4.0.
Informationen zur Studie
Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner
Studienpartner
Gold-Partner: NTT Security, FireEye Deutschland GmbH
Silber-Partner: Baramundi Software AG, Hornetsecurity GmbH
Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-C-H-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Spezialisten aus dem IT-Bereich
Gesamtstichprobe: 408 abgeschlossene und qualifizierte Interviews
Methode: Online-Umfrage (CAWI)