IT-Sicherheit hat sich zweifellos zu einem der wichtigsten Themen entwickelt, mit dem sich die IT-Abteilung, CIOs und Geschäftsführer auseinandersetzen müssen. Dennoch scheint in diesem Punkt eine gewisse Naivität in den Chefetagen vorzuherrschen. Anders ist folgendes Ergebnis der Studie "Managed Security Services 2018" nicht zu erklären, die IDG Research Services im Auftrag der COMPUTERWOCHE erstellt hat: Ein Drittel der deutschen Unternehmen schließt aus, dass sie jemals Opfer einer Cyber-Attacke wurden.

Diese Einschätzung erstaunt auch die Experten von Unternehmen, die gemanagte IT-Security-Services anbieten: "Ich hätte eine deutlich geringere Zahl erwartet", sagt beispielsweise Rüdiger Weyrauch, Director Systems Engineering Central and Eastern Europe bei FireEye. "Denn laut dem M-Trend Report von FireEye hat ein Angreifer im Schnitt 101 Tage lang Zugriff auf IT-Systeme oder das Netzwerk eines Unternehmens, bis er entdeckt wird."

Ein Grund dafür, dass sich ein relativ großer Teil der Unternehmen in Sicherheit wiegt, ist das fehlende Wissen und Bewusstsein von Geschäftsleitung und CIOs. "Viele Unternehmen wissen vermutlich gar nicht, dass sie angegriffen wurden", betont Kai Grunwitz, Senior Vice President EMEA beim IT-Sicherheitsspezialisten NTT Security. Daher sei es durchaus denkbar, dass die Zahl der attackierten Unternehmen in Wirklichkeit höher liege. Dazu trägt ein weiterer Faktor bei, ergänzt Sven Schaefer, Business Devleopment Consultant bei der Rackspace Germany GmbH: "Viele behaupten, sie seien noch kein Opfer von Cyber-Angriffen geworden, weil IT-Verantwortliche und Geschäftsführer der Auffassung sind, dass sich solche Attacken unmittelbar bemerkbar machen müssten. Das ist aber nur bei einem Teil der Angriffe der Fall, etwa DDoS-Attacken." Wenn dagegen externe oder interne Angreifer vorsichtig zu Werke gehen, können sie Schaden anrichten, ohne dass dies sofort auffällt.

Die Studie Managed Security Services finden Sie hier in unserem Studienshop

Angriffe wollen Systeme lahmlegen

Positiv ist jedoch aus Sicht der drei Sicherheitsfachleute, dass ein beträchtlicher Teil der Unternehmen in Deutschland die zentrale Rolle von IT-Security erkannt hat. Dazu haben auch verschärfte Datenschutzbestimmungen beigetragen, wie etwa die EU-Datenschutz-Grundverordnung (DSGVO).

Einig sind sich die Experten zudem darin, dass die Auswirkungen von Angriffen auf IT-Systeme und Anwendungen massiver werden. Laut der Studie verzeichnete ein Drittel der deutschen Unternehmen durch solche Attacken ernsthafte Störungen des Geschäftsbetriebs. Eine gefährliche Tendenz ist, dass es den Angreifern nicht mehr alleine um den Diebstahl verwertbarer Informationen geht: "Ein Teil der gezielten Angriffe hat mittlerweile destruktive Ziele", bestätigt Rüdiger Weyrauch von FireEye. "Angreifer wollen Produktionsstraßen herunterfahren oder Kraftwerke lahmlegen. Daher werden für Anwender Themen wie Threat Intelligence und die sofortige Reaktion auf Attacken immer wichtiger, Stichwort Incident Response."

Doch gerade auf diesen Gebieten weisen die IT-Sicherheitsvorkehrungen vieler Firmen und öffentlichen Einrichtungen Lücken auf, so Kai Grunwitz. "Selbst einfache Prozesse werden oft nicht getestet." Er erwartet künftig einen massiven Anstieg von Angriffen auf Industrieanlagen, Flughäfen und vergleichbare Einrichtungen. Das bedeutet, Unternehmen und öffentliche Einrichtungen müssen ihre Anstrengungen erhöhen, damit Hacker nicht den Flugverkehr beeinträchtigen oder Regionen die Stromversorgung "abdrehen". Doch das ist leichter gesagt als getan. Daher, so die Studie, greifen bereits rund zwei Drittel der Unternehmen auf die Unterstützung eines IT-Security-Dienstleisters zurück.

IT-Security-Dienstleister als Rettungsanker

"Wer mit einem Anbieter von Security Services zusammenarbeitet, hat erkannt, dass nicht alleine der Einsatz von Technologien das erforderliche Maß an IT-Sicherheit garantieren kann. Ebenso wichtig sind das Fachwissen und die Erfahrung, über die ein externer Anbieter verfügt. Denn dieses Know-how ist in vielen Unternehmen nur unzureichend vorhanden", führt Sven Schaefer an.

Dass es Fachwissen mangelt, ist vor allem auf einen Faktor zurückzuführen: "Generell stehen nicht genügend IT-Sicherheitsfachleute zur Verfügung. NTT Security arbeitet deshalb mit Hochschulen zusammen, um frühzeitig Mitarbeiter zu gewinnen. Anwenderunternehmen tun sich wesentlich schwerer, solche Fachleute zu finden", erläutert Kai Grunwitz. Daher greifen laut Grunwitz immer mehr Unternehmen auf Managed IT-Security-Dienste zurück. Zu den wichtigsten Aufgaben externer Spezialisten zählt laut der Studie die Unterstützung von IT-Abteilungen bei der Auswahl von IT-Sicherheitslösungen: "Nicht nur Angriffe werden komplexer, sondern auch das Angebot an Cybersecurity-Technologien und Lösungen", so Grunwitz. Unternehmen falle es daher immer schwerer, die Übersicht zu behalten und zielgerichtet das erforderliche Know-how in den unterschiedlichen Bereichen der IT-Sicherheit bereitzustellen.

Hinzu kommt, dass die wachsenden Anforderungen in Bezug auf Compliance und Rechtssicherheit die IT-Abteilungen von Unternehmen in vielen Fällen überfordern. Rund 46 Prozent der Unternehmen betrachten die Implementierung von IT-Sicherheitsstandards als größte organisatorische Herausforderung im Rahmen von IT-Security. Für 41 Prozent der Unternehmen ist die kontinuierliche Kontrolle der Einhaltung von Security-Vorgaben mit einem hohen Aufwand verbunden. Um solche Vorschriften zu erfüllen, müssen interne Prozesse analysiert und angepasst werden. Anschließend ist es notwendig, passende Lösungen in Bereichen wie SIEM (Security Information and Event Managent) und Threat Detection zu implementieren. Aber dies erfordert spezielles Wissen, das bei IT-Fachleuten in Unternehmen oft nur in unzureichendem Maß vorhanden ist.