Nur 14 Prozent aller Unternehmen in Deutschland denken, dass es bei ihnen bisher keinen unberechtigten Datenzugriff gegeben hat, so die aktuelle Studie "Cyber Security 2020" von IDG Research Services in Zusammenarbeit mit Microsoft, Cisco Secure, DriveLock, F-Secure, Infinigate, McAfee, Micro Focus, Trend Micro und Airlock.
Allerdings sehen die befragten Unternehmen oftmals den Schaden durch die Cyberattacken nicht oder nicht umfassend genug. Bei den kleinen Betrieben (weniger als 500 Beschäftigte) haben 39 Prozent ihrer Meinung nach bisher keinen Schaden feststellen können, 34 Prozent berichten von einen Schaden, aber nur fünf Prozent von einem massiven Schaden durch Cyberangriffe.
Hans-Peter Bauer, Vice President Central Europe bei McAfee, hat dafür eine Erklärung: "Ein Ergebnis der IDG-Studie zur Cyber Security 2020 war, dass mehr als ein Drittel aller befragten Unternehmen denken, noch keine wirtschaftlichen Schäden durch Cyberangriffe erlitten zu haben. Diese Einschätzung betrachtet oft nur den direkten Schaden. Schäden, die aber durch den Diebstahl von geistigem Eigentum entstehen, werden jedoch oft erst lange Zeit später erkannt."
Offensichtlich wird das volle Ausmaß der Schäden durch Cyberattacken noch nicht gesehen. Das bleibt nicht ohne Folgen für die Security-Strategien der Unternehmen.
Zur Studie "Cyber Security 2020" im Studienshop
Outsourcing darf kein Tabu mehr sein
Der wirkliche Schaden, den Cyberattacken verursachen können, bleibt auch deshalb vielfach unerkannt, weil sich die besonders komplexen und intelligenten Angriffe ohne entsprechendes Security-Know-how und ohne die richtigen Security-Technologien "unter dem Radar" bewegen, sie fallen schlicht nicht oder viel zu spät auf.
Trotzdem halten nur rund 20 Prozent der befragten Unternehmen die Aus- und Weiterbildung der Security-Mitarbeiter für eine große Herausforderung. Nur 19 Prozent sehen die Situation der fehlenden personellen Ressourcen im Unternehmen und damit den Fachkräftemangel in der Security als ein großes Problem an. Das Outsourcing von Security-Aufgaben hat deshalb keinen so hohen Stellenwert bei den Unternehmen, wie man erwarten würde.
Wie die Studie zeigt, sagen nur 13 Prozent der Unternehmen, dass das Outsourcing der Cyber Security bei ihnen kein Tabuthema ist. 55 Prozent jedoch halten das Outsourcing für ein No-Go in ihrem Unternehmen.
"Es ist richtig überraschend, dass das Outsourcing der eigenen Cybersicherheit nicht in Frage kommt, obwohl und wohl wissend es Ressourcenengpässe gibt", meint Rüdiger Trost, Head of Cyber Security Solutions F-Secure DACH. "Das ist nicht nur schwierig, weil der Fachkräftemarkt wie leergefegt ist, sondern weil naturgemäß eine interne Unit mangels Praxis kaum mit den neuesten Tricks der Angreifer mithalten kann."
Auch Anton Kreuzer, CEO der DriveLock SE, zeigt sich erstaunt, dass so viele Unternehmen kein Outsourcing ihrer Security in Erwägung ziehen wollen: "Die Einschätzung der Befragten, Cyberattacken als das wichtigste Unternehmensrisiko anzusehen, hat mich positiv überrascht. Wenn ich mir allerdings anschaue, ob die Maßnahmen dagegen ausreichend sind, wundere ich mich, warum Security Outsourcing gemieden wird."
Kreuzer rät den Unternehmen, hier umzudenken: "Die Angriffstaktiken werden immer ausgefeilter, IT-Sicherheitsspezialisten sind rar. Security Outsourcing an einen Provider mit einer breiten Lösungspalette und Fachleuten ist nicht unsicher, sondern gerade für kleinere Unternehmen eine ernstzunehmende Option."
"Outsourcing und ein vertrauensvoller Partner mit starker Datenschutzpolitik ist unabdingbar, um eine starke Verteidigungslinie und die Sicherheit dahinter - unabhängig von der Entwicklungsstufe der Sicherheit und Größe des Unternehmens - schnell und professionell umzusetzen", meint auch Rüdiger Trost von F-Secure.
Cybersicherheit ist kein Produkt mehr
Nur 13 Prozent der befragten Unternehmen planen nicht, ihre Cyber Security (teilweise) zu automatisieren, wie die Studie "Cyber Security 2020" zeigt. Dabei denken viele Unternehmen aber immer noch in Einzelfunktionen und Tools und betrachten nicht den Security-Prozess als Ganzes.
So denken 59 Prozent bei der Automatisierung an die Angriffsmeldung, aber nur 49 Prozent auf die Angriffserkennung. Die Angriffsabwehr wird von 57 Prozent bei der Automatisierung erwähnt. Wichtig ist allerdings, dass bei der Detektion und Antwort auf Cyberattacken ein durchgehender Prozess herrschen muss, der möglichst viel Unterstützung durch Security Automation erfährt. Meldungen ohne Erkennung sind ebenso wenig hilfreich wie eine Abwehr ohne vorherige Detektion.
"Cybersicherheit darf nicht mehr als Produkt betrachtet werden, sondern als fortlaufender Prozess mit ganzheitlicher Betrachtung der eigenen Infrastruktur", erklärt Trost.
- Stratos Komotoglou, Microsoft
„Ich bin positiv überrascht darüber, dass Künstliche Intelligenz Einzug bei fast drei Viertel der befragten Unternehmen hält. Ohne KI ist die Vielzahl der täglichen Angriffe auf Mailboxen und Infrastrukturen nicht zu beherrschen und so müssen Künstliche Intelligenz, Automatisierungen und natürlich der Mensch in Zukunft noch enger zusammenarbeiten.“ - Michael von der Horst, Cisco
“Gerade jetzt, wo sich die Auswirkungen von Covid-19 auf die Arbeitsumgebungen noch länger zeigen werden, gilt es die Maßnahmen der ersten Monate in eine langfristig tragfähig Architektur zu überführen. Dabei gilt es vor allem auf, die Etablierung von Multi-Faktor-Authentifizierung (MFA), Absicherung des Rückkanals (DNS-Schutz), Visibilität und Anomalie-Erkennung zu achten.” - Anton Kreuzer, DriveLock
„Die Einschätzung der Befragten, Cyber-Attacken als das wichtigste Unternehmensrisiko anzusehen, hat mich positiv überrascht und stimmt mich hoffnungsvoll. Denn wir von DriveLock predigen seit geraumer Zeit, dass Unternehmen in der digitalen Welt auch immer mehr digital angegriffen, erpresst und geschädigt werden können - mit immensen Folgen.<br /> Wenn ich mir allerdings anschaue, ob die Maßnahmen dagegen ausreichend sind, wundere ich mich, warum Security Outsourcing ein Tabuthema zu sein scheint. Woher sollen die Spezialisten in den Unternehmen denn kommen? Fachkräfte sind rar. Die Angriffstaktiken werden auch immer ausgefeilter. Security Outsourcing an einen Provider mit einer breiten Lösungspalette und Security-Experten ist nicht unsicher und sollte kein No-Go sein, sondern gerade für kleinere Unternehmen eine ernstzunehmende Option.“ - Rüdiger Trost, F-Secure
„Die Ergebnisse der Studie belegen, dass Cyber-Attacken und Cyber Crime als größte Geschäftsrisiken gesehen werden. Das deckt sich auch mit unserer Erfahrung. Etwas überraschend ist allerdings die Tatsache, dass nur jedes zweite Unternehmen angab, Schaden durch Cyberattacken genommen zu haben. Das wiederum macht uns nachdenklich. Denn in dieser Gleichung ist die Dunkelziffer nicht mit eingerechnet. Also der Anteil der Unternehmen, die tatsächlich angegriffen worden sind, es aber nicht wissen oder es vielleicht auch nur vermuten, aber keine handfesten Belege dafür haben.<br />Erschwerend kommt hinzu, dass Angreifer ihre Taktiken permanent ändern und immer wieder andere Wege gehen, um an die Werte eines Unternehmens zu gelangen. Dafür müssen Unternehmen gewappnet sein und ihre Cyberverteidigung entsprechend anpassen. Threat Hunting heißt hier das Schlüsselwort in den kommenden Jahren, welches vermehrt in Unternehmen eingesetzt werden muss, um nicht nur die gesamte Infrastruktur auf Schwachstellen zu testen, sondern fortlaufend zu analysieren, ob es eine Angriffsfläche für potenzielle Angreifer bietet und diese dann zu beheben.“ - Hans-Peter Bauer, McAfee
„Heute gibt es ein derart großes Volumen an Cyber-Bedrohungen, dass einzeln agierende Silolösungen und die oftmals unterbesetzten IT-Sicherheitsteams schlichtweg überfordert sind. Hier kommt Künstliche Intelligenz ins Spiel. KI kann die Komplexität von Bedrohungen effizient erfassen und die menschliche Intelligenz muss nur dort eingesetzt werden, wo sie wirklich gebraucht wird. Diese Kombination von KI und menschlicher Intelligenz wird Human Machine Teaming genannt. Zusammen mit integrierten Security-Lösungen wird dieses Konzept in den nächsten Jahren einer der wichtigsten Ansätze für ein hohes Sicherheitsniveau sein.“ - Sarah Trunk, Micro Focus
„Die aktuelle Cyber-Security-Studie hat die Erfahrungen, die wir mit unseren Kunden im Bereich Datensicherheit und Verschlüsselung tagtäglich machen, 100-prozentig wieder gespiegelt. Die größte Aufmerksamkeit gehört den Daten, denn die sind die eigentliche Cash Cow eines jeden Unternehmens und bedürfen darum auch besonderer Aufmerksamkeit und Schutz.<br /> Die Zahl von IoT-Angriffen explodiert und macht vor keinem Unternehmen halt, aus diesem Grund ist auch nur ein ganzheitliches Security-Konzept wirkungsvoll und effizient.<br /> Allgemein gilt: Je früher ein Sicherheitsrisiko erkannt wird und ein Unternehmen firmenkritische Daten und Applikationen entsprechend schützt, desto geringer fällt ein möglicher Verlust bei einer Cyber-Attacke aus.“ - Richard Werner, Trend Micro
„Zukünftig muss noch stärker in die Bereiche Angriffserkennung und Schadensbegrenzung - Detection and Response - investiert werden. IT-Umgebungen werden immer umfangreicher und komplexer. Deshalb ist es wichtig, Reaktionsmöglichkeiten zu haben, falls doch einmal ein Angriff die initiale Verteidigung durchdringt. Wie gut diese Lösungen mit der Abwehr- bzw. Schutztechnologie abgestimmt sind, entscheidet, wie schnell und effektiv Unternehmen auf moderne Angriffe reagieren können. Deshalb wird dieser Bereich in den nächsten Jahren zunehmend strategische Bedeutung erlangen.“ - Roman Hugelshofer, Airlock
"Die Ergebnisse der Studie zeigen, dass die IT-Security-Themen auf Geschäftsleitungsebene angekommen sind. Das empfinden wir auch in Gesprächen mit unseren Kunden so. Mit 75 Prozent der Unternehmen, die eine Erhöhung des Security-Budgets planen, sollte auch eine Reduktion der Schäden durch Cyber-Angriffe möglich sein. Nun gilt es die Budgets richtig einzusetzen.<br />Es ist ein sehr positives Signal, dass Zero Trust bei 90 Prozent der Unternehmen ein Thema ist. Wichtig ist hier, dass der Zero Trust Gedanke auch auf neue Technologien wie Microservices angewendet werden muss."
Endpunktsicherheit mit Luft nach oben
Endgerätesicherheit ist für 38 Prozent der befragten C-Level-Entscheider (Geschäftsführung / Vorstand) die größte Aufgabe für die Security, in der IT-Leitung sehen dies 35 Prozent so.
"Das Endgerätesicherheit bei den befragten Top IT-Entscheidern und der IT-Leitung als größte Aufgabe für IT-Sicherheit eingeschätzt wird, freut mich und bestätigt unser Unternehmen in seiner Produktplanung", so DriveLock-CEO Kreuzer.
Wie die Studie "Cyber Security 2020" aufzeigt, zeigt sich bei der Endpoint-Sicherheit jedoch oftmals noch Verbesserungspotenzial.
"Das Thema Endpoint Security scheint ja nun bei den meisten Unternehmen angekommen zu sein, wie die Befragung zeigt", so Anton Kreuzer weiter. "Dass dies aber unzureichend umgesetzt wird, zeigt sich beispielsweise daran, dass privilegierte Zugänge wie die von Administratoren mit Bordmitteln verwaltet werden als wären es normale Benutzeraccounts. Da benötigt es ein ausgeklügeltes Rechte- und Zugangsmanagement und Firmenrichtlinien müssen passgenau abgebildet werden. Gute Lösungen leisten die zentrale Verwaltung der Sicherheitsrichtlinien."
Wie die Studie "Cyber Security 2020" von Computerwoche und CIO also zeigt, müssen es die Unternehmen noch besser schaffen, die von ihnen wahrgenommenen Cyberbedrohungen und die Strategien im Bereich Cyber Security in Einklang zu bringen.
Andernfalls helfen die geplanten Erhöhungen bei den Security-Budgets in 2021 wenig, da sie oftmals nicht zur Priorität der Cyberrisiken passen. Insbesondere das Outsourcing sollte nochmals überdacht werden, da es nicht zu erwarten ist, dass in 2021 der Fachkräftemangel in der Security zurückgehen wird - leider ist eher das Gegenteil der Fall.
Ergebnisdiskussion auf der it-sa 365
Im Rahmen der "Launch Days" der IT-Security-Plattform "it-sa 365" wurden die Ergebnisse der Studie vorgestellt und gemeinsam mit Vertretern der Studienpartner diskutiert. Eine Aufzeichnung der Session steht hier zur Verfügung. Eine kostenlose Registrierung auf der Plattform ist für den Abruf notwendig.
Zur Studie "Cyber Security 2020" im Studienshop
Studiensteckbrief
Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner
Platin-Partner: Microsoft Deutschland GmbH
Gold-Partner: Cisco Secure; DriveLock SE; F-Secure GmbH; McAfee Germany GmbH; Micro Focus GmbH; TrendMicro Deutschland GmbH
Silber-Partner: Ergon Informatik AG (Airlock)
Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Spezialisten aus dem IT-Bereich
Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media; persönliche E-Mail-Einladungen zur Umfrage
Gesamtstichprobe: 655 abgeschlossene und qualifizierte Interviews; Stichprobe 1: 318; Stichprobe 2: 337
Untersuchungszeitraum: 20. bis 28. Juli 2020
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern
Durchführung: IDG Research Services