Embed Size (px)
Citation preview
LIVE SECURITYSTUDIE 2017/2018
Eine repräsentative Untersuchung von Bitkom Research im Auftrag von F-Secure
2
INHALTSVERZEICHNIS
ABBILDUNGSVERZEICHNIS
Vorwort ................................................................................................. 3
Methodik ...............................................................................................4
1. Kernergebnisse im Überblick ............................................................. 5
2. Die Bedeutung der IT-Sicherheit in den Unternehmen ..................... 6
3. Die IT-Sicherheitslage: Vorfälle
und Angriffsmethoden ......................................................................... 9
4. Umfassender Schutz – der Live Security Ansatz ............................... 12
4.1 Predict – vorausschauend handeln ............................................. 13
4.2 Prevent – Angriffe verhindern ....................................................14
4.3 Detect – Attacken schnell erkennen ......................................... 17
4.4 Respond – im Angriffsfall angemessen reagieren .....................18
Abbildung 1: Zusammensetzung der Stichprobe ..................................4
Abbildung 2: Stellenwert der IT-Sicherheit für Unternehmen ............... 6
Abbildung 3: Zunehmendes IT-Sicherheitsrisiko im Zuge der
Digitalisierung ....................................................................................... 7
Abbildung 4: Auffassung der Unternehmen
zur Verhinderung von IT-Angriffen ....................................................... 8
Abbildung 5: IT-Sicherheitsvorfälle
innerhalb der letzten 12 Monate ............................................................ 9
Abbildung 6: Arten von IT-Sicherheitsvorfällen
innerhalb der letzten 12 Monate .......................................................... 10
Abbildung 7: Wahrscheinlichkeit von unbemerkten IT-
Sicherheitsvorfällen .............................................................................. 11
Abbildung 8: F-Secure Live Security Ansatz ......................................... 12
Abbildung 9: Predict Maßnahmen ....................................................... 13
Abbildung 10: Prevent Maßnahmen I ...................................................14
Abbildung 11: Prevent Maßnahmen II ................................................... 15
Abbildung 12: Beteiligung der IT-Sicherheitsabteilung
bei IT-relevanten Projekten ..................................................................16
Abbildung 13: Detect Maßnahmen ....................................................... 17
Abbildung 14: Notfall- bzw. Krisenmanagement
in Unternehmen (Respond) .................................................................18
Abbildung 15: Detailtiefe und Aktualisierung des Notfall- bzw.
5. Der F-Secure Live Security Index ..................................................... 20
5.1 Berechnung des Live Security Index ........................................... 20
5.2 Ergebnis des Live Security Index – Luft nach oben ..................... 21
5.3 Zweischneidiges Bild: die Live Security Typen ............................ 22
5.3.1 Live Security Voreiter sind gut aufgestellt .............................23
5.3.2 Live Security High Performer liegen über dem Schnitt ........23
5.3.3 Live Security Low Performer haben Nachholbedarf ............ 24
5.3.4 Live Security Nachzügler sind akut gefährdet .................... 24
6. Kommende Herausforderungen und Investitionsabsichten ........... 25
7. Fazit und Empfehlung .......................................................................27
Ansprechpartner und Kontakt ............................................................ 28
Krisenmanagements (Respond) ...........................................................19
Abbildung 16: Berechnung & Operationalisierung
des F-Secure Live Security Index ......................................................... 20
Abbildung 17: F-Secure Live Security Index (in Punkten) nach
Unternehmensgröße und Branche ...................................................... 21
Abbildung 18: F-Secure Live Security Index
(in Punkten) inkl. Subindizes ................................................................ 21
Abbildung 19: Verteilung der Live Security Typen (in %) ..................... 22
Abbildung 20: Live Security Index (in Punkten)
Hohes Sicherheitslevel .........................................................................23
Abbildung 21: Live Security Index (in Punkten)
Überdurchschnittliches Sicherheitslevel ..............................................23
Abbildung 22: Live Security Index (in Punkten)
Unterdurchschnittliches Sicherheitslevel ........................................... 24
Abbildung 23: Live Security Index (in Punkten)
Niedriges Sicherheitslevel ................................................................... 24
Abbildung 24: Zukünftige Herausforderungen
für die Gewährleistung der IT-Sicherheit ............................................ 25
Abbildung 25: Investitionen in IT-Sicherheit im Jahr 2018 ................... 26
Abbildung 26: Entwicklung Investitionen
und Bewertung Budget 2018 ............................................................... 26
3
VORWORT
Zwei von drei Unternehmen in Deutschland sind innerhalb eines Jahres von IT-Angriffen oder anderen Sicherheitsvorfällen betroffen gewesen. Die kritischen Ereignisse reichen von selbst verursachten Datenverlusten über gezielte Spionageangriffe bis zu schwerer Erpressung mittels Ransomware. Die Gefahr, im digitalen Raum ins Visier krimineller Hacker zu geraten, ist allgegenwärtig.
Wie können sich Unternehmen, Organisationen und staatliche Einrichtungen schützen? Immer deutlicher zeigt sich, dass sie mit den herkömmlichen Methoden und Tools nicht mehr weit kommen. Virenscanner, Firewalls und Passwortschutz für Endgeräte bieten allenfalls einen Basisschutz. Stattdessen sollten sie das Thema strategisch angehen, ein umfassendes Sicherheitskonzept entwickeln und dabei unterschiedliche Angriffsszenarien berücksichtigen. F-Secure hat zu diesem Zweck den Live Security Ansatz entwickelt. Sein Ziel ist es, mit Hilfe organisatorischer und technischer Maßnahmen potenzielle IT-Sicherheitsvorfälle vorherzusagen und zu verhindern. Das reicht in vielen Fällen aber nicht mehr aus, da selbst umfangreiche Schutzmaßnahmen keinen hundertprozentigen Schutz bieten. Daher gilt es, „erfolgreiche“ IT-Angriffe möglichst schnell zu erkennen und angemessen darauf zu reagieren, um den Schaden zu begrenzen.
Der im Rahmen der Studie von F-Secure und Bitkom Research entwickelte Live Security Index zeigt, wie gut die Unternehmen in Deutschland im Sinne dieses mehrstufigen Sicherheitsansatzes geschützt sind. Grundlage ist eine
repräsentative Umfrage von 752 Unternehmen ab 50 Mitarbeitern. Das Ergebnis: Mit 61 Punkten gibt es noch Luft nach oben. Zwar erreicht gut die Hälfte der Unternehmen ein hohes oder überdurchschnittliches Sicherheitsniveau, aber der andere Teil weist noch erhebliche Lücken in seinen Sicherheitsarchitekturen auf.
Gerade für die gut aufgestellten Unternehmen besteht die Gefahr, dass sie sich zu sehr in Sicherheit wiegen. Jeder zweite Befragte ist der Meinung, dass sich IT-Angriffe vollständig verhindern lassen. Das ist aus Expertensicht kaum möglich und spricht für den Einsatz fortschrittlicher Sicherheitssysteme, die Attacken erkennen und einen Datenabfluss stoppen können.
Die vorliegende Untersuchung gibt einen Überblick über die aktuelle IT-Sicherheitslage in Deutschland. Sie beschreibt unter anderem, welche Angriffsmethoden gerade am weitesten verbreitet sind, welche Abwehrmaßnahmen die Unternehmen einsetzen oder welche Herausforderungen sie im Sicherheitsbereich in der nahen Zukunft sehen. IT-Sicherheitsverantwortliche erhalten konkrete Handlungsempfehlungen und können aus den Inhalten Anregungen für die eigene Arbeit ableiten. Damit unterstützt die Publikation sie dabei, das Sicherheitsniveau ihrer Organisation auf das nächste Level zu heben.
In diesem Sinne wünschen wir eine anregende Lektüre. Sollten Sie Fragen zur Studie oder unseren IT-Sicherheitslösungen haben, sprechen Sie uns gerne an.
4
METHODIK
Auf Basis einer repräsentativen Unternehmensbefragung wurde im Rahmen dieser Studie untersucht, wie es um das IT-Sicherheitslevel der deutschen Wirtschaft steht und in welchen Dimensionen entlang des zugrundeliegenden F-Secure „Live Security Ansatzes“ noch Nachholbedarf in den deutschen Unternehmen besteht. Hierzu wurden insgesamt 750 nach Branchen und Größenklassen repräsentativ ausgewählte Unternehmen mit mindestens 50 Mitarbeitern in Deutschland befragt.
Die Studie wurde in Zusammenarbeit mit Bitkom Research entwickelt, durchgeführt und ausgewertet. Die computergestützten telefonischen Interviews (CATI) wurden im Juli und August 2017 geführt. Bei den Befragten handelt es sich ausschließlich um Führungskräfte, die in ihrem Unternehmen für das Thema IT-Sicherheit verantwortlich sind. Dazu zählen insbesondere Geschäftsführer und Vorstandsmitglieder sowie Führungskräfte aus den Bereichen Informationstechnik, Informationssicherheit, operatives Geschäft und Risk Management.
Durch Schichtung der Zufallsstichprobe wurde sichergestellt, dass Unternehmen aus den unterschiedlichen Branchen und Größenklassen in einer für valide statistische Auswertungen ausreichenden Anzahl vertreten sind. Die Aussagen der Befragungsteilnehmer wurden bei der Analyse gewichtet. Damit zeichnen die Ergebnisse ein nach Branchengruppen und Größenklassen repräsentatives Bild für alle Unternehmen ab 50 Mitarbeitern in Deutschland. Rundungsbedingt können in der Summe einzelne Ergebnisse von 100 Prozent abweichen.
Abbildung 1: Zusammensetzung der Stichprobe
5
1. KERNERGEBNISSE IM ÜBERBLICK
67%
90%
54%
38%
70%
43%
83%
41%
35%
74%
der Unternehmen sind von IT-Angriffen betroffen
haben Virenscanner und Firewalls installiert
haben ein hohes oder überdurchschnittliches
IT-Sicherheitsniveau
messen der IT-Sicherheit einen sehr hohen Stellenwert bei
verfügen über ein Notfall- und Krisenmanagement für den Fall eines
IT-Angriffs
sehen im Cloud Computing eine große Herausforderung für die IT-Sicherheit
rechnen im Zuge der Digitalisierung mit erhöhten IT-Sicherheitsrisiken
verzeichneten Phishing-Attacken in den letzten 12 Monaten
nutzen Intrusion Detection oder Intrusion Prevention Systeme
wollen ihre Investitionen in IT-Sicherheit im Jahr 2018 steigern
6
2. DIE BEDEUTUNG DER IT-SICHERHEIT IN DEN UNTERNEHMEN
Welche Bedeutung hat das Thema IT-Sicherheit für die Unternehmen in Deutschland? Zwar geben drei von vier Unternehmen (76 Prozent) an, dass die IT-Sicherheit einen hohen oder sehr hohen Stellenwert für sie hat. Auf der anderen Seite gibt es eine relativ große Gruppe, für die IT-Sicherheit nur einen mittleren oder geringen Stellenwert hat (24 Prozent). Vor allem kleinere Unternehmen mit 50 bis 99 Mitarbeitern sind etwas nachlässiger beim Thema IT-Sicherheit. Hier geben nur zwei von drei Unternehmen (67 Prozent) an, dass das Thema eine hohe oder sehr hohe Bedeutung für sie hat. Bei den mittleren Unternehmen mit 100 bis 499 Mitarbeitern sind es 81 Prozent und bei den großen sogar 90 Prozent. Unterschiede gibt es zudem zwischen den Branchen. Während das Thema IT-Sicherheit für nahezu alle Finanzdienstleister (95 Prozent) einen hohen Stellenwert hat, sind es im Handel nur zwei von drei Unternehmen (68 Prozent).
Abbildung 2: Stellenwert der IT-Sicherheit für Unternehmen
Frage: „Welchen Stellenwert hat das Thema IT-Sicherheit in Ihrem Unternehmen?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Top2 Boxes („Sehr hohen Stellenwert“ & „Hohen Stellenwert“) in Prozent | Abweichungen von 100 Prozent sind rundungsbedingt
76%der Unternehmen messen der IT-Sicherheit einen hohen Stellenwert bei
7
Offenkundig ist, dass mit der zunehmenden Digitalisierung und Vernetzung von Organisationen die Gefahr von IT-Angriffen steigt. 83 Prozent der Befragten stimmen der Aussage zu, dass die IT-Sicherheitsrisiken für ihr Unternehmen im Zuge der Digitalisierung zunehmen werden. Als besonders gefährdet betrachten sich Finanzdienstleister und Versicherungen, gefolgt vom Maschinen- und Anlagenbau, sonstigen Industrieunternehmen sowie der Automobilbranche.
Abbildung 3: Zunehmendes IT-Sicherheitsrisiko im Zuge der Digitalisierung
Frage: „Bitte beurteilen Sie die Aussage ‚Im Zuge der Digitalisierung werden IT-Sicherheitsrisiken für unser Unternehmen zunehmen‘ auf einer Skala von 1 „Trifft voll und ganz zu“, 2 „Trifft eher zu“, 3 „Teils / teils“, 4 „Trifft eher nicht zu“ bis 5 „Trifft überhaupt nicht zu“.“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Top2 Boxes („Trifft voll und ganz zu“ & „Trifft eher zu“) in Prozent | Abweichungen von 100 Prozent sind rundungsbedingt
83%rechnen im Zuge der Digitalisierung mit erhöhten IT-Sicherheitsrisiken
8
Gut jeder zweite befragte Unternehmensvertreter (55 Prozent) ist der Auffassung, dass man IT-Angriffe mit Hilfe der richtigen Maßnahmen vollständig verhindern kann. 24 Prozent sind nicht dieser Meinung und 20 Prozent sind unentschieden und antworten mit „teils/teils“. Diese Antworten lassen den Schluss zu, dass sich viele Unternehmen zu sehr in Sicherheit wiegen. Das Thema IT-Sicherheit hat in den vergangenen Jahren einen deutlich höheren Stellenwert bekommen und viele Unternehmen investieren verstärkt in ihren eigenen Schutz. Eine absolute Sicherheit vor IT-Angriffen kann es aber in einer digital vernetzten Welt aus Sicht von Experten kaum geben. Neben der Abwehr von IT-Angriffen geht es heute vor allem darum, erfolgreiche Attacken möglichst schnell zu erkennen und angemessen auf diese zu reagieren.
Abbildung 4: Auffassung der Unternehmen zur Verhinderung von IT-Angriffen
Frage: „Bitte beurteilen Sie die Aussage‚ Wir sind der Auffassung, dass man IT-Angriffe vollständig verhindern kann’ auf einer Skala von 1 „Trifft voll und ganz zu“, 2 „Trifft eher zu“, 3 „Teils / teils“, 4 „Trifft eher nicht zu“ bis 5 „Trifft überhauptnicht zu“.“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Top2 Boxes („Trifft voll und ganz zu“ & „Trifft eher zu“) in Prozent | Abweichungen von 100 Prozent sind rundungsbedingt
55%der Unternehmen sind der Auffassung, dass Angriffe vollständig verhindert werden können
9
3. DIE IT-SICHERHEITSLAGE: VORFÄLLE UND ANGRIFFSMETHODEN
Zwei von drei Unternehmen (67 Prozent) waren in den vergangenen 12 Monaten von IT-Sicherheitsvorfällen betroffen. Sicherheitsvorfälle sind in der Regel IT-Angriffe von außen oder innen mit dem Ziel, Daten zu stehlen, das Unternehmen zu sabotieren und ihm damit einen wirtschaftlichen Schaden zuzufügen oder es zu erpressen. Sicherheitsvorfälle können aber auch versehentlich auftreten, zum Beispiel bei Wartungsarbeiten an den IT-Systemen. Am häufigsten verzeichneten kleinere Unternehmen IT-Sicherheitsvorfälle mit einem Anteil von 72 Prozent, gefolgt von den großen Unternehmen mit 67 Prozent und den mittleren mit 62 Prozent. Im Branchenvergleich liegt die Automobilbranche an der Spitze des Negativ-Rankings, vor den sonstigen
Dienstleistungen und dem Maschinen- und Anlagenbau. Dagegen sind Finanzdienstleister und Versicherungen am seltensten betroffen. Die Branche hat aktuell das höchste Sicherheitslevel im Sinne des Live Security Ansatzes und kann damit offenbar die Zahl der Vorfälle begrenzen.
Abbildung 5: IT-Sicherheitsvorfälle innerhalb der letzten 12 Monate
Frage: „War Ihr Unternehmen innerhalb der letzten 12 Monate von IT-Sicherheitsvorfällen betroffen bzw. vermutlich betroffen?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750)
81%sind vermutlich von IT-Angriffen betroffen
10
Abbildung 6: Arten von IT-Sicherheitsvorfällen innerhalb der letzten 12 Monate
Frage: „Von welchen der folgenden Sicherheitsvorfälle war Ihr Unternehmen innerhalb der letzten 12 Monate betroffen bzw. vermutlich betroffen?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Abweichungen von 100 Prozent sind rundungsbedingt
Der am weitesten verbreitete Angriffsweg sind Phishing-Attacken, bei denen Hacker mit Hilfe von E-Mails, Kurznachrichten oder gefälschten Webseiten versuchen, in die IT-Systeme einer Organisation einzudringen. 41 Prozent der befragten Unternehmen berichten von Phishing-Angriffen innerhalb der letzten 12 Monate. 36 Prozent der Unternehmen sind mit Schadsoftware bzw. Malware infiziert worden, die in den Computersystemen unerwünschte oder schädliche Aktionen ausführt. In 15 Prozent der Unternehmen gab es unspezifische IT-Sicherheitsvorfälle, die vor Ort unbewusst durch eigene Mitarbeiter oder externe Personen verursacht wurden. Das kann zum Beispiel der Fall sein, wenn Mitarbeiter unwissentlich unsichere Software auf ihren Geräten installieren oder es bei Arbeiten an den IT-Systemen durch externe Dienstleister zu Störungen oder Datenverlusten kommt. Weitere Formen von Cyberangriffen sind Attacken auf Passwörter (13 Prozent) und das so genannte Spoofing (12 Prozent), bei dem in die IT-Systeme eingedrungene Hacker mit informationstechnischen Tricks ihre Identität verschleiern.
Eine andere Angriffsmethode ist die ungewollte Installation von Ransomware, von der 11 Prozent der befragten Unternehmen betroffen waren. Bei einer erfolgreichen Ransomware-Attacke verschlüsselt ein spezielles Schadprogramm die Dateien auf einem Computer und
macht sie damit unzugänglich. Für die Entschlüsselung der Daten verlangen die Angreifer eine Art Lösegeld, das in der Regel mit der Kryptowährung Bitcoin bezahlt werden muss. Eine besondere Spielart von IT-Angriffen ist Social Engineering, bei dem Kriminelle die Mitarbeiter eines Unternehmens gezielt ausfragen oder mit geschickten Täuschungsmanövern zu bestimmten Handlungen verleiten (10 Prozent).
Häufig kommen die unterschiedlichen Methoden in Kombination zum Einsatz. So steht am Beginn eines gezielten Angriffs häufig Social Engineering. Kriminelle fragen beispielsweise einen oder mehrere Mitarbeiter eines Unternehmens zu internen Details aus. Mit diesem Wissen können kriminelle Hacker dann personalisierte, sehr authentisch wirkende Phishing-Mails mit gefährlichen Inhalten versenden. Das Öffnen einer schädlichen Datei oder das Anklicken eines Links hat dann eine Infektion mit Ransomware oder einer anderen Schadsoftware zur Folge.
Zwischenfälle sind vielfältig”
11
Abbildung 7: Wahrscheinlichkeit von unbemerkten IT-Sicherheitsvorfällen
Gut jedes dritte Unternehmen (35 Prozent) hält es darüber hinaus für „eher wahrscheinlich“ oder „sehr wahrscheinlich“, dass es von IT-Angriffen betroffen war, die es nicht bemerkt hat. Das könnte einerseits für einen gewissen Realismus sprechen, was die Gefahr von IT-Angriffen angeht. Anderseits könnte es aber auch ein Eingeständnis sein, nicht über ausreichende Schutzmechanismen zu verfügen, mit denen das Unternehmen Cyberattacken abwehren oder erkennen kann.
Frage: „Von welchen der folgenden Sicherheitsvorfälle war Ihr Unternehmen innerhalb der letzten 12 Monate betroffen bzw. vermutlich betroffen?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Abweichungen von 100 Prozent sind rundungsbedingt
PHISHING: „LOW HANGING FRUITS“ EIN LINK IST SCHNELL GEKLICKT
41% 26% 13%der Empfänger klickten auf
den Linkgaben Ihre Credentials ein
Eine gefakte E-Mail mit Link zu einem LinkedIn-Profil klickten
Eine gefakte E-Mail mit Link zu einer Webseite mit Login-Aufforderung
Ergebnisse basieren auf Experimenten, die F-Secure im Auftrag der Unternehmen durchgeführt hat
12
4. UMFASSENDER SCHUTZ – DER LIVE SECURITY ANSATZ
In seinem „Live Security Ansatz“ identifiziert F-Secure vier Dimensionen, in denen Organisationen ein Sicherheitskonzept entwickeln, Schutzmaßnahmen implementieren und im Ernstfall gezielt auf einen IT-Angriff reagieren können.
Unternehmen sollten damit beginnen, mögliche Angriffe vorherzusehen („Predict“). Dazu gehört, das eigene Sicherheitsrisiko realistisch einzuschätzen, mögliche Angriffspunkte zu benennen und Schwachstellen zu identifizieren. In der zweiten Stufe geht es darum, Cyberattacken vorzubeugen („Prevent“).
Abbildung 8: F-Secure Live Security Ansatz
Auf Grundlage der vorherigen Analyse können Unternehmen die eigenen Angriffsflächen verkleinern, indem sie entsprechende Schutzmaßnahmen implementieren. Prävention macht den größten Teil der IT-Sicherheit aus, bietet aber selbst bei umfangreichen technischen und organisatorischen Maßnahmen keinen vollständigen Schutz.
Die weiteren Sicherheitsmaßnahmen zielen darauf ab, Angriffe zu erkennen („Detect“) und richtig darauf zu reagieren („Respond“). Im Fall einer akuten Attacke steht im Vordergrund, das Problem möglichst schnell zu erfassen sowie entsprechende Maßnahmen einzuleiten und damit den Schaden zu minimieren. Im Anschluss sollten Unternehmen mit Hilfe einer strukturierten Analyse aus dem Vorfall lernen.
90% 35%haben Abwehrmaßnahmen implementiert
setzen auf Lösungen für Erkennung und Reaktion
NUR
Technologien geben Deutschen Unternehmen ein falsches Gefühl von IT-Sicherheit
Relevante Vorfälle und Bedrohungen erkennen und
unmittelbar darauf reagieren, Schaden eingrenzen, analy-
sieren und daraus lernen.
Angriffsfläche verringern und Vorfälle vermeiden. Bewährte, mehrfach aus-
gezeichnete Tools für Ihren Endgeräteschutz.
Auf Vorfälle reagieren und Angriffe eindämmen. Je mehr
Zeit Angreifer im Netzwerk verbringen, desto mehr
Schaden können sie anrichten.
Auf Risiken vorbereiten und seine Gegner kennen, mehr
zu sehen bedeutet mehr Sicherheit.
13
4.1 Predict – vorausschauend handeln
Abbildung 9: Predict Maßnahmen
Welche Daten oder physischen Bereiche sollen einen besonderen Schutz erhalten? Welche IT-Systeme sind mit welchen Anwendungen und Prozessen vorhanden? Welche Angriffsflächen bietet mein Unternehmen generell? Und welche Trends zeichnen sich im Bereich der Cyberkriminalität aktuell ab? Das sind typische Fragen, die Sicherheitsexperten im Rahmen einer vorausschauenden Planung und der Erstellung oder Aktualisierung eines Sicherheitskonzepts beantworten sollten. Nicht zuletzt müssen sie darauf achten, dass ihr Unternehmen die gesetzlichen Vorgaben einhält. Compliance-Anforderungen wie Dokumentationspflichten oder die Einhaltung bestimmter Sicherheitsstandards ergeben sich unter anderem aus der neuen Datenschutz-Grundverordnung oder – für bestimmte Unternehmen – aus dem IT-Sicherheitsgesetz.
Neben einer vorausschauenden Planung gehören technische Maßnahmen zur Dimension Predict. Fast jedes zweite Unternehmen (49 Prozent) verfügt über ein Patchmanagement, um die verwendete Software auf dem neuesten Stand zu halten und damit Sicherheitslücken zu
vermeiden. Im Rahmen der Schwachstellenanalyse kommen Penetrationstests zum Einsatz, die mögliche Angriffswege simulieren. Das können technische Angriffe auf die IT-Systeme sein oder Social Engineering Szenarien, bei denen die Mitarbeiterinnen und Mitarbeiter zum Beispiel mit fingierten E-Mails oder Anrufen in den Test eingebunden werden. Penetrationstests dienen in einem weiteren Schritt dazu, die Wirksamkeit neuer Sicherheitsmaßnahmen zu überprüfen. Laut Umfrage nutzen 39 Prozent der befragten Unternehmen Penetrationstests, weitere 28 Prozent planen, diese zukünftig durchzuführen. Ein anderes Instrument ist der Einsatz eines Security Information and Event Management Systems (SIEM). Ein SIEM speichert die Log-Informationen von Betriebssystemen und Anwendungen. Die regelmäßige Analyse der protokollierten Aktionen und Prozesse eines Computersystems hilft dabei, potenzielle Schwachstellen zu identifizieren und versteckte Angriffe zu erkennen. Gut jedes dritte Unternehmen (35 Prozent) nutzt bereits ein SIEM und 25 Prozent planen dessen Einführung.
Frage: „Welche der folgenden technischen IT-Sicherheitsmaßnahmen hat Ihr Unternehmen bereits umgesetzt, plant Ihr Unternehmen in Zukunft umzusetzen bzw. diskutiert Ihr Unternehmen, um sich gegen IT-Sicherheitsvorfälle zu schützen?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Abweichungen von 100 Prozent sind rundungsbedingt
14
4.2 Prevent – Angriffe verhindern
Die meisten Maßnahmen der IT-Sicherheit haben vorbeugenden Charakter und dienen der Abwehr von IT-Angriffen. Dabei kann es sich sowohl um technische als auch organisatorische Maßnahmen handeln. Zum Standard der technischen Maßnahmen gehören Virenscanner und Firewalls, die von jeweils 90 Prozent der befragten Unternehmen verwendet werden. Fast ebenso viele Unternehmen (88 Prozent) erstellen regelmäßig Backups ihrer Daten (s. Kasten). Drei von vier Unternehmen (75 Prozent) haben einen Passwortschutz für alle vorhandenen Endgeräte implementiert. 73 Prozent verschlüsseln den E-Mail-Verkehr und 56 Prozent Informationen auf Datenträgern.
Fast die Hälfte der Befragten (48 Prozent) sichert sich gegen einen Datenabfluss von innen ab. Organisationen erreichen dieses Ziel in der Regel mit der Nutzung einer Lösung für Data Leakage Prevention bzw. Data Loss Prevention (DLP). DLP-Systeme können unter anderem die Inhalte von Dateien, E-Mails, Datenpaketen etc. überprüfen sowie nicht autorisierte Datenübertragungen melden und stoppen. Nur jedes dritte Unternehmen (35 Prozent) hat bisher erweiterte Verfahren zur Benutzeridentifikation auf Endgeräten eingeführt. Dazu gehört im Wesentlichen eine Zwei-Faktor-Authentifizierung, zum Beispiel mit einem Passwort und einem zusätzlichen biometrischen Faktor.
Die regelmäßige Erstellung von Sicherungskopien ist ein wichtiges Instrument, um Datenverlusten vorzubeugen. Neun von zehn Unternehmen (88 Prozent) führen Backups durch, um verlorene Daten nach einem Sicherheitsvorfall wiederherstellen zu können (Disaster Recovery). Organisationen sollten Backups in kurzen Abständen durchführen und deren Funktionsfähigkeit regelmäßig testen. Drei Viertel der Unternehmen, die sich mit Backups absichern, erstellen diese mindestens einmal täglich, 23 Prozent ein- oder mehrmals wöchentlich. Nur 3 Prozent machen die Sicherungskopien seltener. Da die Wiederherstellung der Daten in der Praxis oftmals schwierig ist, sollten Unternehmen dafür regelmäßig Testläufe durchführen. Knapp die Hälfte der Unternehmen (46 Prozent), die Disaster Recovery durchführen, fahren diese Testläufe wöchentlich oder sogar täglich. Jedes dritte Unternehmen macht die Tests monatlich oder vierteljährlich, jedes fünfte halbjährlich oder seltener und nur 3 Prozent gar nicht.
Abbildung 10: Prevent Maßnahmen I
Frage: „Welche der folgenden technischen IT-Sicherheitsmaßnahmen hat Ihr Unternehmen bereits umgesetzt, plant Ihr Unternehmen in Zukunft umzusetzen bzw. diskutiert Ihr Unternehmen, um sich gegen IT-Sicherheitsvorfälle zu schützen?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Abweichungen von 100 Prozent sind rundungsbedingt
90% haben Abwehrmaßnahmen implementiert
15
Abbildung 11: Prevent Maßnahmen II
Zu den organisatorischen Maßnahmen der IT-Sicherheit zählen unter anderem die Klassifizierung schützenswerter Daten sowie die Festlegung von Zugriffsrechten für Daten oder Anwendungen. Bestimmte Mitarbeiter bekommen dann nur Zugang zu Informationen und IT-Systemen, die sie in ihrer täglichen Arbeit benötigen. 68 Prozent der Unternehmen haben ein entsprechendes Rechtemanagement implementiert. Darüber hinaus sollten Unternehmen Zutrittsrechte für Gebäude oder Räume definieren, in denen sich zum Beispiel Maschinen, Prototypen, wichtige Unterlagen oder Server befinden. Das ist bei zwei von drei Unternehmen (67 Prozent) gewährleistet. Beides können Organisationen mit modernen Mitarbeiterausweisen realisieren. Zusätzliche Sicherheit bieten spezielle Sicherheitsvorschriften für externe Mitarbeiter oder Besucher, die 58 Prozent besitzen. Ähnlich viele Befragte (63 Prozent) entsorgen nicht mehr benötigte Speichermedien auf professionelle Weise, zum Beispiel durch Schreddern von Festplatten oder Smartphones. 57 Prozent führen regelmäßige Sicherheits-Audits durch externe Spezialisten durch und 44 Prozent verfügen über Sicherheitszertifizierungen für Produkte, Managementsysteme oder Personen. 42 Prozent haben ein Informationssicherheits-Managementsystem (ISMS) eingeführt. Zertifizierungen und ISMS unterstützen Unternehmen dabei, einheitliche Sicherheitsstandards zu implementieren und diese auf dem neuesten Stand zu halten. Zudem besteht die Möglichkeit, dass unabhängige externe Stellen die Maßnahmen überprüfen.
Frage: „Welche der folgenden organisatorischen bzw. prozesstechnischen Sicherheitsmaßnahmen hat Ihr Unternehmen bereits umgesetzt, plant Ihr Unternehmen in Zukunft umzusetzen bzw. diskutiert Ihr Unternehmen, um sich gegen IT-Sicherheitsvorfälle zu schützen?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Abweichungen von 100 Prozent sind rundungsbedingt
Anti-Virus alleine reicht nicht”
16
Die Bedeutung der IT-Sicherheit im Unternehmen zeigt unter anderem, ob die Fachabteilungen bei IT-relevanten Projekten ihre eigenen Sicherheitsexperten beteiligen. Das ist zum Beispiel bei der Anschaffung von Software-Lizenzen oder der Nutzung von Anwendungen in der Cloud sinnvoll. Zudem ist nicht autorisierte Hard- und Software in vielen Organisationen ein Problem, weil diese „Schatten-IT“ ein
Eine zentrale Voraussetzung für die Planung und Durchführung von IT-Sicherheitsmaßnahmen ist geschultes Personal. Unabhängig von der Größe eines Unternehmens sollten eine oder mehrere Personen als IT-Sicherheitsbeauftragte für das Thema zuständig sein und regelmäßige Weiterbildungen erhalten, um angesichts der dynamischen Entwicklung in diesem Bereich immer auf dem neusten Stand zu bleiben. Alle anderen Mitarbeiterinnen und Mitarbeiter sollten für das Thema sensibilisiert und in Schulungen zum Umgang mit Datenträgern, Phishing-Mails,
potenzielles Einfallstor für IT-Angriffe ist. 40 Prozent der befragten Unternehmen binden ihre Sicherheitsexperten „stets“ bei IT-relevanten Projekten ein. Bei 37 Prozent ist das immerhin „meistens“ der Fall. Bei fast jedem vierten Unternehmen (24 Prozent) wird die Sicherheitsabteilung dagegen nur „gelegentlich“ oder „selten“ involviert.
mobilen Geräten oder aktuellen Betrugsmaschen informiert werden. Fast die Hälfte der Befragten (47 Prozent) stimmt der Aussage „voll und ganz“ zu, dass ihr Unternehmen gezielt in die Aus- und Weiterbildung ihrer Mitarbeiter im Bereich der Informationssicherheit investiert. 30 Prozent geben an, das diese Aussage „eher zutrifft“. Auf der anderen Seite antworten 13 Prozent mit „teils / teils“ und 10 Prozent sagen, dass sie im Sicherheitsbereich nicht gezielt in die Aus- und Weiterbildung investieren.
Abbildung 12: Beteiligung der IT-Sicherheitsabteilung bei IT-relevanten Projekten
Frage: „Inwieweit wird Ihre IT-Sicherheits-Abteilung bei IT-relevanten Projekten anderer Fachbereiche, wie z.B. der Anschaffung und Nutzung neuer Software bzw. Software as a Services, involviert?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Abweichungen von 100 Prozent sind rundungsbedingt
17
Abbildung 13: Detect Maßnahmen
4.3 Detect – Attacken schnell erkennen
Ein wesentlicher Bestandteil moderner Sicherheitskonzepte sind technische Maßnahmen zur Erkennung von Cyberattacken. Dabei kommen sogenannte Intrusion Detection Systeme und Intrusion Prevention Systeme zum Einsatz, die den Datenverkehr in IT-Systemen und Netzwerken überwachen. Bei Auffälligkeiten signalisieren die Systeme einen IT-Angriff und können automatisiert erste Gegenmaßnahmen einleiten. Bisher nutzt gut jedes dritte Unternehmen (35 Prozent) entsprechende Lösungen für die frühzeitige Erkennung von Einbrüchen in die IT-Systeme. Weitere 26 Prozent planen deren Einführung.
Frage: „Welche der folgenden technischen IT-Sicherheitsmaßnahmen hat Ihr Unternehmen bereits umgesetzt, plant Ihr Unternehmen in Zukunft umzusetzen bzw. diskutiert Ihr Unternehmen, um sich gegen IT-Sicherheitsvorfälle zu schützen?“ (Intrusion Detection oder Intrusion Detectionand Prevention System, d.h. Einsatz von Sensoren in der Unternehmens-IT zur Früherkennung von digitalen Einbrüchen | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Abweichungen von 100 Prozent sind rundungsbedingt
Erkennen ist wichtig. Schnell reagieren ist wichtiger
”
18
4.4 Respond – im Angriffsfall angemessen reagieren
In der Dimension Respond geht es um die angemessene Reaktion auf einen „erfolgreichen“ Angriff. Nicht jede Attacke muss automatisch Schäden verursachen und häufige Fehlalarme können auf Dauer zur Desensibilisierung führen. Sind im Rahmen der Dimension Detect Anomalien festgestellt worden, klären IT-Sicherheitsexperten im nächsten Schritt, welche Folgen die Attacke haben könnte. Gibt es ein Datenleck? Ist die Funktionsfähigkeit wichtiger Systeme in Gefahr? Und was hat den Sicherheitsvorfall verursacht oder ermöglicht? Für die Untersuchung nutzen die Experten Maßnahmen der IT-Forensik, mit denen sie sowohl Geräte wie Computer, Smartphones oder Festplatten als auch Datenbestände oder Datenströme analysieren können. Wie bei der Erkennung ist auch in der Respond-Dimension Zeit ein kritischer Faktor. Je schneller die Unternehmen Angriffe entdecken und verstehen, desto schneller und besser können sie darauf reagieren.
Das Notfall- bzw. Krisenmanagement greift im Fall eines schwerwiegenden IT-Angriffs. Mit einem strukturierten
Vorgehen können Unternehmen den Schaden eindämmen. Zum Notfallmanagement gehört es, bereits vor einem Angriff möglichst viele potenzielle Sicherheitsvorfälle zu identifizieren, entsprechende Maßnahmen festzulegen sowie die dafür notwendigen Abläufe zu definieren und zu dokumentieren. Immerhin sieben von zehn der befragten Unternehmen verfügen über ein geordnetes Krisenmanagement. Auf der anderen Seite sind 29 Prozent der Unternehmen nicht ausreichend auf Notfälle vorbereitet. Selbst jedes vierte Großunternehmen (26 Prozent) verfügt nicht über ein Krisenmanagement. Im Branchenvergleich sind die Automobilbauer und der Handel überdurchschnittlich nachlässig. Sind entsprechende Maßnahmen vorhanden, sollten Unternehmen diese in regelmäßigen Abständen überprüfen und dabei neue Angriffsmethoden sowie Veränderungen innerhalb der Organisation berücksichtigen.
Abbildung 14: Notfall- bzw. Krisenmanagement in Unternehmen (Respond)
Frage: „Verfügt Ihr Unternehmen über dokumentierte Abläufe und Ad-hoc-Maßnahmen, also ein Notfall- bzw. Krisenmanagement, für den Fall des Auftretens von IT-Sicherheitsvorfällen?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Abweichungen von 100 Prozent sind rundungsbedingt
19
In der Praxis kann das Krisenmanagement von einer Kontaktliste mit den wichtigsten internen und externen Ansprechpartnern bis zu aufwändigen praktischen Übungen reichen, bei denen Reaktionen auf verschiedene Angriffsszenarien bereits vor einem Notfall durchgespielt werden. 44 Prozent der Unternehmen geben an, dass sie alle ihnen bekannten Sicherheitsvorfälle adressieren und spezielle Maßnahmen und Abläufe für jeden dieser Vorfälle beschreiben. 29 Prozent berücksichtigen zwar sämtliche
Abbildung 15: Detailtiefe und Aktualisierung des Notfall- bzw. Krisenmanagements (Respond)
Frage links: „Welche der folgenden Aussagen trifft auf Ihr Notfall- bzw. Krisenmanagement für IT-Sicherheitsvorfälle zu?“ | Basis links: Unternehmen ab 50 Mitarbeiter, in denen ein Notfall-bzw. Krisenmanagement vorhanden ist (n=522) | Frage rechts: „Wie regelmäßig überprüfen und aktualisieren Sie die Abläufe und Maßnahmen im Rahmen Ihres Notfall- bzw. Krisenmanagements für IT-Sicherheitsvorfälle?“ | Basis links: Unternehmen ab 50 Mitarbeiter, in denen ein Notfall-bzw. Krisenmanagement vorhanden ist (n=522)
Vorfälle, beschreiben aber nur einen allgemeinen Ablauf für diese Angriffsszenarien. Dagegen beschränken sich 23 Prozent der Unternehmen auf eine aus ihrer Sicht relevante Anzahl an Sicherheitsvorfällen. Vier von fünf Unternehmen (79 Prozent) überprüfen und aktualisieren ihr Krisenmanagement halbjährlich, vierteljährlich oder sogar monatlich. 21 Prozent der Unternehmen passen ihre Notfallmaßnahmen nur einmal jährlich oder seltener an.
SIND UNTERNEHMEN GEGEN SICHERHEITSVORFÄLLE GEWAPPNET?
50%
40%
35%
der Unternehmen haben ein Krisen-management Team
davon haben auch die Fähigkeit, effektiv durch eine Krise zu führen
der Unternehmen haben einen Testlauf zu einem digitalen Zwischenfall durchgeführt
Lediglich
Und nur
Ergebnisse basieren auf Experimenten, die F-Secure im Auftrag der Unternehmen durchgeführt hat
20
5. DER F-SECURE LIVE SECURITY INDEX
Der F-Secure „Live Security Index“ beschreibt in einer Kennzahl, welchen Sicherheitsstandard die deutschen Unternehmen entlang des F-Secure „Live Security Ansatzes“ erreichen. Die Berechnung des „Life Security Index“ beruht auf insgesamt 26 Indikatoren verteilt auf die Dimensionen Predict, Prevent, Detect und Respond. Da es sich um einen ganzheitlichen IT-Sicherheitsansatz handelt, werden alle Dimensionen mit jeweils 25 Prozent gleichgewichtet. Ein Unternehmen, das einen Live Security Index von null erreicht, hat keinerlei Sicherheitsmaßnahmen entlang des Live Security Ansatzes im Einsatz, während ein Unternehmen mit dem Maximalwert 100 entlang der vier zugrundeliegenden Dimensionen maximal für IT-Sicherheitsvorfälle gerüstet ist.
5.1 Berechnung des Live Security Index
Abbildung 16: Berechnung & Operationalisierung des F-Secure Live Security Index
Auf Risiken vorbereiten und seine Gegner kennen, mehr
zu sehen bedeutet mehr Sicherheit.
Relevante Vorfälle und Bedrohungen erkennen und
unmittelbar darauf reagieren, Schaden eingrenzen, analy-
sieren und daraus lernen.
Angriffsfläche verringern und Vorfälle vermeiden. Bewährte, mehrfach aus-
gezeichnete Tools für Ihren Endgeräteschutz.
Auf Vorfälle reagieren und Angriffe eindämmen. Je mehr
Zeit Angreifer im Netzwerk verbringen, desto mehr
Schaden können sie anrichten.
21
Abbildung 17: F-Secure Live Security Index (in Punkten) nach Unternehmensgröße und Branche
Abbildung 18: F-Secure Live Security Index (in Punkten) inkl. Subindizes
5.2 Ergebnis des Live Security Index – Luft nach oben
Der F-Secure „Live Security Index“ für die deutsche Wirtschaft liegt bei 61 Punkten. Bei maximal 100 erreichbaren Punkten ist hier noch Luft nach oben. Die großen Unternehmen erreichen mit 69 Punkten einen überdurchschnittlich hohen Indexwert. Die mittleren und kleinen Unternehmen liegen nah am Mittelwert.
Ein Vergleich der Teilindizes der einzelnen Live Security Dimensionen zeigt, dass der Subindex Prevent mit 75 Punkten den mit Abstand höchsten Wert erreicht. Das verwundert nicht, da sich die Mehrzahl der Sicherheitsmaßnahmen von Unternehmen auf die Abwehr von IT-Angriffen konzentriert. Der Subindex Predict liegt mit 59 Punkten leicht unter dem Durchschnitt. Hier könnten die Unternehmen noch stärker in die strukturierte Planung
Deutliche Unterschiede gibt es zwischen den Branchen. Die Finanzdienstleister und Versicherungen mit 74 Punkten und die ITK-Branche mit 70 Punkten liegen bei der Umsetzung des Live Security Ansatzes deutlich über dem Durchschnitt. Dagegen erzielen die sonstigen Dienstleister mit nur 57 Punkten das schlechteste Ergebnis.
ihrer Sicherheitsaktivitäten investieren. Das gleiche gilt für den Subindex Respond mit 58 Punkten. Ein professionelles Notfallmanagement sollte zum Standardprogramm in jedem Unternehmen gehören. Den niedrigsten Wert erreicht der Subindex Detect mit nur 53 Punkten. Eine Kernaufgabe der Sicherheitsverantwortlichen wird es in Zukunft sein, verdeckte IT-Angriffe möglichst schnell aufzuspüren und Gegenmaßnahmen einzuleiten.
Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Mittelwerte auf einer Skala von 0 bis 100
22
5.3 Zweischneidiges Bild: die Live Security Typen
Auf Grundlage einer Clusteranalyse sind für die deutsche Wirtschaft vier Gruppen von Unternehmen mit unterschiedlich hohen Sicherheitslevels entlang des F-Secure „Live Security Ansatzes“ ermittelt worden. Mit einem Anteil von 47 Prozent verfügen die meisten Unternehmen über ein hohes Sicherheitsniveau. Der Indexwert in dieser Gruppe liegt mit 78 Punkten deutlich über dem Durchschnitt. Weitere 7 Prozent haben ein überdurchschnittliches Sicherheitsniveau und erreichen einen Indexwert von 66 Punkten. Auf der anderen Seite verfügen 30 Prozent aller Unternehmen über ein unterdurchschnittliches Sicherheitslevel. Die Schlusslichter mit einem niedrigen Sicherheitsniveau machen immerhin 16 Prozent der Unternehmen aus. Ihr Indexwert erreicht nur 31 Punkte.
Abbildung 19: Verteilung der Live Security Typen (in %)
Verteilung der F-Secure
Live Security Typen (in %)
F-Secure Live Security Index
(in Punkten) nach Typen
Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | links: Abweichungen von 100 Prozent sind rundungsbedingt | rechts: Mittelwerte auf einer Skala von 0 bis 100
23
5.3.1 Live Security Vorreiter sind gut aufgestellt
Der Indexwert für die Gruppe der Live Security Vorreiter, die über ein besonders hohes Sicherheitsniveau verfügen, liegt bei 78 Punkten. Wer gehört zu dieser Gruppe und was zeichnet die Live Security Vorreiter aus? Im Vergleich zum Durchschnitt sind hier besonders viele große Unternehmen mit 500 oder mehr Mitarbeitern vertreten, die in der Regel über größere finanzielle und personelle Ressourcen verfügen, um fortgeschrittene IT-Sicherheitsmaßnahmen zu planen und umzusetzen. Zudem befinden sich viele Finanzdienstleister und Versicherungen in dieser
5.3.2 Live Security High Performer liegen über dem Schnitt
In der Gruppe der Live Security High Performer liegt der Indexwert mit 66 Punkten ebenfalls über dem Durchschnitt. In dieser mit einem Anteil von 7 Prozent kleinsten Gruppe sind Unternehmen aller Größenklassen vertreten. Die Unternehmen gehen zum Großteil davon aus, dass IT-Risiken im Zuge der Digitalisierung zunehmen werden. Sie sind überdurchschnittlich häufig von Social Engineering, Ransomware und Man-in-the-Middle Attacken
Abbildung 20: Live Security Index (in Punkten) Hohes Sicherheitslevel
Abbildung 21: Live Security Index (in Punkten) Überdurchschnittliches Sicherheitslevel
Gruppe, die als besonders sicherheitssensibel gelten. Die Studienergebnisse zeigen, dass IT-Sicherheit für die Live Security Vorreiter generell eine höhere Bedeutung hat als für die anderen Unternehmen. Quer durch die vier Live Security Dimensionen setzen die Vorreiter die meisten Maßnahmen überdurchschnittlich häufig ein. So nutzen 54 Prozent ein komplexes Security Information and Event Management System (Durchschnitt: 35 Prozent), 56 Prozent nutzen Intrusion Detection (35 Prozent) und 83 Prozent verfügen über ein Notfallmanagement (70 Prozent). Alle befragten Unternehmen in dieser Gruppe führen regelmäßige Backups durch. Die Investitionen der Unternehmen in IT-Sicherheit werden im Jahr 2018 leicht überdurchschnittlich zunehmen.
betroffen. Gleichzeitig setzen sie vorausschauende Predict-Maßnahmen wie Penetrationstests oder Security Information and Event Management-Systeme überdurchschnittlich häufig ein. Der Einsatz von Prevent-Maßnahmen liegt weitgehend im Durchschnitt. Allerdings haben diese Unternehmen offenbar einen Nachholbedarf erkannt, was sich in einem überdurchschnittlich hohen Planungsanteil widerspiegelt. Das bestätigt sich auch bei den Investitionsabsichten. In der Gruppe der High Performer befinden sich mit 87 Prozent die meisten Unternehmen, die im Jahr 2018 ihre Investitionen in IT-Sicherheit steigern wollen (Durchschnitt: 74 Prozent).
24
5.3.3 Live Security Low Performer haben Nachholbedarf
Die Live Security Low Performer haben mit einem Indexwert von 50 Punkten bereits 11 Punkte Rückstand zum Durchschnittswert. Die IT-Sicherheit hat für diese Unternehmen eine im Vergleich geringere Bedeutung und sie gehen seltener davon aus, dass IT-Risiken in Zukunft zunehmen werden. Low Performer sind häufiger von Schadsoftware und unbewusst vor Ort verursachten Sicherheitsvorfällen betroffen. Die
5.3.4 Live Security Nachzügler sind akut gefährdet
Der Teilindex für die Live Security Nachzügler liegt mit 31 Punkten weit unter dem Durchschnitt von 61 Punkten. Etwa jedes sechste Unternehmen (16 Prozent) in Deutschland erreicht nur dieses sehr niedrige Sicherheitsniveau. Die Nachzügler sind überdurchschnittlich häufig von Ransomware und dem Ausnutzen von Software-Schwachstellen betroffen. Nur 18 Prozent halten es für wahrscheinlich, dass IT-Angriffe auf ihr Unternehmen unbemerkt geblieben sind. Im Schnitt sind es 35 Prozent. Das spricht angesichts der Defizite bei den
Abbildung 22: Live Security Index (in Punkten) Unterdurchschnittliches Sicherheitslevel
Abbildung 23: Live Security Index (in Punkten) Niedriges Sicherheitslevel
Wahrscheinlichkeit unbemerkter IT-Sicherheitsvorfälle schätzen sie überdurchschnittlich hoch ein. Sowohl die vorausschauenden (Predict) als auch die Sicherheitsmaßnahmen zur Verhinderung von IT-Angriffen (Prevent) werden überdurchschnittlich häufig geplant oder diskutiert. Das korrespondiert aber nicht mit höheren Investitionsabsichten, die im Durchschnitt liegen. Die Low Performer nutzen seltener spezielle Lösungen für die Angriffserkennung und verfügen weniger häufig über ein Notfallmanagement. In dieser Gruppe sind Unternehmen aller Größenklassen vertreten. Auffällig ist der im Vergleich zum Durchschnitt hohe Anteil von Handelsunternehmen.
Sicherheitsmaßnahmen entweder für Unwissenheit oder eine gewisse Ignoranz. Vorausschauende Predict-Maßnahmen sind weit überdurchschnittlich kein Thema für diese Unternehmen. Auch in der abwehrenden Prevent Dimension sind zahlreiche Maßnahmen weder eingeführt noch geplant. Fortschrittliche Methoden wie Intrusion Detection spielen kaum eine Rolle. Nur 39 Prozent verfügen über ein Notfall- bzw. Krisenmanagement (Durchschnitt: 70 Prozent). Die Investitionsabsichten sind ebenfalls geringer ausgeprägt. Unter den Nachzüglern befinden sich überwiegend kleine und mittlere Unternehmen. Bemerkenswert ist der im Vergleich zum Durchschnitt hohe Anteil von Unternehmen aus dem Maschinen- und Anlagenbau.
25
Abbildung 24: Zukünftige Herausforderungen für die Gewährleistung der IT-Sicherheit
6. KOMMENDE HERAUSFORDERUNGEN UND INVESTITIONSABSICHTEN
Die abschließenden Fragen beschäftigen sich mit den Herausforderungen beim Thema IT-Sicherheit in der nächsten Zeit und den konkreten Investitionsabsichten für das Jahr 2018. Die mit Abstand größte Herausforderung der kommenden zwei Jahre sehen die Unternehmen im zunehmenden Einsatz von Cloud Computing. Unabhängig von der Diskussion, ob Cloud Computing sicherer oder unsicherer ist als selbst gemanagte IT-Systeme, stellt allein die Umstellung auf neue IT-Infrastrukturen und Anwendungen hohe Anforderungen an die IT-Sicherheit. Das betrifft unter anderem die Auswahl und Kontrolle der genutzten Cloud-Services, um eine „Schatten-IT“ zu verhindern, die Verschlüsselung von Daten in der Cloud oder die Verwaltung von Zugriffsrechten. Diesen Transformationsprozess müssen die IT-Abteilungen bewältigen.
Weitere Herausforderungen beim Thema Sicherheit sehen die Befragten in der Digitalisierung von Büro- und Verwaltungsprozessen sowie der zunehmenden Vernetzung
im Internet of Things. Letzteres betrifft insbesondere das produzierende Gewerbe. Organisatorische und strukturelle Entwicklungen sind ebenfalls ein wichtiges Thema. So greifen im Zuge von Outsourcing-Maßnahmen und der vermehrten digitalen Vernetzung mit Zulieferern, Kunden oder anderen Partnern immer mehr externe Mitarbeiter auf die IT-Infrastrukturen der Unternehmen zu. Ähnliches gilt für die mobil arbeitenden eigenen Beschäftigten.
Darüber hinaus sehen viele Befragte eine steigende Abhängigkeit von externen Sicherheitsdienstleistern. Ähnlich wie beim Cloud Computing fürchten die Unternehmen einen Kontrollverlust. Zudem beklagen sie die langen Implementierungszeiten für IT-Sicherheitslösungen. Angesichts der immer komplexer werdenden Systeme ist das verständlich. Hier müssen auch die Sicherheitsanbieter Verbesserungen anstreben. Ein weiteres großes Problem sehen die Befragten in der fortschreitenden Professionalisierung krimineller Hacker und ihrer Angriffe auf die IT-Infrastrukturen der Unternehmen.
Frage: „Welche der folgenden Entwicklungen sehen Sie als Herausforderung für die Gewährleistung der IT-Sicherheit Ihres Unternehmens in den kommenden zwei Jahren?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Mehrfachnennungen möglich
26
Das insgesamt steigende Bewusstsein für IT-Sicherheit schlägt sich in den Investitionsabsichten nieder. Dabei kann es sich um Investitionen in Hardware, Software oder Services handeln. Drei von vier Unternehmen geben an, dass ihre Investitionen in IT-Sicherheitslösungen im Jahr 2018 zunehmen werden. Davon sagen 24 Prozent, dass ihre Investitionen sogar stark steigen werden. Bei 22 Prozent der Unternehmen sollen die Investitionen unverändert bleiben und bei nur 3 Prozent sinken. Deutliche Unterschiede zwischen den Branchen zeigen sich vor allem, wenn man
Jeder dritte Befragte (32 Prozent) hält das Budget seines Unternehmens für „absolut ausreichend“, um damit die IT-Sicherheit der Organisation zu gewährleisten. Jeder Zweite (52 Prozent) hält die Höhe des Budgets für „eher ausreichend“. Dagegen sagen 14 Prozent, dass das Budget ihres
nur den Anteil der Unternehmen betrachtet, die eine starke Zunahme ihrer Investitionen erwarten. So planen 41 Prozent der Finanzdienstleister und Versicherungen mit einem kräftigen Anstieg ihrer Ausgaben im Jahr 2018, gefolgt vom Handel und der sonstigen Industrie mit jeweils 29 Prozent. Dagegen planen nur 21 Prozent der Automobilbauer und 17 Prozent der ITK-Unternehmen mit einer starken Zunahme ihrer Investitionen in IT-Sicherheit. Schlusslicht ist der Maschinen- und Anlagenbau mit lediglich 13 Prozent.
Unternehmens „eher nicht ausreichend“ ist. Am zufriedensten mit dem IT-Sicherheitsbudget sind Finanzdienstleister und Versicherungen. Hier hält jeder zweite Befragte das Budget für absolut ausreichend. In der sonstigen Industrie sind es mit 42 Prozent ebenfalls überdurchschnittlich viele.
Abbildung 25: Investitionen in IT-Sicherheit im Jahr 2018
Abbildung 26: Entwicklung Investitionen und Bewertung Budget 2018
Frage: „Wie werden sich die Investitionen Ihres Unternehmens in die IT-Sicherheit im Jahr 2018 im Vergleich zu 2017 voraussichtlich entwickeln?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Top2 Boxes („Werden stark zunehmen“ & „Werden eher zunehmen“) in Prozent | Abweichungen von 100 Prozent sind rundungsbedingt
Frage: „Was glauben Sie, inwieweit ist Ihr IT-Sicherheits-Budget für das Jahr 2018 ausreichend, um die IT-Sicherheit Ihres Unternehmens zu gewährleisten?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Top2 Boxes („Absolut ausreichend“ & „Eher ausreichend“) in Prozent | Abweichungen von 100 Prozent sind rundungsbedingt
27
7. FAZIT UND EMPFEHLUNG
Die F-Secure Live Security Studie zeigt ein zwiespältiges Bild der IT-Sicherheitslage der deutschen Wirtschaft. Positiv ist: Gut die Hälfte der Unternehmen verfügt über ein hohes Sicherheitsniveau. Dagegen erreicht der andere Teil nur ein unterdurchschnittliches oder niedriges Sicherheitslevel. Es bestätigt sich, dass der Mittelstand noch Nachholbedarf hat. Es sind vor allem die großen Unternehmen, die fortgeschrittene IT-Sicherheitslösungen implementieren. Sie messen der IT-Sicherheit generell eine größere Bedeutung bei, verwenden komplexere Lösungen und investieren stärker in entsprechende Technologien.
Bessere Schutzmaßnahmen sind dringend erforderlich, denn zwei von drei Unternehmen waren zum Befragungszeitpunkt innerhalb der letzten 12 Monate von IT-Angriffen oder anderen IT-Sicherheitsvorfällen betroffen. Phishing-Attacken, Erpressung mit Ransomware, Infektionen mit Computerviren, Social Engineering und andere Vorfälle sind weit verbreitet. Dabei gehen kriminelle Hacker immer professioneller und raffinierter vor. Sie sind technologisch auf dem neuesten Stand und bereiten ihre Straftaten häufig mit Social Engineering vor, um dann einen gezielten Angriff zu starten.
Gegen diese Gefahren können sich Unternehmen nur mit einem umfassenden Sicherheitsansatz schützen,
der eine Reihe von organisatorischen und technischen Maßnahmen beinhaltet. F-Secure hat zu diesem Zweck den Live Security Ansatz entwickelt. Dieser ermöglicht es den Unternehmen, ihr Vorgehen zu strukturieren und ihre Sicherheitsmaßnahmen in mehreren Stufen auf ein höheres Level zu bringen. Der Live Security Ansatz unterscheidet die Dimensionen Predict (vorhersagen), Prevent (verhindern), Detect (erkennen) und Respond (reagieren).
Der in der Studie von F-Secure und Bitkom Research entwickelte Live Security Index zeigt, dass sich die Unternehmen vor allem auf die Verhinderung von IT-Angriffen konzentrieren. Das ist verständlich, weil die Abwehr den Kern der Sicherheitsaktivitäten ausmacht. In vielen Fällen reicht das aber nicht aus oder bringt nicht die gewünschten Ergebnisse. Die Unternehmen sollten vor der Einführung neuer Strukturen und Tools mehr Ressourcen in die Analyse der eigenen Situation stecken und auf dieser Basis ihr Sicherheitskonzept weiterentwickeln. Zudem zeigt sich immer deutlicher, dass viele IT-Angriffe trotz umfangreicher Abwehrmaßnahmen unbemerkt bleiben. Daher sollten die Unternehmen sich stärker darauf konzentrieren, Attacken zu erkennen und mit einem strukturierten Notfallmanagement darauf zu reagieren. Nur so können sie den Schaden in Grenzen halten.
28
Die Studie wurde von der Bitkom Research GmbH im Auftrag der F-Secure GmbH erstellt.
F-Secure lebt Cyber Security wie kein anderer. Seit drei Jahrzehnten treibt F-Secure Innovationen in der Cybersicherheit voran und schützt zehntausende von Unternehmen und Millionen von Menschen weltweit. Mit unübertroffener Erfahrung in Endpoint Protection sowie Erkennung und Reaktion, schützt F-Secure Unternehmen und Verbraucher vor Online-Bedrohungen jeglicher Art – von fortschrittlichen Cyberangriffen und Verletzung der Datensicherheit bis hin zu Infektionen mit Ransomware-Trojanern.
F-Secures anspruchsvolle Technik vereint die Stärken von Maschine mit dem menschlichen Know-how des weltweit anerkannten Sicherheitslabors für den einzigartigen Ansatz genannt Live Security. Darüber hinaus beteiligen sich F-Secure und ihre Sicherheitsexperten an mehr europäischen Cyber-Crime Untersuchungen als jede andere Firma. Die F-Secure Produkte und Services werden weltweit von über 200 Telekommunikationsunternehmen und Internetbetreibern sowie tausenden von Händlern angeboten. F-Secure wurde 1988 gegründet und ist börsennotiert an der NASDAQ OMX Helsinki Ltd.
Bitkom Research bietet Marktforschung aus einer Hand – von der Beratung und Konzeption über die Durchführung von Feldstudien bis hin zur öffentlichkeitswirksamen Vermarktung der Ergebnisse. Wir liefern Daten und Analysen, die ITK-Anbieter und -Anwender in ihren Entscheidungen zur Geschäftsentwicklung sowie bei der Umsetzung von Marketing- und PR-Maßnahmen unterstützen. Die Bitkom Research GmbH ist ein Tochterunternehmen des Bitkom e. V. und analysiert seit vielen Jahren Fragestellungen rund um die digitale Wirtschaft. Zu unseren Kunden zählen mittelständische Unternehmen ebenso wie Global Player und öffentliche Auftraggeber.
Ansprechpartner:
Berk KutsalPR ManagerT +49 89 [email protected]
Ansprechpartner:
Lukas GentemannResearch ConsultantT +49 30 [email protected]
Weitere Informationen: www.bitkom-research.de
Dr. Axel PolsGeschäftsführerT +40 30 [email protected]
ANSPRECHPARTNER UND KONTAKT
F-Secure GmbH
Bitkom Research GmbH
www.f-secure.com
