Das Cyber Security Bulletin meldet für das vergangene Jahr 5.198 Sicherheitslücken. Eine Tatsache, die europäischen CIOs bewusst ist: Mit 45 Prozent gibt fast jeder zweite Befragte an, die IT seines Unternehmens sei "nie" vollständig vor Angriffen geschützt. Im Schnitt wollen 54 Prozent künftig denn auch mehr IT-Ressourcen für Patches bereit stellen. Dabei liegen die Deutschen im Europäischen Vergleich vorn: Mehr als zwei Drittel (68 Prozent) wollen mehr Geld dafür ausgeben, unter ihren spanischen Kollegen sind es nur 42 Prozent.
Im Schnitt haben die Befragten in den ersten sechs Monaten des vergangenen Jahres 410 Patches implementiert, das entspricht 17 Patches pro Woche. Dabei zeigten sich viele CIOs schlecht informiert: 36 Prozent konnten die Anzahl für ihr Unternehmen nicht nennen.
Zwei "Zeitfenster der Verwundbarkeit"
McAfee spricht bei der Cyber Security von zwei "Zeitfenstern der Verwundbarkeit": Das eine bezieht sich auf die Spanne zwischen dem Bekanntwerden einer Sicherheitslücke und den ersten Angriffen, das andere auf die Veröffentlichung eines Patches und den Zeitpunkt, an dem es vollständig implementiert ist. Wie die Analysten berichten, erfolgen die Angriffe immer schneller aufeinander, nicht selten schon an dem Tag, an dem die Lücke bekannt wird. Während also das erste Zeitfenster kleiner wird, dehnt sich das zweite aus. Denn es kann Tage dauern, einen Patch zu implementieren.
Ein Blick auf die Untersuchung zeigt: 27 Prozent der Befragten gelingt es, ihre IT-Infrastruktur nach zwei bis sieben Tagen ab Bekanntwerden der Patch-Veröffentlichung abzusichern (Deutschland: 22 Prozent). Mit 19 Prozent braucht fast jeder Fünfte länger als eine Woche (Deutschland: 13 Prozent).
Die Analysten wollten wissen, wie viel Zeit das Untersuchen von Patches und Sicherheitslücken kostet. Ein Fünftel der IT-Experten braucht dafür mindestens eine Arbeitsstunde am Tag, Deutschland liegt mit 24 Prozent leicht über dem Durchschnitt.
Um die Menge an Patches systematisch in den Griff zu bekommen, spricht McAfee folgende Empfehlungen aus:
1. Priorisieren von unternehmensrelevanten Ressourcen: CIOs sollten Geschäftsbereiche festlegen, die als erstes zu schützen sind. Deutsche IT-Verantwortliche sind dabei mit 63 Prozent Spitzenreiter.
2. Automatisieren des Patch-Prozesses: Es sollten Lösungen installiert werden, die die Priorisierung der Patches automatisch durchführen. Ziel: Wenn eine Schwachstelle entdeckt wird und ein Patch verfügbar ist, priorisiert die Lösung automatisch die zu schließenden Sicherheitslücken.
3. Präventiv schützen: Angriffe, für die noch kein Patch existiert, können durch präventive Blockaden wie etwa Intrusion Prevention Solutions (IPS) abgewehrt werden.
4. Gesetzliche Regelungen beachten: Nach gesetzlichen Bestimmungen muss die Sicherheit und Integrität von Finanzberichterstattungssystemen gewährleistet sein. Daher ist darauf zu achten, dass die jeweils aktuellsten Patches installiert wurden.
McAfee hat für die Studie mit 600 CIOs aus Deutschland, Frankreich und Großbritannien sowie aus Frankreich, Spanien und den Niederlanden gesprochen.