IT Security, aber richtig

Investition in IT-Sicherheit ist nicht genug



Marc Wilczek ist Autor zahlreicher Beiträge rund um die Themen digitale Transformation, Cloud Computing, Big Data und Security. Aktuell ist er Geschäftsführer beim IT-Sicherheitsanbieter Link11. Neben Managementstationen im Deutsche Telekom Konzern und bei CompuGroup Medical, leitete er zuvor unter anderem als Managing Director das Asiengeschäft beim IT-Sicherheitsexperten Sophos.
Trotz stetig steigender Ausgaben für die IT-Sicherheit ist die Mehrheit der CISOs besorgt, dass unbemerkt Unternehmensdaten kompromittiert werden.

Während das digitale Universum fleißig expandiert, sind über viele Jahre zeitgleich die Ausgaben in IT-Sicherheit rasant in die Höhe geschnellt. Laut Einschätzung von Gartner sollen diese im Jahr 2017 rund 86 Milliarden US-Dollar weltweit betragen und im Jahr 2018 auf 93 Milliarden US-Dollar weiter ansteigen. Dem kontinuierlichen Anstieg der Investitionen zum Trotz, ist die überwiegende Mehrheit der Chief Information SecuritySecurity Officers (CISOs) jedoch besorgt darüber, mit den im Zuge der DigitalisierungDigitalisierung steigenden Risiken Stand halten zu können. Alles zu Digitalisierung auf CIO.de Alles zu Security auf CIO.de

Ist Ihr Unternehmen in der Lage im Ernstfall Hacker abzuwehren?
Ist Ihr Unternehmen in der Lage im Ernstfall Hacker abzuwehren?
Foto: Elnur - shutterstock.com

Einer weltweiten CISO-Studie des Softwareanbieters ServiceNow zu Folge, sehen lediglich 19 Prozent der rund 300 befragten Teilnehmer - über eine Vielzahl von Industrien hinweg - ihre Organisation effektiv in der Lage, mögliche Datenpannen abzuwehren. Acht von zehn CISOs teilen die Zuversicht nicht, sondern sind vielmehr besorgt, dass mögliche Datenpannen nicht adressiert werden. Noch bedenklicher: 78 Prozent treibt die Sorge um, eine Datenpanne gar nicht erst feststellen zu können. Hier sind sechs Gründe warum:

1. Laxer Umgang mit Security-Risiken

Digitalaffine Unternehmen sind damit beschäftigt enorme Datensilos aufzubauen und eine dritte Plattform zu schaffen um ihr Geschäftsmodell grundlegend zu erneuern. Sie bündeln mit anderen Worten ihre Aktivitäten rund um die Themenkomplexe Big DataBig Data, Mobility, Cloud, Social Software und IoT, um Marktanteile zu gewinnen und neue Geschäftsfelder zu erschließen. Alles zu Big Data auf CIO.de

Gleichzeitig setzen sich die Unternehmen so zunehmend größeren Risiken aus. Zusätzliche Maßnahmen treffen hingegen nur wenige. Laut einer Studie von Ernst & Young haben lediglich 5 Prozent aller beteiligten Unternehmen wesentliche Anpassungen an ihrer Security-Strategie und ihren Plänen vorgenommen - selbst nachdem klar war, dass sie sich wachsenden Risiken aussetzen. Die überwiegende Mehrheit sah bislang keine Veranlassung, tätig zu werden.

2. Falsche Daten-Klassifizierung

Viele Unternehmen neigen dazu, all ihre Daten gleich zu behandeln, ohne sich vollständig über die Komposition ihrer Datensätze im Klaren zu sein. Im Ergebnis führt dies häufig dazu, dass die sprichwörtlichen Kronjuwelen unzureichend geschützt sind, während weniger schutzbedürftige Daten im Panzerschrank liegen.

Laut der Studie von EY betrachten 51 Prozent aller Unternehmen personenbezogene Daten ihrer Kunden als höchst schutzbedürftig. Überraschenderweise sehen hingegen lediglich 11 Prozent selbiges hinsichtlich ihrer Patentrechte. Personenbezogene Daten von Vorständen und Aufsichtsräten werden häufig als schützenswerter erachtet als Patente oder Forschungsergebnisse.

3. Halbherziges Krisen-Management

Trotz steigender Risiken versäumen es Unternehmen, sich auf den Ernstfall vorzubereiten. Von den befragten Teilnehmern der EY-Studie verfügen nahezu die Hälfte (42 Prozent) über keinen abgestimmten Kommunikationsplan im Falle einer weitreichenden Datenpanne.

Im Nachgang eines erfolgreichen Angriffs würden 39 Prozent aller Befragten binnen sieben Tagen die Öffentlichkeit informieren. Während 70 Prozent die Regulierungsbehörden in Kenntnis setzen würden, würden 46 Prozent davon absehen, die Kunden zu informieren - selbst dann, wenn möglicherweise deren Daten betroffen sind. Weitere 56 Prozent würden Lieferanten nicht in Kenntnis setzen, selbst wenn deren Daten möglicherweise exponiert wurden.

4. Die IT-Sicherheitsüberschätzung

Viele Unternehmen vertrauen nach wie vor gänzlich auf die eigenen Fähigkeiten, um Schwachstellen zu identifizieren und auszumerzen. Tatsache ist jedoch, dass nur wenige Unternehmen über ausreichende interne Ressourcen verfügen, um den Bereich IT Security vollumfänglich abdecken zu können. Laut den Ergebnissen von EY betreiben acht von zehn Unternehmen Self-Phishing, während sechs von zehn Unternehmen eigene Penetrationstests durchführen.

Ganze 81 Prozent der befragten Unternehmen führen Ermittlungen zu Sicherheitsvorfällen hausintern durch und 83 Prozent betreiben eigene Aufklärung um Bedrohungsdaten zu erheben und Gefahrenquellen zu identifizieren. Während dies zunächst erfreulich klingt, verfügt nur eine Minderheit der Unternehmen über die notwendigen Kapazitäten und Fähigkeiten, all dies zu meistern. Viele wägen sich in trügerischer Sicherheit.

5. Das Security-Stochern

Im digitalen Zeitalter kann ein erfolgreicher Angriff aufgrund zunehmender Abhängigkeit von IT-Systemen Umsätze einbrechen lassen und auch darüber hinaus weitreichende Folgen haben - seien es Prozesskosten, Bußgelder oder Wertverlust durch Reputationsschäden. Nichtsdestotrotz berichten 89 Prozent der Befragten, die finanziellen Folgen einer Datenpanne nicht näher zu analysieren.

Selbst aus der Gruppe von Unternehmen, bei denen es in den vergangenen zwölf Monaten zu einer Datenpanne gekommen ist, sehen sich 49 Prozent außerstande, die damit einhergehenden Schäden zu beziffern. In Folge dessen denken 52 Prozent der befragten Führungskräfte, dass sich die Unternehmensleitung über die Risiken ihrer Organisation und die bereits getroffenen Maßnahmen nur unzureichend bewusst ist.

6. CISOs haben keinen Platz in der Chefetage

Nur die wenigsten CISOs verfügen über weitreichende Befugnisse und sind elementarer Bestandteil der Unternehmensleitung. Ganze 75 Prozent der Chief Information Security Officers sind trotz wohlklingender Titel kein Mitglied der Unternehmensleitung. Diese wiederum vertraut häufig noch immer auf das interne Berichtswesen um sich zu informieren. Die Studienergebnisse zeigen jedoch, dass Berichte zumeist wenig Aussagekraft haben.

Im Schnitt decken lediglich 35 Prozent davon Schwachstellen in der IT-Sicherheitsarchitektur auf und benennen diese. Während ein statisches und reaktives Vorgehen vielleicht in der alten Welt noch funktioniert haben mag, ändern sich die Vorzeichen im digitalen Zeitalter und verlangen ein Umdenken. Sicherheit und Vertrauen ist das A und O. Marken aufzubauen dauert Jahre, sie in den Grundfesten zu erschüttern geht über Nacht.

IT Security im Unternehmen: Das muss sich ändern

Die Ergebnisse der Studie zeigen, dass das Sicherheitsempfinden und Zutrauen in die Abwehrfähigkeiten nicht ausschließlich an Investitionen geknüpft ist oder gar damit korreliert. Die Investitionen sind wichtig, aber lediglich die halbe Miete.

Ebenso müssen sich Unternehmen der Überwindung organisatorischer Hindernisse widmen und dies durch einen umfangreichen Maßnahmenkatalog untermauern. Anderenfalls können Investitionen nicht ihre volle Wirkungskraft entfalten und selbst bereits getroffene Vorkehrungen werden unnötig konterkariert. Um die skizzierten Hürden zu überwinden, bedarf es der Bereitschaft und dem entschlossenen Handeln der gesamten Führungsmannschaft.

Ebenso gilt es konsequent Schlupflöcher zu schließen. Unternehmen investieren teilweise immense Summen in Schutzmaßnahmen, aber untergraben diese letztendlich durch Kleinigkeiten wie beispielsweise laxes Patch-Management. Dies hat mitunter weitreichende Konsequenzen. WannaCry und NotPetya sind lediglich zwei Beispiele der jüngeren Vergangenheit die weltweit Schlagzeilen gemacht haben.

Ferner müssen Unternehmen zur Bekämpfung von Security-Risiken deutlich stärker auf Analytics und Automatisierung setzen. Software kann dabei helfen, der exponentiell wachsenden Zahl von Bedrohungen wirksam entgegenzutreten, indem diese strukturiert, klassifiziert, priorisiert und systematisch abgearbeitet werden. Geschieht das nicht, sehen IT Security Teams den Wald vor lauter Bäumen nicht mehr. Das Ergebnis: Wenn wirklich mal Not am Mann ist, fehlt die nötige Fähigkeit, schnell reagieren zu können.

Zur Startseite