Aktuelles, Branche, Studien - geschrieben von dp am Dienstag, Juli 5, 2016 23:14 - noch keine Kommentare
75 Prozent der Unternehmen laut RSA-Studie mit erhöhten IT-Risiken
Sicherheitsstrategien der meisten Organisationen weiterhin lückenhaft
[datensicherheit.de, 05.07.2016] Rund drei Viertel der IT-Sicherheitsprogramme in Unternehmen und Behörden weisen laut dem jüngsten, in dieser Woche von RSA veröffentlichten „Cybersecurity Poverty Index Report“ nach wie vor kritische Lücken auf. Diesem Bericht der EMC-Tochter zufolge fehlt es vor allem an der Fähigkeit, schnell auf Sicherheits-Vorfälle zu reagieren – rund die Hälfte der untersuchten Organisationen beschrieben die eigene „Incident-Response“ als „ad-hoc“ oder sogar „nicht existent“. Darunter seien auch viele Betreiber Kritischer Infrastrukturen (KRITIS).
Gezielte Sicherheitsinvestitionen zur Erkennung und Eingrenzung!
Ein weiteres Schlüsselresultat des Reports sei die Erkenntnis, dass IT-Organisationen, die gezielt in Technologien zur Erkennung und Begrenzung von Angriffen investieren, damit oft mehr Schutzwirkung als jene erreichen, welche ihr Geld überwiegend für Präventions-Technologien ausgeben (z.B. für Firewalls). Viele Unternehmen investierten allerdings erst nach einem geschäftsschädigenden Angriff vermehrt in IT-Sicherheit. Jedoch scheiterten viele schon deshalb beim Verbessern der eigenen Schutzprogramme, weil sie nicht genau die Wirkung der IT-Risiken auf ihr Geschäft verstünden.
Nur 7,4 Prozent der Unternehmen haben „sehr guten Schutz“
Der Bericht zeige einen klaren Zusammenhang zwischen der Fähigkeit zum Bemerken von Angriffen und dem IT-Sicherheits-Reifegrad auf: Firmen, die häufig Unregelmäßigkeiten in oder Angriffe auf ihre IT-Umgebung verzeichnen, verfügten mit 65-prozentiger Wahrscheinlichkeit über fortschrittliche oder sogar sehr fortschrittliche IT-Sicherheitsstrategien und -technologien.
Doch die Zahl dieser Unternehmen sei weiterhin niedrig, wenn sie auch zu wachsen scheine – der Anteil der sehr gut geschützten IT-Umgebungen an der Gesamtstichprobe habe 7,4 Prozent gegenüber 4,9 Prozent im Vorjahr betragen. Die Zahl der Befragten, die den eigenen Betrieb als von IT-Risiken betroffen betrachtet, bleibe dagegen weiterhin hoch: Rund 75 Prozent der Umfrageteilnehmer hätten eine entsprechende Einschätzung abgegeben.
Einleiten vorausschauender Sicherheitsmaßnahmen als Herausforderung
Oft fehle den Unternehmen die Fähigkeit zum Priorisieren: Vielen falle das Einleiten vorausschauender Sicherheitsmaßnahmen schwer – 45 Prozent der Befragten hätten angegeben, ihre Organisationen seien überhaupt nicht oder nur fallbezogen in der Lage, IT-Risiken zu katalogisieren, zu bewerten oder zu reduzieren. Nur 24 Prozent der Umfrageteilnehmer schätzten die entsprechenden Fähigkeiten ihrer IT als fortschrittlich ein.
Vor allem die Unfähigkeit, genaue Toleranzwerte und -schwellen für bestimmte Risiken vorzugeben, erschwere den Verantwortlichen das Priorisieren von Investitionen oder Gegenmaßnahmen – dabei sei das eine der wichtigsten Voraussetzungen für das Steigern der IT-Sicherheit im Unternehmen.
Luft-, Raumfahrt- und Rüstungsindustrie führend
Wie schon die Vorjahresausgabe zeige auch der aktuelle Bericht, dass die beschriebenen Schwierigkeiten auch und gerade die KRITIS-Betreiber beträfen. Behörden und andere öffentliche Betriebe sowie Energieversorger schnitten im Vergleich der IT-Sicherheits-Reifegrade sogar am schlechtesten ab: Nur 18 Prozent der Betriebe dieser Gruppe schätzten die eigenen Sicherheitsprogramme als fortschrittlich oder sehr fortschrittlich ein.
Nicht viel besser gerüstet erschienen die Unternehmen der Finanzbranche: Obwohl häufig als führend in Sachen IT-Sicherheit beschrieben, erreichten nur 26 Prozent der befragten Finanz-Dienstleister von den fünf Reifegraden einen der beiden oberen – ein erheblicher Rückgang gegenüber dem Vorjahreswert von 33 Prozent.
Zum Vergleich: Von den untersuchten Unternehmen der Luft-, Raumfahrt- und Rüstungsindustrie verfügten immerhin 39 Prozent über fortschrittliche oder sehr fortschrittliche Sicherheitsprogramme.
EMEA-Region setzt sich an die Spitze
Den Regionen-Vergleich des Reports führten die Länder der sogenannten EMEA-Region an (Europa, Mittlerer Osten und Afrika), wo 29 Prozent der Unternehmen und Behörden einen fortschrittlichen oder sehr fortschrittlichen IT-Sicherheits-Reifegrad erreichten.
Auf Platz 2 folgten die Staaten der APJ-Region (Asien-Pazifik einschließlich Japan) mit 26 Prozent; das Schlusslicht habe die Americas-Region mit 23 Prozent. Auffällig hierbei sei, dass sich die EMEA-Region im Vergleich zum Vorjahr um drei Prozentpunkte und einen Platz habe verbessern können.
Umfrage in 878 Unternehmen aus 24 Branchen in 81 Ländern
Für den „Cybersecurity Poverty Index Report“ seien IT- und Sicherheitsfachleute aus 878 Unternehmen, 24 Branchen und 81 Ländern gebeten worden, den IT-Sicherheits-Reifegrad ihrer Organisation zu bewerten. Die Selbstbewertung sei entlang der im „NIST Cybersecurity Framework“ (CSF) festgehaltenen Grundfähigkeiten „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“ erfolgt. Die Teilnehmer hätten den Reifegrad jeder Fähigkeit ihrer Organisation mittels einer Fünf-Punkte-Skala bewertet (1 = „Fähigkeit nicht vorhanden“, …, 5 = „Fähigkeit auf sehr fortschrittlichem Niveau“).
Sicherheit: Nur über Vorbeugung nachzudenken unzureichend!
Diese zweite Ausgabe ihres „Cybersecurity Poverty Index“ zeige erneut, dass in Unternehmen jeder Größe, Industrie und Nationalität der Eindruck vorherrsche, man sei auf Cyber-Risiken nicht vorbereitet, sagt RSA-Präsident Armit Yoran. „Wir müssen die Art und Weise verändern, auf die diese Unternehmen über Sicherheit nachdenken – statt nur über Vorbeugung nachzudenken, sollten sie auch Strategien für die Reaktion auf Angriffe und andere Gefahren nachdenken.“
Zudem sollte jede Organisation so schnell wie möglich eine Vorgehensweise festlegen und umfangreiche Strategien entwickeln, „statt zu warten, bis der Schadensfall tatsächlich eintritt“, betont Yoran.
Weitere Informationen zum Thema:
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren