Aktuelles, Branche, Produkte, Studien - geschrieben von dp am Sonntag, April 10, 2016 15:31 - noch keine Kommentare
Ungesicherte Drittanbieterzugriffe als idealer Nährboden für Cyberattacken
BOMGAR hat „Vendor Vulnerability Research 2016” publiziert
[datensicherheit.de, 10.04.2016] BOMGAR hat am 7. April 2016 die Ergebnisse der internationalen Sicherheitsumfrage „Vendor Vulnerability Research 2016” bekannt gegeben. So wüssten etwa in Deutschland nur 24 Prozent der befragten Unternehmen, welche Zugriffe auf interne IT-Systeme von welchen Dienstleistern durchgeführt werden — und so erwarteten 83 Prozent der Firmen, dass sie innerhalb der nächsten zwei Jahre Opfer einer Cyberattacke würden.
64 Prozent erwarteten schwere Sicherheitsverletzung sogar in diesem Jahr
Diese aktuelle Sicherheitsstudie über Drittanbieterzugriffe zeige, dass hohes Vertrauen und wachsende Abhängigkeit der Unternehmen von externen Dienstleistern mit Zugriffsrechten auf IT-Systeme auch die Gefahr von IT-Sicherheitsverstößen erhöhe.
64 Prozent der befragten Organisationen erwarteten sogar eine schwere Sicherheitsverletzung in diesem Jahr durch die Zusammenarbeit mit externen Dienstleistern.
Über 600 IT-Experten befragt
Für die von BOMGAR in Auftrag gegebene Untersuchung seien über 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA befragt worden. Die Rückmeldungen kämen aus den unterschiedlichsten Branchen — von der IT- und Telekommunikationsbranche bis zum Finanz-, Industrie und Energiesektor.
Die vorliegende Studie untersucht laut BOMGAR, welche Visibilität, Kontroll- und Managementmöglichkeiten die Organisationen in Europa und den USA über externe Dienstleister mit Zugriffsrechten auf ihre IT-Netzwerke haben. Sie thematisiere auch, inwieweit Organisationen die Gefahren durch potenzielle Risiken – seien es Cyberattacken oder Datenschutzverletzungen – bewusst sind, die Dienstleister mit „Remote-Access“-Rechten verursachen könnten. Schließlich soll die Untersuchung auch noch aufzeigen, welche „Policies“ und Prozesse zum Schutz der Unternehmen vor den identifizierten Gefahren implementiert wurden.
Drittanbieterzugriffe besser steuern können
Breit dokumentierte Sicherheitsvorfälle wie auf das Einzelhandelsunternehmen Target im Jahr 2013 hätten bei 81 Prozent der Befragten das Bewusstsein dafür geschärft, wie sie Drittanbieterzugriffe besser steuern könnten. Trotzdem seien sich nur 35 Prozent der Firmen (in Deutschland sogar nur 20 Prozent) sicher, die genaue Anzahl der externen Dienstleister zu kennen, welche auf ihre IT-Systeme zugreifen.
Laut der Studie haben im Schnitt 89 externe Dienstleister pro Woche Zugriff auf Unternehmensnetzwerke – diese Zahl werde voraussichtlich wachsen. 75 Prozent der befragten Experten konstatierten, dass die Zahl der Drittanbieter in ihrem Unternehmen in den vergangenen zwei Jahren gestiegen sei, und 71 Prozent gingen davon aus, dass sich dieser Trend in den nächsten beiden Jahren fortsetze.
Geringe Sichtbarkeit der Drittanbieterzugriffe
In den Studienergebnissen spiegele sich ein hohes Vertrauen gegenüber externen Dienstleistern wieder, wogegen die Sichtbarkeit der Drittanbieterzugriffe auf IT-Systeme niedrig bleibe. So vertrauten 92 Prozent der Umfrageteilnehmer ihren Vertragspartnern vollständig oder zumindest in den meisten Fällen, obwohl zwei Drittel (67 Prozent) einräumten, dass die Freiräume der Drittanbieter zu weit gefasst seien. Erstaunlicherweise würden dabei nur 34 Prozent (24 Prozent in Deutschland) die genaue Zahl der Log-ins in ihrem Unternehmensnetz durch externe Dienstleister oder Hersteller kennen, und 69 Prozent räumten bereits eine dokumentierte oder wahrscheinliche Sicherheitsverletzung durch Drittanbieter im vergangenen Jahr ein.
Hacker können Vertrauen gegenüber Drittanbietern missbrauchen
Externe Dienstleister spielten eine immer wichtigere Rolle beim Support der IT-Systeme, Applikationen und Endgeräte im Unternehmen. Allerdings führten die vernetzten Strukturen in vielen Organisationen auch zu unbeabsichtigten Wechselwirkungen, die sich nicht so leicht adressieren und in den Griff bekommen ließen, erklärt BOMGAR-CEO Matt Dircks.
Die vorliegende Studie verdeutliche, welches große Vertrauen den Drittanbietern entgegengebracht werde und wie wenig Kontrollmechanismen und Sichtbarkeit andererseits beim Netzwerkzugang vorhanden seien. Diese Kombination von Abhängigkeit, Vertrauensvorschuss und fehlender Kontrolle sei der „beste Nährboden“ für gefährliche Sicherheitsverstöße in Unternehmen aller Größen.
Wenn Hacker die Sicherheit kompromittierten und als vermeintlich berechtigte Dienstleister agieren könnten, verfügten sie über wochen- oder monatelange Zugriffsberechtigungen im Unternehmensnetz — genügend Zeit, um sensible Daten abzugreifen oder geschäftskritische IT-Systeme auszuschalten, warnt Dircks.
Interessanterweise liege es auf Unternehmensseite nicht an einer mangelnden Sensibilisierung für das Thema – unter den Befragten gebe es vielmehr ein ausgeprägtes Risikobewusstsein dafür, welche Folgen ein ineffektives Management von Drittanbieterzugriffen habe.
Schwachstellen bei der Einbindung externer Dienstleister schließen
Ganz offensichtlich gebe es in vielen Organisationen eine Lücke bei der Prävention von Cyberangriffen durch Hacker, die externe Dienstleister als Zugriffspunkt nutzten, ergänzt Dircks. Ohne eine granulare Zugriffssteuerung und Auditierung der Aktivitäten im Netzwerk ließen sich die Schwachstellen bei der Einbindung externer Dienstleister nicht schließen.
BOMGARs Lösungen für Zugriffssicherheit seien schnell integrierbar und einfach in der Bedienung, was Unternehmen jeder Größe eine sofortige Steuerung der Drittanbieterzugriffe sowie die zuverlässige Erkennung von Anomalien im Netzwerk und potenziellen Gefahren ermögliche. „Erst wenn sie Zugriffe sichern, können Organisationen tatsächlich davon profitieren, dass sie Aufgaben an externe Dienstleister auslagern und die Möglichkeiten einer vernetzten Geschäftswelt nutzen“, so Dircks.
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren