75 Prozent der Unternehmen laut RSA-Studie mit erhöhten IT-Risiken

Sicherheitsstrategien der meisten Organisationen weiterhin lückenhaft

[datensicherheit.de, 05.07.2016] Rund drei Viertel der IT-Sicherheitsprogramme in Unternehmen und Behörden weisen laut dem jüngsten, in dieser Woche von RSA veröffentlichten „Cybersecurity Poverty Index Report“ nach wie vor kritische Lücken auf. Diesem Bericht der EMC-Tochter zufolge fehlt es vor allem an der Fähigkeit, schnell auf Sicherheits-Vorfälle zu reagieren – rund die Hälfte der untersuchten Organisationen beschrieben die eigene „Incident-Response“ als „ad-hoc“ oder sogar „nicht existent“. Darunter seien auch viele Betreiber Kritischer Infrastrukturen (KRITIS).

Gezielte Sicherheitsinvestitionen zur Erkennung und Eingrenzung!

Ein weiteres Schlüsselresultat des Reports sei die Erkenntnis, dass IT-Organisationen, die gezielt in Technologien zur Erkennung und Begrenzung von Angriffen investieren, damit oft mehr Schutzwirkung als jene erreichen, welche ihr Geld überwiegend für Präventions-Technologien ausgeben (z.B. für Firewalls). Viele Unternehmen investierten allerdings erst nach einem geschäftsschädigenden Angriff vermehrt in IT-Sicherheit. Jedoch scheiterten viele schon deshalb beim Verbessern der eigenen Schutzprogramme, weil sie nicht genau die Wirkung der IT-Risiken auf ihr Geschäft verstünden.

Nur 7,4 Prozent der Unternehmen haben „sehr guten Schutz“

Der Bericht zeige einen klaren Zusammenhang zwischen der Fähigkeit zum Bemerken von Angriffen und dem IT-Sicherheits-Reifegrad auf: Firmen, die häufig Unregelmäßigkeiten in oder Angriffe auf ihre IT-Umgebung verzeichnen, verfügten mit 65-prozentiger Wahrscheinlichkeit über fortschrittliche oder sogar sehr fortschrittliche IT-Sicherheitsstrategien und -technologien.
Doch die Zahl dieser Unternehmen sei weiterhin niedrig, wenn sie auch zu wachsen scheine – der Anteil der sehr gut geschützten IT-Umgebungen an der Gesamtstichprobe habe 7,4 Prozent gegenüber 4,9 Prozent im Vorjahr betragen. Die Zahl der Befragten, die den eigenen Betrieb als von IT-Risiken betroffen betrachtet, bleibe dagegen weiterhin hoch: Rund 75 Prozent der Umfrageteilnehmer hätten eine entsprechende Einschätzung abgegeben.

Einleiten vorausschauender Sicherheitsmaßnahmen als Herausforderung

Oft fehle den Unternehmen die Fähigkeit zum Priorisieren: Vielen falle das Einleiten vorausschauender Sicherheitsmaßnahmen schwer – 45 Prozent der Befragten hätten angegeben, ihre Organisationen seien überhaupt nicht oder nur fallbezogen in der Lage, IT-Risiken zu katalogisieren, zu bewerten oder zu reduzieren. Nur 24 Prozent der Umfrageteilnehmer schätzten die entsprechenden Fähigkeiten ihrer IT als fortschrittlich ein.
Vor allem die Unfähigkeit, genaue Toleranzwerte und -schwellen für bestimmte Risiken vorzugeben, erschwere den Verantwortlichen das Priorisieren von Investitionen oder Gegenmaßnahmen – dabei sei das eine der wichtigsten Voraussetzungen für das Steigern der IT-Sicherheit im Unternehmen.

Luft-, Raumfahrt- und Rüstungsindustrie führend

Wie schon die Vorjahresausgabe zeige auch der aktuelle Bericht, dass die beschriebenen Schwierigkeiten auch und gerade die KRITIS-Betreiber beträfen. Behörden und andere öffentliche Betriebe sowie Energieversorger schnitten im Vergleich der IT-Sicherheits-Reifegrade sogar am schlechtesten ab: Nur 18 Prozent der Betriebe dieser Gruppe schätzten die eigenen Sicherheitsprogramme als fortschrittlich oder sehr fortschrittlich ein.
Nicht viel besser gerüstet erschienen die Unternehmen der Finanzbranche: Obwohl häufig als führend in Sachen IT-Sicherheit beschrieben, erreichten nur 26 Prozent der befragten Finanz-Dienstleister von den fünf Reifegraden einen der beiden oberen – ein erheblicher Rückgang gegenüber dem Vorjahreswert von 33 Prozent.
Zum Vergleich: Von den untersuchten Unternehmen der Luft-, Raumfahrt- und Rüstungsindustrie verfügten immerhin 39 Prozent über fortschrittliche oder sehr fortschrittliche Sicherheitsprogramme.

EMEA-Region setzt sich an die Spitze

Den Regionen-Vergleich des Reports führten die Länder der sogenannten EMEA-Region an (Europa, Mittlerer Osten und Afrika), wo 29 Prozent der Unternehmen und Behörden einen fortschrittlichen oder sehr fortschrittlichen IT-Sicherheits-Reifegrad erreichten.
Auf Platz 2 folgten die Staaten der APJ-Region (Asien-Pazifik einschließlich Japan) mit 26 Prozent; das Schlusslicht habe die Americas-Region mit 23 Prozent. Auffällig hierbei sei, dass sich die EMEA-Region im Vergleich zum Vorjahr um drei Prozentpunkte und einen Platz habe verbessern können.

Umfrage in 878 Unternehmen aus 24 Branchen in 81 Ländern

Für den „Cybersecurity Poverty Index Report“ seien IT- und Sicherheitsfachleute aus 878 Unternehmen, 24 Branchen und 81 Ländern gebeten worden, den IT-Sicherheits-Reifegrad ihrer Organisation zu bewerten. Die Selbstbewertung sei entlang der im „NIST Cybersecurity Framework“ (CSF) festgehaltenen Grundfähigkeiten „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“ erfolgt. Die Teilnehmer hätten den Reifegrad jeder Fähigkeit ihrer Organisation mittels einer Fünf-Punkte-Skala bewertet (1 = „Fähigkeit nicht vorhanden“, …, 5 = „Fähigkeit auf sehr fortschrittlichem Niveau“).

Sicherheit: Nur über Vorbeugung nachzudenken unzureichend!

Diese zweite Ausgabe ihres „Cybersecurity Poverty Index“ zeige erneut, dass in Unternehmen jeder Größe, Industrie und Nationalität der Eindruck vorherrsche, man sei auf Cyber-Risiken nicht vorbereitet, sagt RSA-Präsident Armit Yoran. „Wir müssen die Art und Weise verändern, auf die diese Unternehmen über Sicherheit nachdenken – statt nur über Vorbeugung nachzudenken, sollten sie auch Strategien für die Reaktion auf Angriffe und andere Gefahren nachdenken.“
Zudem sollte jede Organisation so schnell wie möglich eine Vorgehensweise festlegen und umfangreiche Strategien entwickeln, „statt zu warten, bis der Schadensfall tatsächlich eintritt“, betont Yoran.

Weitere Informationen zum Thema:

RSA
RSA Cybersecurity Poverty Index 2016