Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

AUTOMATE IT 2017
28.09.17 - 28.09.17
In Darmstadt

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

3. Esslinger Forum: Das Internet der Dinge
17.10.17 - 17.10.17
In Esslingen

Transformation World
19.10.17 - 20.10.17
In Heidelberg

cyber securityIm RSA Cybersecurity Poverty Index liefern 400 Sicherheitsspezialisten aus 61 Ländern eine Einschätzung der Sicherheitslage ihres Unternehmens.

 

  • 75 Prozent der Befragten sehen signifikante Mängel in ihrer IT-Sicherheitsstrategie.
  • Nur fünf Prozent schätzen ihr Sicherheitsniveau als herausragend ein.
  • Zwei Drittel der Befragten waren bereits Opfer von Cyberangriffen.
  • Große Unternehmen sind im Durchschnitt nicht besser gerüstet als kleine und mittlere Betriebe.
  • Unternehmen messen und bewerten ihr Cyberrisiko nicht und können deshalb ihre Sicherheitsmaßnahmen nicht effektiv planen.
  • Unternehmen in Asien sind tendenziell besser vorbereitet als Firmen im amerikanischen und EMEA-Raum.

Organisationen haben weltweit noch große Defizite beim Risiko-Management und bei den Sicherheitssystemen, die sie vor Cyberangriffen schützen sollen. Wie gut sie vorbereitet sind, ist unabhängig von der Größe der Unternehmen, der Branche oder des Unternehmensstandorts. Das ist das Ergebnis des RSA Cybersecurity Poverty Index, für den 400 Sicherheitsspezialisten aus 61 Ländern eine Einschätzung zur Sicherheitslage in ihrem Unternehmen gegeben haben. Zwei Resultate stechen besonders hervor: Erstens sind die Unternehmen nicht in der Lage, ihr Cyberrisiko zu messen und zu bewerten. Das macht es schwierig oder gar unmöglich, Sicherheitsaktivitäten zur priorisieren. Zweitens zeigt die Studie, dass Unternehmen hauptsächlich auf Perimeter-Sicherheit setzen, um das Eindringen von Angreifern aus dem Internet verhindern. Doch diese Maßnahme reicht nicht aus gegen die Sicherheitsbedrohungen von heute.

Die wichtigsten Ergebnisse

  • 75 Prozent der befragten Spezialisten sehen signifikante IT-Sicherheitsrisiken für ihr Unternehmen, schätzen ihr Sicherheitsniveau aber als zu niedrig ein.
  • Nur fünf Prozent schätzen ihr Sicherheitsniveau als herausragend ein.
  • Fast zwei Drittel der Befragten schätzen ihr Sicherheitsniveau in allen Kategorien als zu niedrig ein.
  • Überraschenderweise sind große Organisationen nicht besser geschützt: Mehr als 83 Prozent der Organisationen mit mehr als 10.000 Mitarbeitern sind schlecht auf die heutigen Bedrohungen vorbereitet, im Vergleich zu 79 Prozent der Firmen mit weniger als 1.000 Mitarbeitern.
  • Zwei Drittel der Befragten waren bereits Opfer von Cyberangriffen – aber nur 22 Prozent von diesen sehen sich heute besser geschützt als vor der Attacke. Unternehmen haben also große Probleme bei der Verbesserung ihrer Systeme, sogar wenn sie bereits schlechte Erfahrungen gemacht haben.
  • Organisationen, die bereits sehr oft (mehr als 40 Mal in den letzten zwölf Monaten) angegriffen wurden, sind deutlich besser gewappnet. Aber dennoch weisen nur 36 Prozent dieser Unternehmen herausragende oder hochentwickelte Sicherheitssysteme auf.
  • Während im amerikanischen Raum 24 Prozent und in EMEA 26 Prozent der Organisationen hochentwickelte oder herausragende Sicherheitssysteme haben, sind Unternehmen im asiatischen Raum deutlich besser gerüstet: Hier rangieren 39 Prozent auf den höchsten beiden Stufen.
  • Die Sicherheitsinfrastrukturen aller Branchen zeigen große Defizite, am besten schneidet die Telekommunikationsbranche mit 50 Prozent in den Bereichen „hochentwickelt“ oder „herausragend“ ab. Der Finanzsektor (34 Prozent) und die öffentliche Verwaltung (18 Prozent) haben noch großen Nachholbedarf.

Über die Studie

Die Studie auf Basis des NIST Cybersecurity Framework (CSF) erlaubt Einblicke, wie Organisationen ihre eigenen Leistungen bei der Cybersicherheit anhand von 18 Fragen selbst bewerten. Die Antworten geben Aufschluss zu den fünf Schlüsselfunktionen jeder Sicherheitsstrategie:

  • Identify: Erkennen von Gefahren und Abwehrmaßnahmen
  • Protect: Einsatz und Weiterentwicklung von Sicherheitstechnologien
  • Detect: Erkennen potenzieller Bedrohungen
  • Respond: Analyse von Angriffen und zielgerichtete Reaktion
  • Recover: Wiederherstellung von betroffenen Systemen

Die Befragten haben ihr Sicherheitsniveau auf einer fünfstufigen Skala bewertet: „herausragend“, „hochentwickelt“, „funktional“, „unzureichend“ oder „mangelhaft“. Dabei steht „herausragend“ für sehr gute Sicherheitsprogramme und die niedrigste Stufe „mangelhaft“ dafür, dass die nötigen Best Practices nicht angewendet werden und keinerlei Bewusstsein für die nötigen Sicherheitsmaßnahmen besteht.

Schlussfolgerungen

Die Ergebnisse zeigen deutlich, dass Unternehmen auf moderne Cyberangriffe noch nicht ausreichend vorbereitet sind. Die wenigsten Unternehmen weisen gute Abwehrfähigkeiten in allen Kategorien auf und setzen zu stark auf die Kategorie „Protect“, um im Sinne der Perimeter-Sicherheit Hürden am Übergang zwischen dem Unternehmensnetz und dem Internet zu errichten. Sie vernachlässigen aber die Analyse und Bewertung der Angriffe. Zuversichtlich sind die befragten Sicherheitsspezialisten, dass sie das Management von Identitäten und Zugriffsrechten gut beherrschen, denn 38 Prozent sehen sich dabei in den beiden Top-Kategorien. Dennoch gibt es hier noch ein großes Verbesserungspotenzial, das eine der wichtigsten Maßnahmen gegen hochentwickelte Angriffe ist.

Weitere Informationen:

germany.emc.com/security/index

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet