Anzeige

Cyber SecurityDie Top 5 der Security-Probleme zeigen, dass vor allem Lösungen zur IT-Sicherheit den Unternehmen des Mittelstands und den öffentlichen Verwaltungen häufig Probleme bereiten, die über die Standardlösungen hinausgehen.

Dies ist ein Ergebnis der Studie Security Bilanz Deutschland, für die das Analystenhaus techconsult zum dritten Mal in Folge 500 Mittelständler aus Industrie, Handel, Banken und Versicherungen, Dienstleistungssektor sowie öffentliche Verwaltungen und Non-Profit-Unternehmen zwischen 20 und 1.999 Mitarbeitern befragt hat.

1. Anspruchsvolle Lösungen zur Erkennung von Angriffen oftmals schlecht umgesetzt

Mehr als 70 Prozent der Befragten haben die Umsetzung von anspruchsvolle IT-Security-Lösungen, die der Erkennung und Absicherung gegen zielgerichtete Angriffe wie beispielsweise Industriespionage dienen, bisher nicht gut gelöst. Den Unternehmen fehlt es oftmals an Lösungen mit analytischem Ansatz oder auch forensische Tools, um sicherheitsrelevante Vorfälle zu untersuchen. Die Konsequenz daraus für die betroffenen Unternehmen ist, dass Angriffe und Schwachstellen im System nicht untersucht werden können. Im schlimmsten Fall fliegen Angriffe unter dem Radar hindurch und werden für lange Zeit nicht bemerkt.

2. Absicherung mobiler Endgeräte hinkt hinterher

Bei mehr als 70 Prozent der Mittelständler ist die Absicherung mobiler Endgeräte nicht gut umgesetzt. Die Einbindung mobiler Endgeräte ins eigene Unternehmen steigt weiterhin an. Doch die Absicherung der mitunter auch privat mitgebrachten und in das Unternehmensnetzwerk eingebundenen Geräte lässt dabei zu wünschen übrig. Die Unternehmensdaten sind damit großflächig nicht vor unbefugtem Zugriff geschützt. Auch die Angreifer wissen, dass mobile Geräte oftmals ungeschützt sind und können sich diese Schwachstellen zu Nutze machen, um Daten abzugreifen oder Schadsoftware einzuschleusen. Die zentrale Verwaltung und Absicherung von mobilen Endpoints mit Hilfe von Mobile Device Management Lösungen durch die IT-Abteilung ist durch die zunehmende Anzahl dieser Endgeräte unabdingbar geworden.

3. Unternehmen vernachlässigen proaktive Maßnahmen und handeln häufig zu spät

Proaktive Maßnahmen, zu denen Security Audits, Penetrationstests und auch regelmäßige Tests und Übungen der Notfall- und Reaktionspläne zählen, weisen erhebliche Umsetzungsprobleme auf. Unternehmen sind auf Angriffe und die dazu gehörigen Abwehrmaßnahmen häufig unvorbereitet, weil erst gehandelt wird, wenn es eigentlich schon zu spät ist. Proaktive Maßnahmen unterstützen dabei, die Umsetzung der eigenen IT-Sicherheitsmaßnahmen und -lösungen zu kontrollieren und gegebenenfalls anzupassen. Darüber hinaus ist man bei der Prävention nicht dazu gezwungen, unter Zeitdruck und unter dem Risiko eines Datenverlusts oder -abflusses handeln zu müssen.

4. Fehlende sichere Authentifizierung macht es Angreifern leicht

Für knapp zwei Drittel der Mittelständler ist die Authentifizierung nicht gut genug umgesetzt. Meist nutzen diese nur unsichere Authentifizierungsverfahren wie die Ein-Faktor-Authentifizierung und erleichtern Angreifern damit den Zugang zu IT-Systemen und Unternehmensdaten. Mehrfaktorielle Authentifizierungsverfahren mit Smart-Cards oder USB-Tokens, zertifikatsbasierte Authentifizierungsverfahren oder sogar eine biometrische Authentifizierung erschweren den Angreifern viele Angriffsszenarien, wie zum Beispiel Phishing-Angriffe, erheblich.

5. Ohne Sensibilisierung der Mitarbeiter verlieren IT-Sicherheitslösungen ihre Funktion

Die fünfte hervorzuhebende Problemstelle bilden mitarbeiterfokussierte Maßnahmen, die von zwei Dritteln der Studienteilnehmer als nur unzureichend umgesetzt eingestuft werden. Jede noch so gute Sicherheitslösung kann durch Unachtsamkeit oder Fehlverhalten der Mitarbeiter im Unternehmen torpediert werden. Mitarbeiter bilden aus Sicht der Angreifer immer das schwächste Glied der IT-Security-Kette. Regelmäßige Übungen und Schulungen sowie Awareness-Kampagnen versetzen Mitarbeiter in die Lage, Angriffe zu erkennen und helfen, sich im Angriffsfall richtig zu verhalten. Selbst einfache Hinweise darauf, wie mit E-Mail-Anhängen unbekannter Absender zu verfahren ist, können das Risiko einer Infektion des Unternehmensnetzwerks bereits massiv verringern. Dabei ist es essentiell, regelmäßig auf aktuelle Gefahren hinzuweisen, damit Angriffsversuche erkannt werden können und die Mitarbeiter sensibilisiert sind.

Top 5 Schwachstellen

Bild: Häufig sind anspruchsvolle IT-Security-Lösungen bei Mittelstand und öffentlichen Verwaltungen nicht gut umgesetzt. Dadurch fehlen Möglichkeiten, Angriffe zu erkennen und zu untersuchen.

Weitere Informationen:

Der Bericht zur Studie, der die 5 größten Schwachstellen in Mittelstand und öffentlichen Verwaltungen zusammenfasst, steht auf der auf der Webseite des Projekts unter www.security-bilanz.de zum Download bereit. Zusätzlich finden interessierte Unternehmen dort den Security Consulter, ein kostenloses Tool, mit dem Sie sich an den Studienergebnissen messen können und dadurch eine Einschätzung ihrer IT-Sicherheit im Vergleich zum Wettbewerb erhalten:

Security-Check zur Studie: Der Security Consulter

Zusätzlich zur Studie bietet der individuelle Security-Check jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal www.security-bilanz.de zur Verfügung.

Über die Studie:

Die Studie Security Bilanz Deutschland ermittelt jährlich den Status Quo der IT- und Informationssicherheit im Mittelstand und öffentlichen Verwaltungen. Die Basis bildet eine repräsentative Befragung mit über 500 Interviews in Unternehmen und Verwaltungen/Non-Profits mit 20 bis 2.000 Mitarbeitern. Darüber hinaus steht mit dem Heise Security Consulter ein Self-Check-Tool bereit, mit dem Unternehmen und Verwaltungen ihre Lage bewerten und mit den Studienergebnissen vergleichen können.

Die Studie Security Bilanz Deutschland und der Security Consulter werden unterstützt von DATEV eG, SecuRisk, Bitdefender, Net at Work, TeleTrust und AXA.

www.techconsult.de
 

 

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!