Thought Leadership
Geringe Investitionen in die Gefahrenerkennung und falsche Schwerpunkte bei der Erfolgsmessung von risikobasierten Security Management-Programmen können zu erhöhten Sicherheitsrisiken führen.
Die auf automatisierte Security und IT-Compliance spezialisierte Tripwire Inc. und das Ponemon Institute geben jetzt die Ergebnisse einer neuen Untersuchung zum aktuellen Status des risikobasierten Security Managements (RBSM) in Deutschland bekannt (The State of Risk-Based Security Management (RBSM) Study). Die international ausgelegte Studie wurde unter 2.145 Personen in Unternehmen unterschiedlicher Größen und Branchen in Deutschland, den USA, Großbritannien und den Niederlanden durchgeführt.
In Deutschland wurden insgesamt 566 Unternehmen dazu befragt, wie sie ihr risikobasiertes Security Management (RBSM) einschätzen und wie sie ihr RBSM durch formale Programme oder den Einsatz spezifischer Kontrollen adressieren und die Effektivität dieser Maßnahmen messen.
Der Bericht zeigt detailliert den aktuellen Status von Risikomanagement auf und gibt einen Einblick in die Erwartungen, die deutsche Unternehmen an RBSM-Maßnahmen knüpfen. Darüber hinaus gibt die Studie eine Orientierung, wie Organisationen ihre Security-Maßnahmen verstärken und durch einen risikobasierten Ansatz einen Mehrwert für ihren Geschäftsbetrieb erzielen können. Nicht zuletzt gibt der Report Empfehlungen für eine akkurate und effiziente Risikominimierung, die Absicherung der Geschäftsdaten und das frühzeitige Erkennen von Cyberattacken und Datenschutzverletzungen an die Hand.
Die wichtigsten Ergebnisse der Studie im Überblick:
1. Keine Metrik = Kein Erfolg
Die Untersuchungsergebnisse zeigen, dass deutsche Unternehmen den Erfolg von RBSM-Programmen messen, indem sie versuchen, erzielte Kostenreduktionen nachzuweisen. Eine derartige Erfolgsmessung kann laut Ponemon zu falschen Annahmen und in der Folge zu falschen Verhaltensweisen und erhöhten Sicherheitsrisiken führen. Die Unternehmen sollten den Marktanalysten zufolge bessere Messverfahren etablieren und nutzen, zum Beispiel um die Qualität der Konfiguration, die Effektivität der Security Controls und tatsächliche Fortschritte im Security-Programm zu prüfen. Ohne diese „guten“ Mess-Parameter werden die Organisationen nicht in der Lage sein, einen Programmerfolg aufzuweisen.
2. Unausgewogener Ansatz bei Risikomanagement und Security
Den Untersuchungsergebnissen zufolge sind die zugeteilten Security-Ausgaben nicht abgestimmt auf die wahrgenommenen Risiken. In Deutschland machen die Unternehmen große Fortschritte bezüglich der Nutzung vorbeugender Sicherheitskontrollen. So genannte „Detective Controls“ zur Gefahrenerkennung sind jedoch Mangelware und die Organisationen sind in der Folge nicht in der Lage, ihre Sicherheitskontrollen zu identifizieren, sinnvoll zu implementieren und kontinuierlich zu überwachen. Um hier bessere Ergebnisse zu erzielen, sollten die Unternehmen eine angemessene Balance zwischen vorbeugenden und aufdeckenden Sicherheitsmaßnahmen schaffen.
3. Auch wenn die Organisationen ein starkes Engagement für RBSM bekunden – zu wenige ergreifen tatsächlich Maßnahmen.
Der größte Teil der deutschen Unternehmen (84 Prozent) behauptet, sich signifikant in Sachen RBSM zu engagieren. Doch auch, wenn die meisten Organisationen sich zu RBSM bekennen und einen formalen Ansatz definiert haben – nur 61 Prozent haben tatsächlich mit der Implementierung ihres RBSM-Programms begonnen, und 40 Prozent der befragten Untersuchungsteilnehmer haben noch keinerlei formale RBSM-Strategien oder Prozeduren etabliert.
4. RBSM wird in Deutschland, den USA, Großbritannien und den Niederlanden sehr unterschiedlich wahrgenommen.
In den USA geben 71 Prozent der befragten Unternehmen an, dass die von innen ausgehenden Sicherheitsgefahren durch so genannte „malicious insider“ – etwa die eigenen Mitarbeiter – sie stark besorgen. In Großbritannien teilen diese Sorge nur 49 Prozent der Organisationen, in Deutschland lediglich 39 Prozent und in den Niederlanden sehen sich nur 16 Prozent der Firmen mit Gefahren durch heimtückische Innentäter konfrontiert.
„Insgesamt machen diese Studienergebnisse deutlich, dass deutsche Unternehmen zum Thema risikobasiertes Security Management endlich über reine Lippenbekenntnisse hinaus kommen müssen“, so Michael Loger, Senior Sales Engineer für Tripwire in Central Europe. „Clevere Security-Verantwortliche werden das Thema Sicherheitsrisiko als Mittel nutzen, um entsprechend geschäftsrelevante Diskussionen anzustoßen – und sie werden objektive Messverfahren einsetzen, um die Effektivität ihrer Security-Maßnahmen zu belegen. Es ist zwingend erforderlich, den Kreislauf der „Security-Anschaffungen aus Gewohnheit“ zu durchbrechen und die Zuteilung von Security-Ressourcen mit den tatsächlichen Geschäftsanforderungen in Einklang zu bringen.“
„Wir glauben, dass risikobasiertes Security Management die Art, wie Unternehmen ihre geschäftskritischen Informationsbestände und Technologien schützen, grundlegend verändern wird – nämlich weg von reaktiven Sicherheitsmaßnahmen hin zu pro-aktivem Handeln“, so Larry Ponemon, Gründer des Ponemon Institute. Mit der Bereitstellung dieser Studie wollen wir die Unternehmen unterstützen und darin bestärken, diesen Ansatz quasi zum integralen Herzstück ihrer Geschäftsaktivitäten zu machen.“
Die vollständige Studie sowie themenverwandte Informationen und Multimediainhalte steht zur Verfügung unter www.tripwire.com/..
