VERANSTALTUNGEN

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Geringe Investitionen in die Gefahrenerkennung und falsche Schwerpunkte bei der Erfolgsmessung von risikobasierten Security Management-Programmen können zu erhöhten Sicherheitsrisiken führen.

Die auf automatisierte Security und IT-Compliance spezialisierte  Tripwire Inc. und das Ponemon Institute geben jetzt die Ergebnisse einer neuen Untersuchung zum aktuellen Status des risikobasierten Security Managements (RBSM) in Deutschland bekannt (The State of Risk-Based Security Management (RBSM) Study). Die international ausgelegte Studie wurde unter 2.145 Personen in Unternehmen unterschiedlicher Größen und Branchen in Deutschland, den USA, Großbritannien und den Niederlanden durchgeführt.

In Deutschland wurden insgesamt 566 Unternehmen dazu befragt, wie sie ihr risikobasiertes Security Management (RBSM) einschätzen und wie sie ihr RBSM durch formale Programme oder den Einsatz spezifischer Kontrollen adressieren und die Effektivität dieser Maßnahmen messen.

Der Bericht zeigt detailliert den aktuellen Status von Risikomanagement auf und gibt einen Einblick in die Erwartungen, die deutsche Unternehmen an RBSM-Maßnahmen knüpfen. Darüber hinaus gibt die Studie eine Orientierung, wie Organisationen ihre Security-Maßnahmen verstärken und durch einen risikobasierten Ansatz einen Mehrwert für ihren Geschäftsbetrieb erzielen können. Nicht zuletzt gibt der Report Empfehlungen für eine akkurate und effiziente Risikominimierung, die Absicherung der Geschäftsdaten und das frühzeitige Erkennen von Cyberattacken und Datenschutzverletzungen an die Hand.

Die wichtigsten Ergebnisse der Studie im Überblick:

1. Keine Metrik = Kein Erfolg

Die Untersuchungsergebnisse zeigen, dass deutsche Unternehmen den Erfolg von RBSM-Programmen messen, indem sie versuchen, erzielte Kostenreduktionen nachzuweisen. Eine derartige Erfolgsmessung kann laut Ponemon zu falschen Annahmen und in der Folge zu falschen Verhaltensweisen und erhöhten Sicherheitsrisiken führen. Die Unternehmen sollten den Marktanalysten zufolge bessere Messverfahren etablieren und nutzen, zum Beispiel um die Qualität der Konfiguration, die Effektivität der Security Controls und tatsächliche Fortschritte im Security-Programm zu prüfen. Ohne diese „guten“ Mess-Parameter werden die Organisationen nicht in der Lage sein, einen Programmerfolg aufzuweisen.
Bild 1: Tripwire Studie.  
2. Unausgewogener Ansatz bei Risikomanagement und Security

Den Untersuchungsergebnissen zufolge sind die zugeteilten Security-Ausgaben nicht abgestimmt auf die wahrgenommenen Risiken. In Deutschland machen die Unternehmen große Fortschritte bezüglich der Nutzung vorbeugender Sicherheitskontrollen. So genannte „Detective Controls“ zur Gefahrenerkennung sind jedoch Mangelware und die Organisationen sind in der Folge nicht in der Lage, ihre Sicherheitskontrollen zu identifizieren, sinnvoll zu implementieren und kontinuierlich zu überwachen. Um hier bessere Ergebnisse zu erzielen, sollten die Unternehmen eine angemessene Balance zwischen vorbeugenden und aufdeckenden Sicherheitsmaßnahmen schaffen.
Bild 2: Tripwire Studie. 
3. Auch wenn die Organisationen ein starkes Engagement für RBSM bekunden – zu wenige ergreifen tatsächlich Maßnahmen.

Der größte Teil der deutschen Unternehmen (84 Prozent) behauptet, sich signifikant in Sachen RBSM zu engagieren. Doch auch, wenn die meisten Organisationen sich zu RBSM bekennen und einen formalen Ansatz definiert haben – nur 61 Prozent haben tatsächlich mit der Implementierung ihres RBSM-Programms begonnen, und 40 Prozent der befragten Untersuchungsteilnehmer haben noch keinerlei formale RBSM-Strategien oder Prozeduren etabliert.
Bild 3: Tripwire Studie.  
4. RBSM wird in Deutschland, den USA, Großbritannien und den Niederlanden sehr unterschiedlich wahrgenommen.

In den USA geben 71 Prozent der befragten Unternehmen an, dass die von innen ausgehenden Sicherheitsgefahren durch so genannte „malicious insider“ – etwa die eigenen Mitarbeiter – sie stark besorgen. In Großbritannien teilen diese Sorge nur 49 Prozent der Organisationen, in Deutschland lediglich 39 Prozent und in den Niederlanden sehen sich nur 16 Prozent der Firmen mit Gefahren durch heimtückische Innentäter konfrontiert.
Bild 4: Tripwire Studie.
„Insgesamt machen diese Studienergebnisse deutlich, dass deutsche Unternehmen zum Thema risikobasiertes Security Management endlich über reine Lippenbekenntnisse hinaus kommen müssen“, so Michael Loger, Senior Sales Engineer für Tripwire in Central Europe. „Clevere Security-Verantwortliche werden das Thema Sicherheitsrisiko als Mittel nutzen, um entsprechend geschäftsrelevante Diskussionen anzustoßen – und sie werden objektive Messverfahren einsetzen, um die Effektivität ihrer Security-Maßnahmen zu belegen. Es ist zwingend erforderlich, den Kreislauf der „Security-Anschaffungen aus Gewohnheit“ zu durchbrechen und die Zuteilung von Security-Ressourcen mit den tatsächlichen Geschäftsanforderungen in Einklang zu bringen.“

„Wir glauben, dass risikobasiertes Security Management die Art, wie Unternehmen ihre geschäftskritischen Informationsbestände und Technologien schützen, grundlegend verändern wird – nämlich weg von reaktiven Sicherheitsmaßnahmen hin zu pro-aktivem Handeln“, so Larry Ponemon, Gründer des Ponemon Institute. Mit der Bereitstellung dieser Studie wollen wir die Unternehmen unterstützen und darin bestärken, diesen Ansatz quasi zum integralen Herzstück ihrer Geschäftsaktivitäten zu machen.“

Die vollständige Studie sowie themenverwandte Informationen und Multimediainhalte steht zur Verfügung unter www.tripwire.com/..
 
GRID LIST
Tb W190 H80 Crop Int 80a1315b9a0811901d27b4aed755d80f

Neue Version 6.5 der R&S Web Application Firewall

Auf dem kürzlich in Paris stattgefundenen Cybersecurity Summit hat Rohde & Schwarz…
Schild mit Schwertern

Virtualisierung wird zum Retter der IT

Sicherheitsvorfälle sind weiter an der Tagesordnung und klassische Sicherheitsmaßnahmen…
Tb W190 H80 Crop Int D2e97c879f93358a07f6423857d2138e

Backup und Datensicherheit wachsen zusammen

Backup ist nicht mehr nur Datensicherung und Wiederherstellung. Alleine die Kriterien an…
Marina Kidron

Damit aus Double Kill kein Overkill wird - Schutz vor neuer Angriffsmethode

Bei der kürzlich aufgedeckten Double-Kill-Schwachstelle wurde eine einzigartige…
Phishing

So machen KMU das Einfallstor Phishing dicht

Cyber-Kriminelle haben es immer häufiger auf das exklusive Know-how deutscher…
Tb W190 H80 Crop Int 90aba36b95264e827b27d67702c64390

Kleinunternehmungen benötigen auch IT Sicherheit

Die Meldungen von Schaden verursachenden Angriffen auf Firmen nehmen dramatisch zu.Keine…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security