Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Geringe Investitionen in die Gefahrenerkennung und falsche Schwerpunkte bei der Erfolgsmessung von risikobasierten Security Management-Programmen können zu erhöhten Sicherheitsrisiken führen.

Die auf automatisierte Security und IT-Compliance spezialisierte  Tripwire Inc. und das Ponemon Institute geben jetzt die Ergebnisse einer neuen Untersuchung zum aktuellen Status des risikobasierten Security Managements (RBSM) in Deutschland bekannt (The State of Risk-Based Security Management (RBSM) Study). Die international ausgelegte Studie wurde unter 2.145 Personen in Unternehmen unterschiedlicher Größen und Branchen in Deutschland, den USA, Großbritannien und den Niederlanden durchgeführt.

In Deutschland wurden insgesamt 566 Unternehmen dazu befragt, wie sie ihr risikobasiertes Security Management (RBSM) einschätzen und wie sie ihr RBSM durch formale Programme oder den Einsatz spezifischer Kontrollen adressieren und die Effektivität dieser Maßnahmen messen.

Der Bericht zeigt detailliert den aktuellen Status von Risikomanagement auf und gibt einen Einblick in die Erwartungen, die deutsche Unternehmen an RBSM-Maßnahmen knüpfen. Darüber hinaus gibt die Studie eine Orientierung, wie Organisationen ihre Security-Maßnahmen verstärken und durch einen risikobasierten Ansatz einen Mehrwert für ihren Geschäftsbetrieb erzielen können. Nicht zuletzt gibt der Report Empfehlungen für eine akkurate und effiziente Risikominimierung, die Absicherung der Geschäftsdaten und das frühzeitige Erkennen von Cyberattacken und Datenschutzverletzungen an die Hand.

Die wichtigsten Ergebnisse der Studie im Überblick:

1. Keine Metrik = Kein Erfolg

Die Untersuchungsergebnisse zeigen, dass deutsche Unternehmen den Erfolg von RBSM-Programmen messen, indem sie versuchen, erzielte Kostenreduktionen nachzuweisen. Eine derartige Erfolgsmessung kann laut Ponemon zu falschen Annahmen und in der Folge zu falschen Verhaltensweisen und erhöhten Sicherheitsrisiken führen. Die Unternehmen sollten den Marktanalysten zufolge bessere Messverfahren etablieren und nutzen, zum Beispiel um die Qualität der Konfiguration, die Effektivität der Security Controls und tatsächliche Fortschritte im Security-Programm zu prüfen. Ohne diese „guten“ Mess-Parameter werden die Organisationen nicht in der Lage sein, einen Programmerfolg aufzuweisen.
Bild 1: Tripwire Studie.  
2. Unausgewogener Ansatz bei Risikomanagement und Security

Den Untersuchungsergebnissen zufolge sind die zugeteilten Security-Ausgaben nicht abgestimmt auf die wahrgenommenen Risiken. In Deutschland machen die Unternehmen große Fortschritte bezüglich der Nutzung vorbeugender Sicherheitskontrollen. So genannte „Detective Controls“ zur Gefahrenerkennung sind jedoch Mangelware und die Organisationen sind in der Folge nicht in der Lage, ihre Sicherheitskontrollen zu identifizieren, sinnvoll zu implementieren und kontinuierlich zu überwachen. Um hier bessere Ergebnisse zu erzielen, sollten die Unternehmen eine angemessene Balance zwischen vorbeugenden und aufdeckenden Sicherheitsmaßnahmen schaffen.
Bild 2: Tripwire Studie. 
3. Auch wenn die Organisationen ein starkes Engagement für RBSM bekunden – zu wenige ergreifen tatsächlich Maßnahmen.

Der größte Teil der deutschen Unternehmen (84 Prozent) behauptet, sich signifikant in Sachen RBSM zu engagieren. Doch auch, wenn die meisten Organisationen sich zu RBSM bekennen und einen formalen Ansatz definiert haben – nur 61 Prozent haben tatsächlich mit der Implementierung ihres RBSM-Programms begonnen, und 40 Prozent der befragten Untersuchungsteilnehmer haben noch keinerlei formale RBSM-Strategien oder Prozeduren etabliert.
Bild 3: Tripwire Studie.  
4. RBSM wird in Deutschland, den USA, Großbritannien und den Niederlanden sehr unterschiedlich wahrgenommen.

In den USA geben 71 Prozent der befragten Unternehmen an, dass die von innen ausgehenden Sicherheitsgefahren durch so genannte „malicious insider“ – etwa die eigenen Mitarbeiter – sie stark besorgen. In Großbritannien teilen diese Sorge nur 49 Prozent der Organisationen, in Deutschland lediglich 39 Prozent und in den Niederlanden sehen sich nur 16 Prozent der Firmen mit Gefahren durch heimtückische Innentäter konfrontiert.
Bild 4: Tripwire Studie.
„Insgesamt machen diese Studienergebnisse deutlich, dass deutsche Unternehmen zum Thema risikobasiertes Security Management endlich über reine Lippenbekenntnisse hinaus kommen müssen“, so Michael Loger, Senior Sales Engineer für Tripwire in Central Europe. „Clevere Security-Verantwortliche werden das Thema Sicherheitsrisiko als Mittel nutzen, um entsprechend geschäftsrelevante Diskussionen anzustoßen – und sie werden objektive Messverfahren einsetzen, um die Effektivität ihrer Security-Maßnahmen zu belegen. Es ist zwingend erforderlich, den Kreislauf der „Security-Anschaffungen aus Gewohnheit“ zu durchbrechen und die Zuteilung von Security-Ressourcen mit den tatsächlichen Geschäftsanforderungen in Einklang zu bringen.“

„Wir glauben, dass risikobasiertes Security Management die Art, wie Unternehmen ihre geschäftskritischen Informationsbestände und Technologien schützen, grundlegend verändern wird – nämlich weg von reaktiven Sicherheitsmaßnahmen hin zu pro-aktivem Handeln“, so Larry Ponemon, Gründer des Ponemon Institute. Mit der Bereitstellung dieser Studie wollen wir die Unternehmen unterstützen und darin bestärken, diesen Ansatz quasi zum integralen Herzstück ihrer Geschäftsaktivitäten zu machen.“

Die vollständige Studie sowie themenverwandte Informationen und Multimediainhalte steht zur Verfügung unter www.tripwire.com/..
 
GRID LIST
Hacker lieben Weihnachten

Gefährliche Weihnachtszeit - Hochsaison für Hacker

Für Unternehmen und Behörden ist die Weihnachtszeit alles andere als besinnlich. Während…
Tb W190 H80 Crop Int B4c4e812090ab33236beb9243853732a

Ein Denkfehler ist keine Pioniertat

Die gesamte IT-Sicherheitsindustrie begeht einen Denkfehler – und verkauft ihn als…
Tb W190 H80 Crop Int 658f818261677ec748ec3fc0e8dcad3c

Was ist der Mimecast ESRA Test?

Viele Organisationen sind der Meinung, dass ihre aktuellen Email-Sicherheitssysteme…
Stethoskop und Computer

Warum auch in der IT vorbeugen besser ist als heilen

Die bekannte Redewendung «vorbeugen ist besser als heilen» kann auch in der IT angewendet…
Tb W190 H80 Crop Int Aeb5a1ad0de7db3f252650c4e72a36c1

Als IT-Forensiker zwischen Schadprogrammen und Schraubenziehern

Die fiktive HAK Messtechnik AG wird Opfer einer zielgerichteten Cyber-Attacke und muss…
Tb W190 H80 Crop Int 78ab87a0e30ac3933ee82b3bb260b004

Die IT-Hygiene herstellen, um die IT-Sicherheit zu stärken

Es vergeht kein Tag ohne Datenschutzverletzungen. Die weltweite Datenbank Breach Level…
Smarte News aus der IT-Welt