Gorodenkoff - stock.adobe.com
Komplexität der Security macht IT-Teams zu schaffen
Die Komplexität der IT-Sicherheit, Ransomware und Phishing betrachten hiesige Security-Teams als die größten Herausforderungen, sind aber bezüglich der Bewältigung selbstbewusst.
Dies sind einige der Ergebnisse der Studie „Cybersecurity in Deutschland 2021“ von IDC, für die im September 2021 insgesamt 200 Unternehmen mit mehr als 100 Mitarbeitern befragt wurden. Geht es um die strategischen Sicherheitsthemen, dann standen bei den Security-Teams Themen ganz oben auf der Agenda, die mehr oder minder eng mit den veränderten Arbeitsweisen zu tun haben, Stichwort Remote Work. Sei es nun Netzwerksicherheit, die Absicherung mobiler Geräte, sowie Security-Schulungen, Compliance/Datenschutz sowie IAM (Identity Access Management).
Das spiegelt sich dann auch direkt in den eingesetzten Security-Lösungen wider. So geben 50 Prozent der Befragten an IAM-Lösungen einzusetzen und 48 Prozent verwenden Produkte zum Schutz der Endpunkte. Mit nur 46 Prozent nur knapp dahinter rangieren Lösungen aus dem Bereich Data Protection wozu hier auch DLP (Data Loss Prevention) und DRM (Digital Rights Management) gezählt wird. Immerhin 44 Prozent der Befragten haben angegeben, dass sie bereits SASE (Secure Access Service Edge) einsetzen. Die Sicherheit von Endpunkten und deren sichere Anbindung spielt augenscheinlich eine große Rolle. Das der Mensch dabei ein wichtiger Aktivposten ist, verdeutlichen die 44 Prozent, die angeben, Security Awareness Trainings durchzuführen.
Zu den am wenigsten eingesetzten Lösungen gehören teils Kategorien, die erst seit begrenzter Zeit eine Rolle spielen als da wären Cloud Security Posture Management (CSPM) mit 35 Prozent der Nennungen oder auch XDR (Extendend Detection and Response) mit 31 Prozent der genannten Befragten. Aber auch der große Bereich der Automatisierung und Orchestrierung wird nur von 31 Prozent genannt.
Die Mehrzahl der Unternehmen hat Ransomware-Attacken erlebt
Ransomware gehört zu den größten genannten Bedrohungen der IDC-Studie. So haben 70 Prozent der Befragen bereits einen entsprechenden Angriff erlebt. Dabei haben 59 Prozent der Betroffenen ihre Daten retten können, 41 Prozent der Angegriffenen haben Daten verloren – teilweise auch trotz Bezahlung des Lösegeldes. Von den Betroffenen, die kein Lösegeld bezahlt haben, mussten drei Prozent einen Totalverlust der Daten erleben. 11 Prozent der Betroffenen gaben an, trotz Backup Datenverluste erlebt zu haben und 28 Prozent sind dank Backup ohne Datenverlust durch den Angriff gekommen.
Trotz der Situation sind insgesamt im Hinblick auf die IT-Sicherheit 66 Prozent aller Befragten überzeugt in Zukunft aus eigener Kraft ohne Dienstleister oder Experten sämtliche IT-Sicherheitsbedrohungen adressieren zu können.
Herausforderungen beim Identitätsmanagement (IAM) und Zero Trust
Die Sicherheit von Identitäten, Konten und Zugriffsrechten gehört zu den besonderen Herausforderungen für IT-Abteilungen. IDC hat in der Studie nachgefragt, wo es diesbezüglich besonders knirscht. Dabei haben 31 Prozent der Befragten das in Einklang bringen von Sicherheitsanforderungen und Nutzerfahrung genannt. Zudem würde Multifaktor-Authentifizierung (MFA) eine gewissen Login-Müdigkeit, sagen 28 Prozent der Teilnehmer. Apropos Mehrfach-Authentifizierung: So würden drei von fünf Unternehmen 2-Faktor-Authentifizierung oder MFA einsetzen, beziehungsweise auf passwortlose oder biometrische Ansätze setzen. Hingegen haben nur zwei von fünf Unternehmen Single Sign-On bei sich umgesetzt.
Geht es um die Sicherheit bei Authentifizierung und Berechtigungen ist zumindest medial häufig vom Zero-Trust-Modell die Rede. Hierfür seien in den Befragten Unternehmen lediglich teilweise die Grundlagen vorhanden. So etwa das in Verbindung bringen von authentifizierten Anwendern mit autorisierten Diensten und kontext- oder identitätsbezogenen Richtlinien. Hier geben 48 Prozent der Befragten an, dass dies auf ihr Unternehmen zuträfe. Bei dem Prinzip der minimalen Rechtevergabe (Least Privilege oder POLP) sagen gar nur 42 Prozent, dass dies in ihrer Organisation umgesetzt sei. Betrachtet man alle Aussagen in Richtung Zero Trust, die IDC abgefragt hat, dann geben lediglich sieben Prozent der Unternehmen an, dass dies auf sie zutrifft. Bei knapp der Hälfte treffen derzeit zwei oder weniger Aussagen zu.
Komplexe Security-Landschaften fordern IT-Teams heraus
Nicht nur die Bedrohungen auch die eigenen Security-Landschaften beschäftigen IT-Teams. Fast ein Drittel der Befragten hat die Komplexität als größte Herausforderung genannt. Die IT-Umgebungen selbst sind immer komplexer geworden und viele Unternehmen setzen dutzende von Security-Lösungen von unterschiedlichsten Anbietern ein.
So hätten bei den Unternehmen bis 500 Mitarbeiter 17 Prozent der Befragten mehr als 20 Anbieter im Einsatz. In größeren Unternehmen bis 2500 Mitarbeiter trifft dies auf 30 Prozent der Befragten zu. Jede zehnte Organisation mit mehr als 2500 Mitarbeiter würde Security-Lösungen vom mehr als 35 Anbietern betreiben. Entsprechend schwierig sei es, diese Security-Landschaften effektiv zu betreiben und sinnvoll mit Alarmmeldungen umzugehen. „Insbesondere viele der Security-Analytics und -Intelligence-Lösungen haben noch einen niedrigen Einsatzgrad, wie die Studienergebnisse eindeutig zeigen“, sagt Marco Becker, Senior Consultant bei IDC und Projektleiter, „Meldungen, Alerts und Logs einzelner Lösungen sowie entdeckte Attacken oder Schwachstellen werden dadurch nicht effizient im gesamten Unternehmen geteilt, manche Attacken und Schwachstellen gar nicht erst entdeckt. Stattdessen versacken Alerts unter Umständen in Silos. Das torpediert den Gedanken einer ganzheitlichen und integrierten Security-Umgebung, in der übergreifende Sicherheitsrisiken entdeckt und behandelt werden können.“
Der „Best of Breed“-Ansatz, also sich in jedem Anwendungsbereich das Beste zu suchen, würde daher zunehmend Plattformen, Ökosystemen und Managed Security Services weichen.
Sicherheit als Wettbewerbsvorteil
Bei der Studie haben 75 Prozent der Befragten angegeben, dass IT-Sicherheit ein wichtiger Wettbewerbsvorteil sei und die eigene Marke schütze, indem sie Vertrauen aufbaut. Allerdings geben auch 59 Prozent der Befragten an, dass IT-Sicherheit in ihrem Unternehmen grundsätzlich eher als störend und nicht nützlich angesehen werde. Und 54 Prozent der Befragten sagen, dass ihr Management der Meinung sei, dass Sicherheit Innovationen blockiere. Nach Ansicht von IDC sei bei der Wahrnehmung von Security ein Umdenken erforderlich. Cybersicherheit müsse als kritische Voraussetzung für eine erfolgreiche digitale Transformationen und ein modernes digitales Geschäft gesehen werden.
Für die IDC-Studie wurden im September 2021 insgesamt 200 Unternehmen unterschiedlicher Größte in Deutschland aus 11 Branchen befragt. Befragt wurden nur Personen, die an der strategischen Security-Planung, sicherheitsbezogenen Investitionen oder dem operativen Security-Betrieb beteiligt sind.