Security-Studie: Schwache Vorbereitung für den Ernstfall

Security-Studie: Schwache Vorbereitung für den Ernstfall

Beitrag teilen

Security-Abteilungen müssen 2023 im Schwachstellenmanagement und der Supply-Chain-Sicherheit zielgerichteter arbeiten. Das ist ein zentrales Ergebnis der Studie „State of Security Preparedness 2023“ die der Security-Anbieter Ivanti veröffentlicht hat.

Im Gegensatz zu ihren internationalen Kollegen ist der Reifegrad deutscher Security-Abteilungen nur mittelmäßig. Dies zeigt sich besonders in geschäftskritischen Fragen wie dem Umgang mit Schwachstellen und bei Sicherheitstrainings für Geschäftspartner der eigenen Vertriebskette.

Anzeige

Deutsche Security-Teams haben Nachholbedarf

Der Reifegrad deutscher IT-Security-Abteilungen ist laut der Ivanti Studie deutlich niedriger als in benachbarten europäischen Ländern und weltweit. Gerade einmal 19 % der Befragten schätzen ihr Team als fortgeschritten und erprobt ein, wenn es um die Einhaltung nationaler und globaler Sicherheitsvorschriften, -richtlinien und -verfahren geht. In England, Frankreich und im internationalen Durchschnitt bewegen sich rund 30 % der Unternehmen auf diesem höchsten Abwehrniveau. Nach eigener Einschätzung befindet sich das Gros der deutschen Sicherheitsteams (36 %) in dieser Frage gerade einmal auf einem „Intermediate Level“.

Schwache Selbsteinschätzung bestätigt

Diese Selbsteinschätzung wird gestützt, betrachtet man die Methoden, die IT-Teams zur Evaluierung ihrer Cyberprogramme nutzen. Die Güte dieser Methoden können als Indikator dafür dienen, wie fundiert die Programme aufgesetzt und durchgeführt werden. Cybersecurity-Reifegradmodelle spielen dabei in Deutschland im Vergleich zum internationalen Durchschnitt nur eine untergeordnete Rolle. Gerade einmal 1/3 der Firmen hierzulande arbeiten mit diesen Modellen – weltweit sind es 2/3. Ähnlich sieht dies aus, wenn es um eine Bewertung geht, welchem Risiko relevante Finanzdaten ausgesetzt sind. 1/3 der befragten Sicherheitsspezialisten aus Deutschland ermitteln ihre Sicherheitsposition auf Basis eines Finance Data Risk Assessment (FinDRA). Nahezu doppelt so viele ihrer Kollegen arbeiten jedoch in Großbritannien und den USA (61 %, 62 %) mit dieser Kennziffer.

Die Fähigkeit einer Organisation, das eigene Sicherheitslevel akkurat zu bestimmen, hängt nicht zuletzt auch vom Einblick in die Systeme und Lösungen ab, die im Unternehmen zum Einsatz kommen. Auch unter diesem Blickwinkel fällt die Selbsteinschätzung deutscher Security-Leiter gemäßigt auch. Das Gros von ihnen (54 %) hat nur einen moderaten Überblick über ihre Assets und gerade einmal 15 % verfolgen die im Unternehmensnetz angemeldeten Nutzer, Geräte, Anwendungen und Dienste kontinuierlich.

Schwachstellenmanagement: Am liebsten alles patchen?

„Die Ergebnisse unserer Studie zeigen, dass deutsche Sicherheitsprofis nahezu jede Schwachstelle mit Priorität oder hoher Priorität schließen möchten. Eine solche Einstellung entspricht dem nachvollziehbaren Wunsch, möglichst viele potenzielle Einfallstore zu schließen. Das ist aber im Regelbetrieb einer IT-Abteilung mit den verfügbaren Ressourcen der Teams kaum noch realisierbar“, sagt Johannes Carl, Expert Manager PreSales – UEM & Security. „Die schiere Anzahl an offenen Schwachstellen macht es nahezu unmöglich, einen lückenlosen Schutzwall um ein Unternehmen zu ziehen. Deutlich effektiver ist es, diejenigen Verwundbarkeiten priorisiert zu schließen, von denen ein tatsächliches Risiko für das individuelle Unternehmen ausgeht.“

Dass sich diese Erkenntnis in den Security-Teams hierzulande noch nicht ausreichend verbreitet hat, zeigt die Ivanti-Studie. Zwar kümmert sich die Hälfte der Sicherheitsexperten (48 %) priorisiert um strategische Schwachstellen, die für ihr Unternehmen unmittelbar relevant sind – ein guter Wert im internationalen Vergleich. Allerdings fällt auf, dass überproportional viele Schwachstellen dazu gezählt werden.

Gleich, ob es sich um Verwundbarkeiten handelt, die in der NVD (National Vulnerability Database) gelistet, die aktuell ausgenutzt oder vom Team selbst identifiziert werden – das Gros der deutschen Security-Profis ordnet ihnen die höchste Dringlichkeit zu. International wird in dieser Frage deutlich stärker differenziert. Ein Grund für diese Bewertung mag in der Tatsache liegen, dass 40 % der Befragten entweder keine spezifische Methode für die Priorisierung von Schwachstellen nutzt oder wenn vorhanden, diese nicht gesondert dokumentiert ist. Hierbei wird es für die Teams schwierig, konsistente Regeln für ein risikobasiertes Schwachstellenmanagement anzuwenden.

Supply-Chain-Angriffe im Blick – aber im Griff?

Einen interessante Analyse lässt auch die Bewertung potenzieller Angriffsvektoren zu. 40 % der deutschen Sicherheitsprofis sehen in Angriffen auf und über die Vertriebskette nur ein moderates Bedrohungsniveau. Angesichts der Zunahme dieser Art von Angriffen im letzten Jahr ist eine solche Einschätzung durchaus erstaunlich. Interessant allerdings ist auch die Aussage von nahezu jedem zweiten Befragten (48 %), dass er auf einen Supply-Chain-Angriff sehr gut vorbereitet sei.

Dies deckt sich mit der im Ländervergleich hohen Fähigkeit deutscher IT-Abteilungen, Zugänge für Drittunternehmen kurzfristig entziehen zu können. 51 % sind dazu binnen eines Tages in der Lage. Deutlich kritischer wirkt sich eine andere Aussage aus: Nur etwas mehr als jeder zweite Sicherheitsspezialist hierzulande (57 %) verpflichtet Supply-Chain-Partner auch zu einem obligatorischen Cybersecurity-Training. Der Durchschnittswert aller Länder liegt hier bei 67 %.

Hintergrund der Studie

Für die Studie „State of Security Preparedness 2023“ wurden im Oktober 2022 über 6.500 Führungskräfte, Cybersecurity-Experten und Büroangestellte weltweit befragt. Das Ziel der Erhebung, die Ravn Research durchgeführt hat, ist die Wahrnehmung der IT-Professionals in den Unternehmen für die heutigen Sicherheitsbedrohungen zu verstehen und herauszufinden, wie sich Unternehmen auf noch unbekannte Bedrohungen in der Zukunft vorbereiten.

Mehr bei Ivanti.com

 


Über Ivanti

Die Stärke der Unified IT. Ivanti verbindet die IT mit dem Sicherheitsbetrieb im Unternehmen, um den digitalen Arbeitsplatz besser zu steuern und abzusichern. Auf PCs, mobilen Geräten, virtualisierten Infrastrukturen oder im Rechenzentrum identifizieren wir IT-Assets – ganz gleich, ob sie sich On-Premise oder in der Cloud verbergen. Ivanti verbessert die Bereitstellung des IT-Services und senkt Risiken im Unternehmen auf Basis von Fachwissen und automatisierten Abläufen. Durch den Einsatz moderner Technologien im Lager und über die gesamte Supply Chain hinweg hilft Ivanti dabei, die Lieferfähigkeit von Firmen zu verbessern – und das, ohne eine Änderung der Backend-Systeme.


 

Passende Artikel zum Thema

Angriffe auf die Lieferkette nehmen zu

Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu ➡ Weiterlesen

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

IT-Sicherheit für alle – kostenlose Sicherheitstools

Ein führender Anbieter im Bereich Connectivity Cloud stellt mehrere wichtige Sicherheitstools, die oft teuer sind, Unternehmen kostenlos zur Verfügung. Dies ➡ Weiterlesen