Knappe Budgets bremsen IT-Security-Strategie aus

Knappe Budgets bremsen IT-Entscheider aus

Beitrag teilen

Report: Knappe Budgets und mangelnde Unterstützung durch die Geschäftsführung sorgen dafür, dass wichtige Sicherheitskontrollen auf der Strecke bleiben. 60 Prozent der IT-Entscheider werden von der Umsetzung einer adäquaten IT-Security-Strategie abgehalten

Über die Hälfte der IT-Sicherheitsentscheider (60 %) sind der Meinung, dass ihre IT-Security-Strategie nicht mit der aktuellen Bedrohungslage Schritt hält, wie eine Befragung* von Delinea, dem Spezialisten für Privileged-Access-Management-Lösungen (PAM) für nahtlose Sicherheit, zeigt. So denken 20 Prozent der befragten Security-Professionals, dass sie mit ihren Sicherheitspraktiken hinterherhinken, 13 Prozent glauben, auf der Stelle zu treten, und lediglich 27 Prozent versuchen überhaupt, der Bedrohungslage gerecht zu werden.

Gefühlte und tatsächliche Sicherheit klaffen auseinander

Dabei offenbart die Befragung von knapp 2.100 Sicherheitsentscheidern weltweit auch Unterschiede zwischen der gefühlten und der tatsächlichen Wirksamkeit von Sicherheitspraktiken. Obwohl 40 Prozent der Befragten überzeugt sind, dass sie über eine adäquate Security-Strategie verfügen, mussten 84 Prozent zugeben, dass ihr Unternehmen in den letzten anderthalb Jahren eine Identitäts-bezogene Kompromittierung oder einen Angriff erlebt hat, der auf gestohlenen Anmeldedaten zurückzuführen ist.

Identitätssicherheit ist eine Priorität

Positiv zu erwähnen ist, dass viele Unternehmen durchaus Bereitschaft für Veränderungen und Optimierungen zeigen, insbesondere wenn es um den Schutz von Identitäten geht. Tatsächlich geben 90 Prozent der Befragten an, dass ihre Unternehmen die Bedeutung von Identitätssicherheit für das Erreichen ihrer Geschäftsziele voll und ganz erkennen, wobei 87 Prozent in der Absicherung von Identitäten eine der wichtigsten Sicherheitsprioritäten für die nächsten 12 Monate sehen.

Gleichzeitig befürchten drei Viertel (75 %) der IT- und Sicherheitsexperten, dass ihre IT-Security-Strategie beim Schutz privilegierter Identitäten zu kurz greifen, weil sie nicht die nötige Unterstützung – sei es durch entsprechende Budgets oder die Ausrichtung der Führungsebene – erhalten. So gaben 63 Prozent der Befragten an, dass die Geschäftsführung ihres Unternehmens die Identitätssicherheit und die Rolle, die sie bei der Ermöglichung besserer Geschäftsabläufe spielt, noch nicht vollständig versteht.

„Obwohl Geschäftsführer die Bedeutung von Identitätssicherheit mittlerweile erkannt haben, erhält der Großteil der Sicherheitsteams dennoch nicht die Unterstützung und das Budget, das sie benötigen, um wichtige Sicherheitskontrollen und -lösungen umzusetzen, die ihnen helfen, die größten Risiken zu reduzieren“, kommentiert Joseph Carson, Chief Security Scientist und Advisory CISO bei Delinea. „Das bedeutet, dass die Mehrheit der Unternehmen auch weiterhin nicht in der Lage sein wird, ihre Privilegien angemessen zu schützen, und daher anfällig für Cyberkriminelle sind, die es auf ihre privilegierten Accounts abgesehen haben.”

Fehlende Richtlinien für IT-Security-Strategie

Die Studie zeigt, dass Unternehmen trotz guter Absichten noch einen weiten Weg vor sich haben, wenn es um die Absicherung von privilegierten Identitäten und Zugriffen geht. So hat nur weniger als die Hälfte der befragten Unternehmen kontinuierliche Sicherheitsrichtlinien und -prozesse für die Verwaltung von privilegierten Zugriffen implementiert, wie z. B. eine Rotation oder Genehmigung von Passwörtern, zeit- oder kontextbasierte Sicherheit oder Privileged Behavior Monitoring, wie z. B. Aufzeichnungen und Audits. Noch besorgniserregender ist jedoch, dass mehr als die Hälfte aller Befragten (52 %) es privilegierten Benutzern erlauben, auf sensible Systeme und Daten zuzugreifen, ohne dass eine Multi-Faktor-Authentifizierung (MFA) erforderlich ist.

Und auch ein weiteres gefährliches Versäumnis bringt der Report ans Licht: Denn obwohl zu den privilegierten und damit schützenswerten Identitäten neben menschlichen Usern, wie Domain- und lokale Administratoren, auch nicht-menschliche Identitäten, wie Dienstkonten, Anwendungskonten, Code und andere Arten von Maschinen-Identitäten gehören, die automatisch Verbindungen herstellen und privilegierte Informationen freigeben, laufen letztere oft unter dem Radar. Nur 44 Prozent der Unternehmen verwalten und sichern diese maschinellen Identitäten angemessen ab, während die Mehrheit sie ungeschützt lässt und damit anfällig für Angriffe macht.

Gesucht: das schwächste Glied der Kette

„Cyberkriminelle suchen immer nach dem schwächsten Glied, und das Übersehen von ‚nicht-menschlichen‘ Identitäten – vor allem in Zeiten, in denen diese schneller wachsen als menschliche Nutzer – erhöht das Risiko von Privilegien-basierten Angriffen erheblich“, so Joseph Carson. „Wenn Angreifer Maschinen- und Anwendungsidentitäten anvisieren, können sie sich leicht verstecken und im Netzwerk bewegen, um den besten Ort für einen Angriff zu finden, wo sie den größten Schaden anrichten können. Unternehmen müssen deshalb unbedingt sicherstellen, dass auch Maschinen-Identitäten in ihre Sicherheitsstrategien einbezogen werden und zudem Best Practices befolgen, wenn es um den Schutz all ihrer IT-‚Superuser‘-Konten geht, die, wenn sie kompromittiert werden, das gesamte Unternehmen zum Stillstand bringen können.”

Hintergrund des Reports

Im Auftrag von Delinea befragte das unabhängigen Marktforschungsunternehmen Sapio Research im Juni 2022 insgesamt 2.100 IT-Sicherheitsentscheider aus 23 Ländern, darunter 100 aus Deutschland. Die Stichprobe ist branchenübergreifend und die Interviews wurden online in einem strengen mehrstufigen Screening-Verfahren durchgeführt.

Mehr bei delinea.com

 


Über Delinea

Delinea ist ein führender Anbieter von Privileged Access Management (PAM)-Lösungen, die eine nahtlose Sicherheit für moderne, hybride Unternehmen ermöglichen. Unsere Lösungen versetzen Unternehmen in die Lage, kritische Daten, Geräte, Codes und Cloud-Infrastrukturen zu sichern, um Risiken zu reduzieren, Compliance zu gewährleisten und die Sicherheit zu vereinfachen. Delinea beseitigt Komplexität und definiert die Grenzen des Zugriffs für Tausende von Kunden weltweit, darunter mehr als die Hälfte der Fortune-100-Unternehmen. Unsere Kunden reichen von kleinen Unternehmen bis hin zu den weltweit größten Finanzinstituten, Organisationen und Unternehmen der kritischen Infrastruktur.


 

Passende Artikel zum Thema

NIS2-Direktive: 6 Tipps zur Umsetzung in Unternehmen

Die EU-NIS2-Direktive verpflichtet bald viele Unternehmen dazu, höhere Cybersicherheitsstandards zu erfüllen - im Oktober 2024 soll das Gesetz schon fertig ➡ Weiterlesen

Cybersecurity: Mangelnde Abstimmung zwischen CEOs und CISOs

87 Prozent der befragten CISOs gaben im Dynatrace CISO-Report 2024 an, dass CEOs für Anwendersicherheit blind seien. 70 Prozent der ➡ Weiterlesen

Cyberversicherungen: Was hilft gegen steigende Kosten?

Cyberversicherungen sichern Unternehmen finanziell bei Cyberangriffen ab. Mit der Zunahme der Bedrohungslage erhöhen die Versicherungen die Kosten für Jahresprämien. Unternehmen, ➡ Weiterlesen

Ransomware: 97 Prozent der Betroffen sucht Rat bei Behörden

Enorm viele Unternehmen wenden sich bei einer Cyberattacke an behördliche Einrichtungen. Der aktuelle Sophos State of Ransomware Report bestätig, dass ➡ Weiterlesen

IT-Sicherheit: Mangelnde Kenntnisse in deutschen Unternehmen

Rund 25 Prozent aller Geschäftsleitungen wissen zu wenig über IT-Sicherheit und 42 Prozent der Arbeitnehmenden informieren sich nicht regelmäßig über ➡ Weiterlesen

Unternehmen entdecken Cyberangreifer schneller

Cyberangreifer nutzen bevorzugt Zero-Day-Schwachstellen aus, so der M-Trends Report 2024. Die durchschnittliche Verweildauer bis zu ihrer Entdeckung ist aber deutlich ➡ Weiterlesen

Überwachung dank Abschnitt 702

Das in den USA verabschiedete Gesetz zur Wiederzulassung von Abschnitt 702 bewirkt eine erhebliche Ausweitung der inländischen Überwachung, die die ➡ Weiterlesen

Phishing-Angriffe: Weltweite Zunahme um 60 Prozent

2023 war die Finanzbranche am häufigsten von Phishing-Angriffen betroffen. Kriminelle nutzen für Voice-Phishing (Vishing) und Deepfake-Phishing zunehmend generative KI um ➡ Weiterlesen