Security-Studie: Schwache Vorbereitung für den Ernstfall

14. April 2023
| Keine Kommentare
Security-Studie: Schwache Vorbereitung für den Ernstfall
Anzeige

Beitrag teilen

Security-Abteilungen müssen 2023 im Schwachstellenmanagement und der Supply-Chain-Sicherheit zielgerichteter arbeiten. Das ist ein zentrales Ergebnis der Studie „State of Security Preparedness 2023“ die der Security-Anbieter Ivanti veröffentlicht hat.

Im Gegensatz zu ihren internationalen Kollegen ist der Reifegrad deutscher Security-Abteilungen nur mittelmäßig. Dies zeigt sich besonders in geschäftskritischen Fragen wie dem Umgang mit Schwachstellen und bei Sicherheitstrainings für Geschäftspartner der eigenen Vertriebskette.

Anzeige

Deutsche Security-Teams haben Nachholbedarf

Der Reifegrad deutscher IT-Security-Abteilungen ist laut der Ivanti Studie deutlich niedriger als in benachbarten europäischen Ländern und weltweit. Gerade einmal 19 % der Befragten schätzen ihr Team als fortgeschritten und erprobt ein, wenn es um die Einhaltung nationaler und globaler Sicherheitsvorschriften, -richtlinien und -verfahren geht. In England, Frankreich und im internationalen Durchschnitt bewegen sich rund 30 % der Unternehmen auf diesem höchsten Abwehrniveau. Nach eigener Einschätzung befindet sich das Gros der deutschen Sicherheitsteams (36 %) in dieser Frage gerade einmal auf einem „Intermediate Level“.

Schwache Selbsteinschätzung bestätigt

Diese Selbsteinschätzung wird gestützt, betrachtet man die Methoden, die IT-Teams zur Evaluierung ihrer Cyberprogramme nutzen. Die Güte dieser Methoden können als Indikator dafür dienen, wie fundiert die Programme aufgesetzt und durchgeführt werden. Cybersecurity-Reifegradmodelle spielen dabei in Deutschland im Vergleich zum internationalen Durchschnitt nur eine untergeordnete Rolle. Gerade einmal 1/3 der Firmen hierzulande arbeiten mit diesen Modellen – weltweit sind es 2/3. Ähnlich sieht dies aus, wenn es um eine Bewertung geht, welchem Risiko relevante Finanzdaten ausgesetzt sind. 1/3 der befragten Sicherheitsspezialisten aus Deutschland ermitteln ihre Sicherheitsposition auf Basis eines Finance Data Risk Assessment (FinDRA). Nahezu doppelt so viele ihrer Kollegen arbeiten jedoch in Großbritannien und den USA (61 %, 62 %) mit dieser Kennziffer.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Die Fähigkeit einer Organisation, das eigene Sicherheitslevel akkurat zu bestimmen, hängt nicht zuletzt auch vom Einblick in die Systeme und Lösungen ab, die im Unternehmen zum Einsatz kommen. Auch unter diesem Blickwinkel fällt die Selbsteinschätzung deutscher Security-Leiter gemäßigt auch. Das Gros von ihnen (54 %) hat nur einen moderaten Überblick über ihre Assets und gerade einmal 15 % verfolgen die im Unternehmensnetz angemeldeten Nutzer, Geräte, Anwendungen und Dienste kontinuierlich.

Schwachstellenmanagement: Am liebsten alles patchen?

„Die Ergebnisse unserer Studie zeigen, dass deutsche Sicherheitsprofis nahezu jede Schwachstelle mit Priorität oder hoher Priorität schließen möchten. Eine solche Einstellung entspricht dem nachvollziehbaren Wunsch, möglichst viele potenzielle Einfallstore zu schließen. Das ist aber im Regelbetrieb einer IT-Abteilung mit den verfügbaren Ressourcen der Teams kaum noch realisierbar“, sagt Johannes Carl, Expert Manager PreSales – UEM & Security. „Die schiere Anzahl an offenen Schwachstellen macht es nahezu unmöglich, einen lückenlosen Schutzwall um ein Unternehmen zu ziehen. Deutlich effektiver ist es, diejenigen Verwundbarkeiten priorisiert zu schließen, von denen ein tatsächliches Risiko für das individuelle Unternehmen ausgeht.“

Dass sich diese Erkenntnis in den Security-Teams hierzulande noch nicht ausreichend verbreitet hat, zeigt die Ivanti-Studie. Zwar kümmert sich die Hälfte der Sicherheitsexperten (48 %) priorisiert um strategische Schwachstellen, die für ihr Unternehmen unmittelbar relevant sind – ein guter Wert im internationalen Vergleich. Allerdings fällt auf, dass überproportional viele Schwachstellen dazu gezählt werden.

Gleich, ob es sich um Verwundbarkeiten handelt, die in der NVD (National Vulnerability Database) gelistet, die aktuell ausgenutzt oder vom Team selbst identifiziert werden – das Gros der deutschen Security-Profis ordnet ihnen die höchste Dringlichkeit zu. International wird in dieser Frage deutlich stärker differenziert. Ein Grund für diese Bewertung mag in der Tatsache liegen, dass 40 % der Befragten entweder keine spezifische Methode für die Priorisierung von Schwachstellen nutzt oder wenn vorhanden, diese nicht gesondert dokumentiert ist. Hierbei wird es für die Teams schwierig, konsistente Regeln für ein risikobasiertes Schwachstellenmanagement anzuwenden.

Supply-Chain-Angriffe im Blick – aber im Griff?

Einen interessante Analyse lässt auch die Bewertung potenzieller Angriffsvektoren zu. 40 % der deutschen Sicherheitsprofis sehen in Angriffen auf und über die Vertriebskette nur ein moderates Bedrohungsniveau. Angesichts der Zunahme dieser Art von Angriffen im letzten Jahr ist eine solche Einschätzung durchaus erstaunlich. Interessant allerdings ist auch die Aussage von nahezu jedem zweiten Befragten (48 %), dass er auf einen Supply-Chain-Angriff sehr gut vorbereitet sei.

Dies deckt sich mit der im Ländervergleich hohen Fähigkeit deutscher IT-Abteilungen, Zugänge für Drittunternehmen kurzfristig entziehen zu können. 51 % sind dazu binnen eines Tages in der Lage. Deutlich kritischer wirkt sich eine andere Aussage aus: Nur etwas mehr als jeder zweite Sicherheitsspezialist hierzulande (57 %) verpflichtet Supply-Chain-Partner auch zu einem obligatorischen Cybersecurity-Training. Der Durchschnittswert aller Länder liegt hier bei 67 %.

Hintergrund der Studie

Für die Studie „State of Security Preparedness 2023“ wurden im Oktober 2022 über 6.500 Führungskräfte, Cybersecurity-Experten und Büroangestellte weltweit befragt. Das Ziel der Erhebung, die Ravn Research durchgeführt hat, ist die Wahrnehmung der IT-Professionals in den Unternehmen für die heutigen Sicherheitsbedrohungen zu verstehen und herauszufinden, wie sich Unternehmen auf noch unbekannte Bedrohungen in der Zukunft vorbereiten.

Mehr bei Ivanti.com

 

Über Ivanti

Die Stärke der Unified IT. Ivanti verbindet die IT mit dem Sicherheitsbetrieb im Unternehmen, um den digitalen Arbeitsplatz besser zu steuern und abzusichern. Auf PCs, mobilen Geräten, virtualisierten Infrastrukturen oder im Rechenzentrum identifizieren wir IT-Assets – ganz gleich, ob sie sich On-Premise oder in der Cloud verbergen. Ivanti verbessert die Bereitstellung des IT-Services und senkt Risiken im Unternehmen auf Basis von Fachwissen und automatisierten Abläufen. Durch den Einsatz moderner Technologien im Lager und über die gesamte Supply Chain hinweg hilft Ivanti dabei, die Lieferfähigkeit von Firmen zu verbessern – und das, ohne eine Änderung der Backend-Systeme.

 

Passende Artikel zum Thema

Deutsche Firmen: 84 Prozent erwarten einen Cyberangriff

Der Cyber Risk Index (CRI) für das zweiten Halbjahr 2022 von Trend Micro ist da. Dabei erwarten 84 Prozent der deutschen ➡ Weiterlesen

Neue Phishing-Taktiken bei Unternehmens-E-Mails

Cyberkriminelle führen bei ihren Phishing-Angriffen ständig neue Techniken und Taktiken ein, um Opfer zu täuschen und Sicherheitsmaßnahmen zu umgehen. Barracuda ➡ Weiterlesen

Ransomware-Analyse für Deutschland: Black Basta führend

Das Threat-Intelligence-Team von Malwarebytes hat die Aktivitäten von Ransomware-Gruppen in Deutschland von April 2022 bis März 2023 analysiert und in ➡ Weiterlesen

Konjunkturschwäche verringert Cyberabwehr

Eine Umfrage unter 100 US-Cybersicherheitsexperten von HackerOne zeigte: Nach Budgetkürzungen und Entlassungen in der IT-Sicherheit gibt es mehr ungepatchte Schwachstellen. ➡ Weiterlesen

Trotz Ransomware-Lösegeld: Nur 24 Prozent erhalten alle Daten 

Wie eine Studie zeigt, können trotz einer Lösegeldzahlung nur 24 Prozent der deutschen Unternehmen alle Daten nach einem Ransomware-Angriff wiederherstellen. Der ➡ Weiterlesen

Reaktionszeit nach Alarm: 4 Tage und mehr!  

Der Cloud Threat Report Volume 7 offenbart: Nach einem Alarm für ein Sicherheitsteam haben Angreifer in 40 Prozent der Fälle ➡ Weiterlesen

Datenverschlüsselung durch Ransomware so hoch wie nie

In seinem neuen Report State of Ransomware 2023 belegt Sophos, dass eine Datenverschlüsselung durch Ransomware mit 76 (international) noch nie ➡ Weiterlesen

KI verändert alles, was man über E-Mail-Cyberangriffe kennt

Generative KI verändert Angriffe und macht sie deutlich raffinierter als in der Vergangenheit. Sie erfordert eine neue Abwehrstrategie - am ➡ Weiterlesen

Storys
, , , , ,