Sind Unternehmen in Sachen Cybersecurity wirklich gut aufgestellt? 61 Prozent der in einer Bitdefender-Studie befragten weltweiten Unternehmen attestieren sich eine verbesserte Cybersicherheit. Cybersecurity Posture Survey 2023 beleuchtet die Ressourcenlage der Cyberabwehr.
Bitdefender hat im Herbst 2022 weltweit 1.693 überwiegend kleine und mittelständische Unternehmen dazu befragt, wie sie ihre Cyberabwehr aufgestellt sehen. Ressourcenmangel ist trotz langsam wachsender Teams ein wichtiges Thema – aber nicht das zentrale. Menschliches Fehlverhalten von Mitarbeitern scheint für viele das größere Problem zu sein.
Viele KMUs antworten in der Studie
Die Studie belegt die dünne Personaldecke in der IT-Abwehr kleiner und mittlerer Unternehmen. Diese verfügen in ihrem eigenen Urteil über hinreichende Tools, verlangen aber zunehmend auch die Prävention und das frühzeitige Erkennen von Gefahren. Wer dies und die Abwehr der Folgen von menschlichen Fehlern leisten will, muss angesichts dünner Personalressourcen eigentlich nach externer Hilfe suchen. Hier mag aber ein Problem liegen: Denn ein Auslagern von IT-Sicherheit ziehen die meisten der Befragten nicht in Betracht. Menschliche Fehler von Angestellten kann eine IT-Abwehr aber alleine kaum ausschließen oder dessen Folgen eindämmen.
Die Sicherheitsverantwortlichen sehen die steigende Gefahr durch Cyberkriminelle und wissen, dass ihre IT-Sicherheit mehr leisten muss. Deswegen wollen immer mehr der Befragten weg von der herkömmlichen Abwehr und zu ganzheitlichen Ansätzen mit Prävention, Erkennung und Abwehr übergehen. 53 % der von Bitdefender befragten Unternehmen und Organisationen in über 100 Ländern sind bereits diesen Weg gegangen, zwölf % testen eine proaktivere Sicherheitsstrategie, 32 % ziehen eine proaktivere Defensivstrategie für die nähere Zukunft in Betracht. Dennoch stellen 61 % der Befragten im Rückblick auf die vergangenen zwölf Monate zufrieden fest, ihre Sicherheitslage habe sich verbessert. Das sind sechs % mehr als bei der Vorgängerumfrage aus dem Jahr 2021. Ganze vier % der Studienteilnehmer gehen davon aus, dass ihre IT-Sicherheit schlechter aufgestellt sei.
Weitere zentrale Ergebnissen der Studie
Nur 51 % der Unternehmen glaubten 2022, NIEMALS Ziel einer fortgeschrittenen Attacke gewesen zu sein
Das heißt im Umkehrschluss: fast jedes zweite Unternehmen durchaus. 21 % sehen eine hohe Wahrscheinlichkeit dafür, dass ein solcher Angriff in naher Zukunft stattfinden wird. Bedenklich ist, dass trotzdem nur 39 % einen Cyberabwehrplan vorbereitet haben.
Mangel an Sicherheitspersonal und -fähigkeiten ist nur für jedes dritte Unternehmen das Hauptproblem
Allen Diskussionen rund um den ohne Zweifel vorhandenen Personalmangel zum Trotz: Befragt nach den wichtigsten Herausforderungen an die IT-Sicherheit liegt der Faktor Personal- und Kompetenzmangel mit 34 % nur auf Rang vier. Die Lage scheint sich aber zu verschärfen. Denn das sind fünf Prozentpunkte mehr als 2021. Für die meisten der Befragten stellen begrenzte Budgets (48 %) das größte Problem dar. Sicherheit scheint in ihren Augen kaufbar zu sein. Ebenso gefährlich sind für die Studienteilnehmer unsicheres Verhalten der Angestellten (47 %) und menschliche Fehler (43 %). An Tools zur Sicherheit mangelt es ihnen wohl nicht: Nur 15 % sehen das größte Problem im Fehlen von einschlägigen Sicherheitstools.
IT-Sicherheit ist nur eine Aufgabe von vielen
Ganze 18 % der Unternehmen können einen Mitarbeiter ausschließlich für die Belange der IT-Sicherheit abstellen, in 82 % ist IT-Defensive eine Aufgabe von vielen für die IT-Administration. Dass IT-Teams ohnehin sehr klein sind, verschärft die Lage noch: In 30 % der Fälle sind die Administratoren Einzelkämpfer für alles, in 41 % bestehen die Teams aus zwei bis vier Personen. Wenn ein eigenes Cybersicherheitsteam existiert, besteht es bei 50 % der Unternehmen aus einer Person, zu 38 % aus zwei bis vier Personen. Viele Unternehmen wollen aber Abhilfe schaffen: 21 % planen konkret, Cybersicherheitspersonal einzustellen. 2020 lag dieser Anteil noch bei 15 %. Das Bewusstsein für die Mangelsituation steigt also, ist aber niedriger als die Diskussion vermuten lässt.
IT-Sicherheit bleibt im Hause
Trotzdem lagert nur knapp jedes vierte befragte Unternehmen seine Sicherheit an einen MSP, einen MSSP oder einen MDR-Dienstleister aus. Aber 13 % der anderen überlegen, dies zu tun. 61 % glauben dagegen, eine solche Hilfe nicht nötig zu haben.
„IT-Administrationen müssen viel leisten – und sie tun es auch: Die Studienergebnisse zeigen, dass sich Unternehmen auch nicht hinter Personalmangel oder einer unzulänglichen Technologieausstattung verstecken. Selbst nach automatisierten Set-and-Forget-Lösungen sucht nicht einmal jeder vierte schwerpunktmäßig. Dass Sicherheit eine wichtige und große Aufgabe ist, dessen ist man sich offenbar bewusst“, kommentiert Jörg von der Heydt, Regional Director DACH bei Bitdefender die diesjährigen Ergebnisse der in den vergangenen drei Jahren wiederholt durchgeführten Studie.
Unternehmen sollten sich nicht in Sicherheit wiegen
„Das positive Selbsturteil der Befragten zu ihrem Sicherheitsstatus sollte aber auf keinen Fall dazu führen, sich in Sicherheit zu wiegen. Genauso gefährlich ist vor allem bei kleineren Unternehmen der Rückschluss, eine vollständig selbstverwaltete IT-Sicherheit sei hinreichend. Zumal diese viel Arbeit macht: Wenn einfache Bedienbarkeit und Support für 33 bzw. 27 % der Befragten Top-Kriterien für die Auswahl einer Sicherheitslösung sind, ist dies vielleicht ein kleiner Ruf nach Entlastung. Ebenso die Tatsache, dass drei von vier der Befragten eine einheitliche Sicherheitsplattform für Endpunkt, Netzwerk und Cloud wünschen.
Dass es für zwei Drittel der Befragten kein Thema ist, IT-Sicherheit auszulagern, mag aus Sorge um das intellektuelle Eigentum der Daten und um die Compliance verständlich sein. Aber es erstaunt, denn niemand kann für seine IT-Sicherheit allein sorgen. Nur Plattformsicherheit und Hilfe von außen sorgen für hinreichende IT-Sicherheit.“
Hintergrund der Studie
Für die Bitdefender Cybersecurity Posture Survey Looking Forward 2023 befragte das Unternehmen weltweit 1.693 Unternehmen in 100 Ländern. Jeweils 44 % aus Nord- und Südamerika sowie aus Europa. 85 % der befragten Unternehmen der unterschiedlichsten Industriebereiche beschäftigen dabei weniger als 500 Mitarbeiter.
Mehr bei Bitdefender.com
Über Bitdefender Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de