81 Prozent der deutschen Großunternehmen haben Defizite im Umgang mit Schwachstellen
Eine zunehmende Digitalisierung von Prozessen ist für deutsche Unternehmen unausweichlich. In diesem Zusammenhang wird das Management von Schwachstellen immer komplexer und nicht zuletzt durch Schatten-IT unübersichtlicher. Insbesondere die Regelmäßigkeit und die Tiefe der Schwachstellenscans sind hierbei von entscheidender Bedeutung. Aber gerade hier weisen deutsche Unternehmen grundlegende Missstände auf, die zu gravierenden Konsequenzen führen können.
In Zusammenarbeit mit ManageEngine ist das Research- und Analystenhaus techconsult der Frage nachgegangen, wie sich das Schwachstellenmanagement deutscher Unternehmen ausgestaltet und welche Rolle Softwarelösungen in diesem Kontext spielen. Hierfür wurden in der nun veröffentlichten Studie „Effizientes Schwachstellenmanagement in dynamischen IT-Infrastrukturen: Der Umgang deutscher Unternehmen mit IT-Security-Risiken“ 150 IT-Verantwortliche aus Unternehmen mit mindestens 2.000 Beschäftigten befragt.
Unternehmen oft zu langsam im Umgang mit kritischen Schwachstellen
Regelmäßig die eigene IT-Infrastruktur auf Schwachstellen zu untersuchen, stellt einen der Kernaspekte dar, um durch eine vorausschauende Strategie Sicherheitsrisiken zu minimieren. So wird in 45 Prozent der befragten Unternehmen täglich und in mehr als jedem dritten (35 Prozent) wöchentlich die IT-Infrastruktur mithilfe einer Softwarelösung auf Sicherheitslücken gescannt. Dagegen führt jedes fünfte deutsche Unternehmen einen solchen Scan lediglich einmal monatlich (10 Prozent) oder ohne eine Routine unregelmäßig (11 Prozent) durch. Hierbei zeigt sich, dass sich die Regelmäßigkeit eines Sicherheitsscans je nach Unternehmensgröße stark unterscheidet; je größer die Unternehmen, desto häufiger werden Scans durchgeführt. Insbesondere in gewachsenen und komplexen IT-Infrastrukturen müssen routinemäßige und kontinuierliche Schwachstellenscans das IT-Sicherheitskonzept ergänzen, ansonsten laufen Unternehmen Gefahr, Opfer von Cyberkriminellen zu werden. Die Größenklassenunterschiede zeigen sich insbesondere auch im Umgang mit Schwachstellen. So sind Unternehmen mit 5.000 oder mehr Beschäftigten deutlich häufiger in der Lage, kritische Schwachstellen innerhalb eines Tages zu patchen (58 Prozent) als Unternehmen mit 2.000 bis unter 5.000 Mitarbeitenden (40 Prozent).
Ganzheitliche Sicherheitsstrategie nicht ohne Software
Eine optimierte Schließung von kritischen Lücken lässt sich nicht zuletzt mithilfe einer ganzheitlichen Softwarelösung erreichen. Es zeigt sich jedoch, dass nur jedes dritte befragte Unternehmen (33 Prozent) eine ganzheitliche Lösung für Scan, Bewertung und Behebung von Schwachstellen einsetzt. Dagegen nutzen 38 Prozent der Unternehmen zwei getrennte Anwendungen zur Bewertung und Behebung, was zu einem umständlicheren und längeren Beseitigungsprozess führen kann. Je länger eine Sicherheitslücke offen bleibt, desto größer ist das Risiko eines Angriffs, denn Cyberkriminelle suchen genau diese „offenen Tore“. Jedes zehnte Unternehmen (11 Prozent) scheint indes einer permanent hohen Gefahr ausgesetzt zu sein. Der komplette Verzicht auf unterstützende Softwarelösungen, indem ausschließlich die manuelle Schwachstellenbewertung und -behebung angewandt wird, führt in diesen Unternehmen nicht nur zu einer unverhältnismäßig hohen Belastung der IT-Security-Verantwortlichen, sondern auch zu mehr Sicherheitslücken. Die Ausprägung dieser beiden Faktoren ist dabei unmittelbar von der Komplexität der jeweiligen IT-Infrastruktur abhängig.
Unternehmen priorisieren Schwachstellen nach Schadenspotenzial
Um das Ausmaß eines möglichen Schadens zu verringern, priorisieren die befragten Unternehmen identifizierte Schwachstellen insbesondere nach Schadenspotenzial (54 Prozent) und Ausnutzbarkeit (47 Prozent). Denn hochkritische Schwachstellen, die einfach ausgenutzt und großen Schaden anrichten können, sollten unverzüglich und mit höchster Priorität geschlossen werden. Damit einhergehend werden oftmals auch Schweregrad und Verwundbarkeit (45 Prozent) sowie die Anzahl der betroffenen Systeme (43 Prozent) zur Priorisierung genutzt. Im Sinne einer vorausschauenden Sicherheitsstrategie sollten Schwachstellen softwaregestützt bewertet werden, um zuverlässig zu priorisieren und dadurch Risiken zu minimieren.
Mobile Endgeräte als größte Herausforderung im Schwachstellenmanagement
Die Priorisierung von Sicherheitslücken ist nicht zuletzt begründet in einer explodierenden Anzahl an heterogenen IT-Assets, die zu potenziellen Schwachstellen werden können. Mobile Arbeitsgeräte wie Smartphones, Tablets oder Notebooks weisen laut 27 Prozent der befragten Unternehmen das größte Gefahrenpotenzial auf, da sie häufig auch privat genutzt und nur bedingt von der IT-Sicherheitsinfrastruktur erfasst werden können. Für Unternehmen stellt das Absichern derartiger Endgeräte, insbesondere in Zeiten von Remote work und Homeoffice, eine große Herausforderung dar, die ausschließlich softwaregestützt realisierbar ist. Jedoch haben viele Unternehmen nach eigener Einschätzung auch Defizite beim Umgang mit Schwachstellen in der eigenen Anwendungslandschaft, bestehend aus Cloud-Anwendungen (27 Prozent) und On-Premises-Lösungen (21 Prozent). Lediglich jedes fünfte befragte Unternehmen (19 Prozent) schätzt, dass es alle möglichen Schwachstellen der gesamten IT-Infrastruktur im Überblick hat.
Fazit
Alles in allem zeigen die Studienergebnisse auf, dass deutsche Großunternehmen bereits erste Schritte hin zu einer vorausschauenden Sicherheitsstrategie vorweisen können, jedoch sind deutliche Missstände insbesondere bei der Abdeckung mobiler Endgeräte sichtbar. Zudem ist erkennbar, dass ein Schwachstellenmanagement ohne ganzheitliche Softwarelösung in Zukunft nur noch möglich sein wird, wenn man bereit ist, ein höheres Risiko bei der Absicherung der IT-Infrastruktur einzugehen. Was bedeutet das für die Umsetzung einer vorausschauenden IT-Sicherheitsstrategie? Nur wer Scan, Bewertung und Behebung in einer Anwendung vereint, wird langfristig in die Lage versetzt, Gefahren innerhalb komplexer IT-Infrastrukturen frühzeitig und verlässlich zu entdecken, um so effizient und zeitnah wie möglich kritische Lücken schließen zu können.
Über die Studie
Das Research- und Analystenhaus techconsult hat im Auftrag von ManageEngine und MicroNova untersucht, wie sich das Schwachstellenmanagement deutscher Großunternehmen ausgestaltet und welche Rolle Softwarelösungen in diesem Kontext zukommen. Als Analysebasis für die Studie „Effizientes Schwachstellenmanagement in dynamischen IT-Infrastrukturen: Der Umgang deutscher Unternehmen mit IT-Security-Risiken“ wurden 150 IT-Verantwortliche aus deutschen Unternehmen mit mindestens 2.000 Beschäftigten befragt.
Über die techconsult GmbH
Als Research- und Analystenhaus ist techconsult seit 30 Jahren der Partner für Anbieter und Nachfrager digitaler Technologien und Services. Die techconsult GmbH wird vom geschäftsführenden Gesellschafter und Gründer Peter Burghardt am Standort Kassel mit einer Niederlassung in München geleitet.
Über ManageEngine
ManageEngine ist die Enterprise-IT-Management-Sparte der Zoho Corporation. Weltweit vertrauen Organisationen auf die IT-Management-Lösungen von ManageEngine – vom Start-up bis zum etablierten Unternehmen, darunter 9 von 10 der Fortune-100-Firmen. Sie nutzen die Produkte, um ihre IT-Infrastruktur optimal einsetzen zu können, vom Netzwerk über Server bis hin zu Endpoints und Anwendungen. ManageEngine verfügt weltweit über Niederlassungen, unter anderem in den USA, den Niederlanden, den Vereinigten Arabischen Emiraten, Indien, Singapur, Japan, China, Mexiko, Kolumbien und Australien. Gemeinsam mit über 200 Partnern weltweit unterstützt ManageEngine Unternehmen dabei, Geschäftsprozesse und IT optimal miteinander abzustimmen. Weitere Informationen sind verfügbar unter https://www.manageengine.de.
Über die MicroNova AG
Die MicroNova AG ist seit mehr als 18 Jahren exklusiver Vertriebspartner für die ManageEngine-Produkte in Deutschland. Das Unternehmen unterstützt seine Kunden nicht nur bei der Auswahl, Installation und Inbetriebnahme der für sie optimal geeigneten Software, sondern steht auch als deutschsprachiger Ansprechpartner für Fragen und Probleme zur Verfügung – vor Ort oder „remote“ über die Service-Mitarbeiterinnen und -Mitarbeiter in der Firmenzentrale bei München. Darüber hinaus bietet MicroNova maßgeschneiderte Workshops für einen sicheren Umgang mit der jeweiligen Software an.