Security Bilanz Deutschland 2016: Technische IT-Sicherheit bereitet zunehmend Probleme
IT- und Informationssicherheit in Mittelstand und öffentlichen Verwaltungen
Die Studie Security Bilanz Deutschland ermittelt im dritten Jahr in Folge die Sicherheitslage in Mittelstand und öffentlichen Verwaltungen sowie die Gefährdungslage, die diese Unternehmen und Verwaltungen wahrnehmen. Dazu hat das Analystenhaus techconsult 500 Mittelständler aus Industrie, Handel, Banken und Versicherungen, Dienstleistungssektor sowie öffentliche Verwaltungen und Non-Profit-Unternehmen zwischen 20 und 1.999 Mitarbeitern zur Einschätzung ihrer Sicherheitsmaßnahmen und -lösungen und den Bedrohungen befragt, denen sie sich ausgesetzt sehen.
Die Studie ermittelt zwei Indizes für die IT- und Informationssicherheit, die diese aus unterschiedlichen Perspektiven fokussieren: Der Sicherheitsindex fasst die Umsetzung von Maßnahmen und Lösungen auf technischer, organisatorischer, rechtlicher und strategischer Ebene zusammen. Der Gefährdungsindex hingegen ergibt sich aus der Einschätzung der Absicherungen gegen bestimmte Angriffen und die wahrgenommene Bedrohung durch diese Angriffe. Ideal wären somit ein möglichst hoher Sicherheitsindex, der besagt, dass Lösungen und Maßnahmen sehr gut umgesetzt sind, sowie ein möglichst niedriger Gefährdungsindex, der angibt, dass die von Angriffen ausgehende Gefährdung niedrig ist.
Unternehmen schätzen eigene Sicherheit schlechter ein, Bedrohungen werden stärker wahrgenommen
Gegenüber dem Vorjahr haben sich beide Indizes verschlechtert: Der Sicherheitsindex ist gesunken und der Gefährdungsindex stieg an. Unternehmen haben somit die Maßnahmen und Lösungen, die sie einsetzen, schlechter bewertet. Gleichzeitig fühlen sie sich durch verschiedene Angriffsszenarien bedrohter als zuvor. Der Sicherheitsindex erreicht nur noch 50 von 100 Punkten (-4 Punkte), der Gefährdungsindex stieg um einen Punkt auf 49 von 100 Punkten an. Das Polster zwischen Sicherheitsniveau und Gefährdungslage schrumpft somit weiter zusammen, was insbesondere in Hinblick auf noch unbekannte Angriffe sehr bedrohlich ist.
Abbildung: Der von der Studie ermittelte Sicherheitsindex ist auf 50 von 100 Punkten (-4 Punkte) gefallen, während der Gefährdungsindex auf 49 von 100 Punkten (+1 Punkt) angestiegen ist.
Alle Ebenen von IT- und Informationssicherheit betroffen
Die Umsetzung der Maßnahmen für IT- und Informationssicherheit wird von den befragten Unternehmen auf allen Ebenen schlechter bewertet. Die Pilotstudie Anfang 2014 zeigte, dass die technische Maßnahmen und Lösungen im Vergleich besser bewertet wurde als nicht-technische. Maßnahmen auf organisatorischer Ebene, wie Mitarbeiterschulungen, oder die strategische Ausgestaltung von IT-Sicherheit im Unternehmen bereiteten den Befragten offensichtlich häufiger Schwierigkeiten.
Im Jahr 2015 zeigten die Studienergebnisse, dass Unternehmen auch auf technischer Ebene häufiger Probleme feststellten. Technische IT-Sicherheit war somit nicht besser umgesetzt als die ebenfalls nötigen organisatorischen, rechtlichen und strategischen Maßnahmen, angefangen von Awareness-Kampagnen zur Mitarbeitersensibilisierung, über die Klärung von Haftungsfragen bis hin zur Festlegung von Prozessen für die Überprüfung der Compliance.
Dieser Trend setzt sich 2016 fort: Die Umsetzung von technischen Maßnahmen und Lösungen wird deutlich schlechter bewertet als im Vorjahr, wodurch der Indikator für die Umsetzungszufriedenheit auf der technischen Ebene eine niedrigere Punktzahl erreich als der Indikator für die Umsetzung von Vorkehrungen organisatorischer, rechtlicher oder strategischer Art. Der Indexwert für technische Maßnahmen und Lösungen sinkt auf 48 von 100 möglichen Punkten (2015: 54 Punkte).
Dieser Rückgang kann als Zeichen dafür angesehen werden, dass das Bewusstsein für IT- und Informationssicherheit bei den Unternehmen zunimmt. techconsult-Analyst Henrik Groß kommentiert das Ergebnis: „Durch eine intensivere Beschäftigung mit dem Thema wird auch häufiger festgestellt, dass es Probleme und Schwachpunkte gibt. Dass insbesondere die technische Dimension deutlich schlechter bewertet wird, könnte daran liegen, dass Unternehmen sich damit verstärkt befassen, weil es natürlich naheliegend ist, erst einmal die technischen Aspekte von IT-Sicherheit zu untersuchen. Das ergibt aber nur Sinn, wenn auch gleichzeitig auf organisatorischer, rechtlicher und strategischer Ebene nachgebessert wird. Um sich langfristig gegen Angriffe wie Ransomware zu wappnen, müssen neben technischer Absicherung auch organisatorische Maßnahmen wie beispielsweise Mitarbeitersensibilisierung in Form von Schulungen stattfinden, damit Mitarbeiter Angriffe besser erkennen können. Es müssen rechtliche Fragen geklärt sein, zum Beispiel welche Rechtsfolgen eine vernachlässigte IT-Sicherheit nach sich ziehen kann und ebenso muss IT-Sicherheit strategisch im Unternehmen verankert werden, indem beispielsweise eine eigene Position und ein Budget dafür definiert werden.“
Abbildung: Der Index für technische Maßnahmen und Lösungen verliert 6 Punkte und erreicht nur noch 48 von 100 Punkten
Einschätzung technischer Maßnahmen und Lösungen deutlich schlechter
Gegenüber 2015 lässt sich ein Anstieg von Problemen quer über alle Themenbereiche feststellen. Maßnahmen im Bereich Authentifizierung, Datenspeicherung und Datenübertragung sowie Netzwerksicherheit betrifft dies ebenso wie Basisschutz-Lösungen (z.B. Antiviren-Lösungen und Firewalls), anspruchsvollere Lösungen (z.B. zur Verschlüsselung von Daten und Kommunikation), komplexe integrierten Lösungen (z.B. zur Angriffsanalyse und -prävention) und Lösungen für mobile Endgeräte.
Der Anteil der Unternehmen, die die Umsetzung ihrer Maßnahmen oder Lösungen als nicht gut bewerten, liegt zwischen der Hälfte und drei Vierteln der Befragten. Selbst bei einfachen Maßnahmen, wie Passwortvorgaben, geben 57 Prozent der Unternehmen an, diese nicht gut umgesetzt zu haben (2015: 52 Prozent). Komplexere Maßnahmen und Lösungen, wie zum Beispiel biometrische Authentifizierung oder Security Information and Event Management (SIEM), werden von fast drei Vierteln der Unternehmen nicht gut umgesetzt.
Abbildung: 71 Prozent der Unternehmen bewerten ihre Umsetzung von Telefonie-Verschlüsselung im Bereich Mobile Security als nicht gut
Der erste Bericht zur Studie, der verschiedene Themenkomplexe der technischen IT- und Informationssicherheit detailliert untersucht, steht ab sofort auf der auf der Webseite des Projekts unter www.security-bilanz.de zum Download bereit.
Über die Studie
Die Studie Security Bilanz Deutschland ermittelt jährlich den Status Quo der IT- und Informationssicherheit im Mittelstand und öffentlichen Verwaltungen. Die Basis bildet eine repräsentative Befragung mit über 500 Interviews in Unternehmen und Verwaltungen/Non-Profits mit 20 bis 1.999 Mitarbeitern. Darüber hinaus steht mit dem Heise Security Consulter ein Self-Check-Tool bereit, mit dem Unternehmen und Verwaltungen ihre Lage bewerten und mit den Studienergebnissen vergleichen können.
Security-Check zur Studie: Der Security Consulter
Zusätzlich zur Studie bietet der individuelle Security-Check Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal www.security-bilanz.de zur Verfügung.
Die Studie Security Bilanz Deutschland und der Security Consulter werden unterstützt von Bitdefender, DATEV eG, Hewlett Packard Enterprise, msg systems ag, Jakobsoftware, Net at Work, Micro Focus und TeleTrust.
Über die techconsult GmbH
Die techconsult GmbH, gegründet 1992, zählt zu den etablierten Analystenhäusern in Zentraleuropa. Der Schwerpunkt der Strategieberatung liegt in der Informations- und Kommunikationsindustrie (ITK). Durch jahrelange Standard- und Individual-Untersuchungen verfügt techconsult über einen im deutschsprachigen Raum einzigartigen Informationsbestand, sowohl hinsichtlich der Kontinuität als auch der Informationstiefe, und ist somit ein wichtiger Beratungspartner der CXOs sowie der IT-Industrie, wenn es um Produktinnovation, Marketingstrategie und Absatzentwicklung geht.
Die techconsult GmbH wird vom geschäftsführenden Gesellschafter und Gründer Peter Burghardt am Standort Kassel mit einer Niederlassung in München geleitet und ist Teil der Heise Gruppe.
Kassel, 21.04.2016
Henrik Groß
– Analyst –
Tel.: +49-561-8109-178
E-Mail: henrik.gross@techconsult.de