Deutsche Nutzer machen sich zunehmend Sorgen um die IT-Sicherheit und haben weniger Vertrauen in bestehende Vorkehrungen. Eine IDC-Umfrage unter 206 Sicherheitsexperten und Benutzern aus allen Branchen und Unternehmen aller Größen im September 2022 ergab, dass 60% besorgt über eine Verschlechterung der Sicherheitslage sind. Nur 65% fühlten sich gut geschützt - 13% weniger als im Vorjahr.
Dies war sicherlich auch eine Folge des Ukraine-Krieges, der bei 47% der Befragten das Vertrauen in ihre IT-Sicherheit erschütterte. Bei 27% ist dies nicht der Fall und weitere 26 % waren noch unentschieden. 43% der Benutzer haben in diesem Jahr mehr Angriffe gemeldet. 51% erwarten, dass die Zahl der Angriffe weiter zunehmen wird.
Highlights der Studie
- Security-Komplexität ist erneut häufigste Herausforderung. Investitionen müssen stärker auf Aufklärung und Komplexitätsreduktion zielen, Security und Business aufeinander abgestimmt werden.
- Der Fachkräftemangel ist eine akute Bedrohung. Neben dem Personalaufbau sind vor allem moderne Technologien zur Automatisierung aber auch externe Security wichtige und dringende Ergänzungen.
- Cybersecurity ist meist strategisch verankert und personell im Vorstand vertreten oder findet dort zumindest Gehör. Es fehlt aber an Security-Kultur, -Commitment und einheitlicher Umsetzung.
- Digitale Unabhängigkeit ist durch geopolitische Konflikte für die Mehrheit der deutschen Unternehmen wichtiger geworden. Die Umsetzung ist aber herausfordernd in vielerlei Hinsicht.
- Externe Security wurde schnell und stark adoptiert, allerdings eher aus Zwang als aus Überzeugung. In der Abwägung von Vertrauen und Sicherheit bringen lokale Ressourcen die Balance.
Ransomware und Cyber-Versicherungen
Nur 26% wurden nicht Opfer von Erpresserattacken. 38% gaben hingegen an, stark betroffen gewesen zu sein. Weitere 32% sagten, ein Angriff gegen sie konnte erfolgreich umgesetzt werden. Davon verloren 88% zudem ihre Backups. Ein klares Zeichen dafür, dass die Sicherheitsvorkehrungen in dieser Sparte längst nicht auf dem besten Stand sind.
Wider den Empfehlungen der Fachleute ist die Zahlungsbereitschaft bei Firmen enorm: 80% der erfolgreich attackierten Unternehmen überwiesen Geld, davon 49%, um den Prozess der Wiederherstellung zu beschleunigen. Diese Handlungsmuster schüren den kriminellen Erwerbszweig der Ransom Erpressungen. Aus Sicht des IDC-Roundtable wird es daher dringend Zeit für eine Regulierung, wie beispielweise in den USA schon umgesetzt, wo die Bezahlung von Ransomware bereits offiziell verboten ist.
Anstatt sich durch probate Sicherheitssysteme vor Angriffen zu schützen, setzen viele Firmen auf Cyber-Versicherungen als Maßnahme gegen Angriffe auf ihre IT-Systeme. Cyber-Versicherungen bestehen zwar auf die Umsetzung bestimmter Sicherheitsvorkehrungen, können deren Funktion jedoch nicht in dem Maß überprüfen, wie es zertifizierte Berater oder IT-Spezialisten können. 42% der Unternehmen haben bereits eine solche Versicherung abgeschlossen. Weitere 37% planen dies innerhalb des nächsten Jahres zu tun.
Wichtigste Themen der IT-Security
Mit 19% stehen Backup und Security bei den Top-IT-Security Themen auf Platz 3, hinter Endpunktsicherheit nebst seinen Weiterungen EDR und XDR mit 22%. Cloud-Security führt mit 34% Nennungen das Feld der Sicherheitsthemen an.
Auf dem aufsteigenden Ast mit nennenswerten zweistelligen Prozentzahlen sind Post Quantum Security (12%), digitale Souveränität und Compliance (11%) und Smart Buildings/IoT (10%) - letzteres könnte aufgrund der großen Anzahl an Gebäuden für die sich Smart-Building-Technologie anbietet noch ein größeres Thema werden.
Security Automation und Orchestrierung ist an sich ein wichtiges Thema, um der Personalknappheit, Komplexität und den durch sie induzierten Sicherheitsmängeln entgegenzutreten. Jedoch ist es nur für 9 Prozent der Befragten wichtig. Marco Becker, Verantwortlicher für die IDC-Studie, bemängelt: “Hier machen die Unternehmen nicht genug.”
Haupthindernis Komplexität
Die Befragten sehen mit 27% die wichtigste Herausforderung in der Komplexität der IT-Sicherheitssysteme. Diesem Ergebnis ist aufgrund der Tatsache, dass 71% der Befragten glauben, dass die Komplexität stetig steigen wird, noch mehr Gewichtung zuzuschreiben.
Mangelnde Transparenz und die Lösungsvielfalt, der einem Mangel an geschultem Personal gegenübersteht, zählen zu den begünstigenden Faktoren. Eben diese Thematik fällt mit 19% Nennungen auf Platz 3 der Hindernis-Topliste. 60% der Firmen fühlen sich derzeit aufgrund von Personalmangel akut betroffen, da sie vakante Stellen gar nicht mehr oder nicht optimal besetzen können. Datenschutz und Privatsphäre fällt mit 21% auf Platz 2 der Liste.
Diese Situation führt wider Erwarten jedoch nicht zu besonders forcierten Investitionen in Personal oder Automatisierung, sondern in sichere Cloud-Zugänge (24%) und andere Lösungen für das Zugangsmanagement (22%). Weitere bei Investitionen eher vernachlässigte Bereiche sind DER, XDR, Schwachstellenanalyse und -management oder Backup. Auch letzteres verwundert bei der großen Zahl erfolgreicher Ransomware-Angriffe, die die Sicherungsdaten mit infizieren.
Zero Trust vor SASE
Zero Trust und SASE (Secure Access Service Edge) gelten als Rivalen unter den Sicherheitsstrategien. In der Umfrage von IDC hat Zero Trust die Nase vorne: 37% sehen hier die höchste und 42% eine höhere Priorität - für SASE sprechen sich nur 17% für höchste, beziehungsweise 42% für höhere Priorität aus.
Aber auch hier kommt es zu Herausforderungen, nämlich in erster Linie dem Widerstand der Geschäftsführer gegen Adaptionen und Umstellungen, inkompatible Altprodukte, den spürbaren Mangel an Fachkräften und der Challenge, einen geeigneten Einstieg zu finden. IT-Security-Budgets werden glücklicherweise in nur 20% der Firmen gekürzt. 40% berichten, dass ihre Budgets konstant bleiben. In Hinblick auf die derzeit hohe Inflationsrate stehen hier jedoch noch bittere Zeiten bevor.
SecOps
Die Implementierung und Sicherheitsservices sowie Sicherheitsschulungen und die Hebung des Sicherheitsbewusstseins im Bereich SecOps verbuchen mir 27% Nennungen die höchste Bedeutung. Cyber Recovery und Cybervaults sowie das Schwachstellen-Management mit 26% beziehungsweise 20% bleiben weiterhin wichtige Punkte.
61% berichten, dass Cyber-Security inzwischen festes Bestandteil in der Unternehmensleitung geworden ist. Trotzdem läuft es in der Umsetzung nicht rund: 55% bedauern, dass die Dringlichkeit des Themas sich schwer bis kaum von der Führungsebene auf die einzelnen Abteilungen übertragen lasse. 52% bemängeln, Veränderungen, wie beispielsweise das Einrichten von Zero-Trust-Sicherheitssystemen, würden vom Vorstand blockiert werden. 75% verfolgen zwar eine feste Security-Strategie, jedoch wird diese nur in 33% der Unternehmen stringent umgesetzt.
Die fehlende Schnelligkeit und oftmals zu späte Implementierung von Security spiegelt sich auch in folgenden Daten wider: bei nur 36% der Befragten spielen Cyber-Sicherheitsthemen schon im Anfangsstadium von IT-Projekten und geschäftlichen Initiativen eine Rolle. 41% integrieren diese erst nach Start und damit zu spät. Vorzeigbare 77% integrieren Endanwender schon früh in ihre Sicherheitsstrategien.
Bedrohung Weltgeschehen
Souveränität und Compliance erfahren derzeit neue Gewichtung. Lieferketten mit ihren ausgeprägten internationalen Abhängigkeiten stehen im Vergleich zu früher mehr im Vordergrund und sind wichtiger Bestandteil des Überlebens des Unternehmens, zum Beispiel wenn durch Exportverbote die Einfuhr wichtiger Güter und Rohstoffe oder die Ausfuhr von Produkten an umsatzrelevante Regionen in Mitleidenschaft gezogen werden.
Digitale Souveränität ist für vier von fünf Firmen heute ein wichtigeres Thema als früher. 27% halten sie für sehr wichtig und strategisch bedeutsam für ihr Unternehmen. Stolze 52% sehen dadurch Einflüsse auf ihr Tagesgeschäft. Die Umsetzung digitaler Souveränität gestaltet sich jedoch als schwierig. 52% nennen die Umsetzung von Datenschutz in den Verträgen mit Public-Cloud-Providern als ihre größte Herausforderung.
Schenkt man 80% der Befragten Glauben, so scheinen Unternehmen lieber auszulagern, als Investitionen in Personal und Automatisierung vorzunehmen. Gleichzeitig präferieren 67% eigene interne Infrastrukturen um die Kontrolle behalten zu können. 60% bevorzugen interne Strukturen, da sie ihnen mehr vertrauen. 54% der Firmen sind von Technologien externer Anbieter überzeugter. Lokale Cloud-Provider werden als die sicherste Art der Infrastruktur empfunden, während das firmeneigene Rechenzentrum sowie internationale Cloud-Provider die hinteren Plätze belegen.
Über die IDC
Die International Data Corporation mit Firmensitz in den USA und Niederlassungen in über 110 Ländern ist ein international tätiges Marktforschungs- und Beratungsunternehmen und weltweit führender Anbieter mit Spezialisierung auf dem Gebiet der Informationstechnologie und der Telekommunikation.
Warum Datensicherung ein Thema für die Geschäftsführung ist erfahren Sie hier. Wie Sie die Komplexität im Bereich Datensicherung entscheidend minimieren können, lesen Sie in unserem White Paper.
Quellen:
https://www.idc.com/about
https://mobile.twitter.com/idc_deutschland
https://www.heise.de/news/Firmen-schuetzen-sich-nicht-richtig-vor-Ransomware-und-zahlen-einfach-lieber-7337678.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag