IDC-Studie

Eigene Mitarbeiter sind größte Security-Schwachstelle

| Autor: Sarah Nollau

Die größte Security-Bedrohung für Unternehmen: mangelnde Awareness der Mitarbeiter.
Die größte Security-Bedrohung für Unternehmen: mangelnde Awareness der Mitarbeiter. (Bild: © jijomathai - stock.adobe.com)

Mit der Vernetzung durch Digitalisierung steigt gleichzeitig das Risiko, einem Sicherheitsvorfall zum Opfer zu fallen. Die aktuelle IDC-Studie zur IT-Security in Deutschland ergab, dass 67 Prozent der Unternehmen in Deutschland in den letzten 24 Monaten erfolgreich attackiert wurden.

Tür und Tor müssen Cyber-Kriminelle meist nicht erst eintreten. Die stehen oft genug sperrangelweit offen. Ob über IP-basierte Geräte, das Internet of Things (IoT) oder offene Schnittstellen (APIs) – die vorhandenen Sicherheitsmaßnahmen reichen meist nicht aus, denn die Vorgehensweisen der Schädlinge werden immer gewiefter.

Dazu hat IDC im Juni 2018 in Deutschland IT-Entscheider aus 230 Organisationen mit mehr als 20 Mitarbeitern befragt. Die häufigsten Angriffspunkte waren PCs und Notebooks (34 %), Netzwerke (31 %) sowie Smartphones und Tablets (30 %). Die Endgeräte werden häufig als Tor zur den Rechenzentren (29 %) und Servern (28 ) genutzt. „Jede IP-Adresse bietet eine Angriffsfläche, die minimiert werden muss und ausnahmslos jeder Mitarbeiter ist ein potenzielles Angriffsziel. Das gilt für Pförtner genauso wie für den Vorstandsvorsitzenden“, erläutert Matthias Zacher, Manager Research und Consulting bei IDC und Projektleiter der Studie.

Größte Schwachstelle: der eigene Mitarbeiter

Das größte Risiko im Unternehmen ist hingegen nicht ein technischer Endpunkt, sondern der eigene Mitarbeiter mit 37 Prozent. Erst dann folgen die unzureichend gesicherten Endpoints mit 3 Prozentpunkten weniger. Malware, Phishing und Social Engineering oder DoS-Angriffe tauchen erst auf Platz Drei mit 31 Prozent auf. IDC rät daher zur gezielten Schulung der Mitarbeiter, um sie für den sicheren Umgang mit mobilen Endgeräten, Apps und Daten zu sensibilisieren. Unter erfolgversprechenden Maßnahmen werden beispielsweise Live Hacks, gefakte Phishing Mails und Penetration Tests sowie eine Incentivierung aufgelistet.

Um Lücken in der Informationssicherheit zu schließen, sollten umfassende Security-Konzepte zum Einsatz kommen. Über diese verfügen laut IDC derzeit nur 58 Prozent der Unternehmen. In den Fokus muss darüber hinaus die Neubewertung der IT-Security rücken. Security-Lösungen sollten nicht nur nach dem taktischen Prinzip „Prevent and Protect“ eingesetzt werden, also in einer reaktiven Art. Vielmehr sollte die IT kontinuierlich in Echtzeit überwacht werden, sodass schon kleinste Auffälligkeiten im System entdeckt werden können. Nur 37 Prozent der befragten Unternehmen wählen den Mittelweg zwischen taktischer und strategischer Vorgehensweise. Umfassend automatisierte Security-Prozesse kommen bei nicht einmal 50 Prozent der Unternehmen zum Einsatz. Aber auch Automatisierung biete keinen Komplettschutz vor Angriffen von innen, so Sergej Schlotthauer, Geschäftsführer bei EgoSecure und Vice President Security, Matrix42. Bei vorsätzlichen Attacken von innen durch Mitarbeiter sei kein Muster zu erkennen. Daher kommt er zu dem Schluss, dass „Angriffe von innen viel problematischer“ sind. Auch Udo Schneider, Security Evangelist bei Trend Micro, stimmt dem zu: „Man kann einer Maschine nur Dinge anlernen, die man gesehen hat.“

„Dienstleistung first, Security second“

Schlotthauer stößt in Zusammenarbeit mit Unternehmen oft auf den Ansatz „Dienstleistung first, Security second“. Die problematische Ausgangslage kennt auch Schneider gut. Sobald ein Angriff erfolgt ist, wollen Unternehmen sehr schnell reagieren und entwickeln Vorgehensweisen, die kaum strategisch sind. „Cyber-Kriminelle arbeiten allerdings sehr strategisch“, so Schneider.

Darüber hinaus werden in einem Unternehmen 50 bis 80 unterschiedliche Security-Lösungen genutzt, darunter Software-Lösungen on-Premises, Security as a Service oder Managed Security Service. Zwei Drittel der Befragten haben laut IDC erkannt, dass der Schutz mit integrativem Ansatz besser einzuschätzen ist als der aus einer Summe vieler verschiedener Security-Lösungen. Obwohl die Integration der Lösungen in bestehende Architekturen an erster Stelle für Unternehmen steht, lässt die Umsetzung meist zu wünschen übrig. Dabei ist aber gerade die Integration, Orchestrierung oder Korrelation zwischen verschiedenen Komponenten ein essentieller Schritt zu effektiven End-to-End-Security-Architekturen.

Digital Security: Zurück zu den Grundlagen

Neuorientierung in der Cyber Security

Digital Security: Zurück zu den Grundlagen

26.06.18 - Zu jeder neuen Bedrohung kommen neue Security-Lösungen auf den Markt. Trotzdem steigt die Zahl der IT-Sicherheitsvorfälle. Die Security-Branche steht vor einem Wandel: Digitale Sicherheit braucht nicht mehr Innovationen, sondern ein besseres Fundament. lesen

Grundvoraussetzung: Gesamtlösung

Das Fazit der IDC-Studie ist, dass viele Unternehmen zwar Sicherheitslösungen im Einsatz haben, von einer geschlossenen Security-Kette aber nur selten die Rede sein kann. Oft reiche dies nur aus, um großflächig angelegte, tagtäglich gefahrene Standardangriffe abzuwehren. Ein Ansatz zur Gesamtlösung ist eine Grundvoraussetzung, um alle Prozesse, Lösungen und Komponenten einzuschließen. Dies ist gleichzeitig der Wunsch der Unternehmen: Security-Konzepte sollten möglichst konsolidiert sein und am besten aus einer Hand kommen. Fest steht, dass Security für Unternehmen ein komplexes Thema ist. Ein Ziel für Hersteller und Systemhäuser sollte daher sein, die Security-Komplexität zu verringern. Schneider sieht hier die Chance für Systemintegratoren und Partner. Sie haben das entsprechende Know-how in der Branche des jeweiligen Unternehmens und können deshalb passende Security-Konzepte entwickeln.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45394411 / Hacker und Insider)