Keysight-Studie zu Cybersecurity Zu hohes Vertrauen in IT-Sicherheitsvorkehrungen

»Nur ein Drittel der befragten Unternehmen hat in den letzten 30 Tagen ihre IT-Sicherheitssysteme getestet«. Auszug aus der Cybersecurity-Umfrage »Security Operations Effectiveness«, durchgeführt im November 2019.
»Nur ein Drittel der befragten Unternehmen hat in den letzten 30 Tagen ihre IT-Sicherheitssysteme getestet«. Auszug aus der Cybersecurity-Studie »Security Operations Effectiveness«, durchgeführt im November 2019.

Ob Maßnahmen zur IT-Sicherheit auch tatsächlich greifen, testen viele Unternehmen nicht. Lücken werden meist erst nach einem Sicherheitsbruch erkannt.

Sicherheitsbeauftragte von Unternehmen gehen mehrheitlich davon aus, dass ihre Schutzmaßnahmen greifen. In einer Studie zur Cyber-Security in Unternehmen gaben 57 % der Befragten Sicherheitsbeauftragten an, dass ihre Maßnahmen das Sicherheitsrisiko für ihr Unternehmen bestmöglich reduzieren. Aber nur ein Drittel von ihnen testet, ob die installierten Schutzprogramme auch korrekt arbeiten. Ein weiteres Drittel gab an, die korrekte Konfiguration der Sicherheitssoftware zu kontrollieren und permanent zu überwachen. Die übrigen Unternehmen führen laut Studie keines von beidem durch (22 %) oder machten keine Angaben (8 %).

Bedarf für Funktionstests gibt es aber durchaus. Drei Viertel der befragten Unternehmen erleiden durchschnittlich einen Sicherheitsbruch pro Jahr. Es sind auch die Sicherheitsbrüche, die Cybersecurity-Abteilungen erst auf Lücken in ihren Schutzmaßnahmen aufmerksam werden lassen. »Auf die Frage, ob ihre Cybersecurity-Abteilung Sicherheitslücken entdeckt, antworteten 50 % der Befragten mit ja, aber ausschließlich erst nach einem Bruch«, heißt es auf S. 4 der Studie.

Ungewollte Redundanz

Laut dem irischen Marktforschungsunternehmen Enterprise Strategy Group nutzen Firmen zwischen 10 und 49 verschiedenen Sicherheitsprogrammen. Sie stammen von bis zu zehn unterschiedlichen Anbietern. Meist ist der genaue Funktionsumfang der Programme nicht bekannt. Wenig überraschend gaben 66 % der Unternehmen aus der Cyber-Security-Studie an, dass sich die Sicherheitsfunktionen ihrer Programme überschneiden. Diese Redundanz ist in knapp der Hälfte der Fälle (41 %) gar nicht gewünscht und führt zu Mehrkosten bei den Unternehmen.

Die Autoren bewerten die Umfrageergebnisse als klares Indiz dafür, dass Sicherheitsbeauftragte ein zu hohes und unbegründetes Vertrauen in ihre IT-Sicherheitsmaßnahmen legen. Während sie davon ausgingen, ihre Sicherheitsprogramme liefen und seien korrekt konfiguriert, sehe die Realität häufig anders aus. Als Maßnahme empfehlen sie das Einführen von Funktionstests (unter anderem Tests mit simulierten Angriffen) und die Überwachung der Konfiguration der Sicherheitsprogramme.

Die vollständige Studie können Sie hier herunterladen. Befragt wurden Sicherheitsexperten, die für die Planung, die Verwaltung und das Aufsetzen von IT-Sicherheitsmaßnahmen in mittleren (41 %) und großen (48 %) Unternehmen verantwortlich sind. Beauftragt wurde die Studie von Keysight.