Drei Viertel sind erhöhten IT-Risiken ausgesetzt

Rund drei Viertel der IT-Sicherheitsprogramme in Unternehmen und Behörden weisen nach wie vor kritische Lücken auf. Das geht aus dem jüngsten „Cybersecurity Poverty Index Report“ hervor, den RSA kürzlich veröffentlicht hat. Dem Bericht der EMC-Tochter zufolge fehlt es vor allem an der Fähigkeit, schnell auf Sicherheitsvorfälle zu reagieren: Rund die Hälfte der untersuchten Organisationen beschrieben die eigene „Incident-Response“ als „ad-hoc“ oder sogar „nicht existent“ – darunter auch viele Betreiber kritischer Infrastrukturen.

Weitere Schlüsselresultate des Reports: IT-Organisationen, die gezielt in Technologien zur Erkennung und Begrenzung von Angriffen investieren, erreichen damit oft mehr Schutzwirkung als andere, die ihr Geld überwiegend für Präventions-Technologien ausgeben (also etwa für Firewalls). Und: Viele Unternehmen investieren erst dann vermehrt in IT-Sicherheit, nachdem sie Opfer eines geschäftsschädigenden Angriffs geworden sind. Allerdings scheitern viele schon deshalb beim Verbessern der eigenen Schutzprogramme, weil sie nicht genau verstehen, wie IT-Risiken auf ihr Geschäft wirken.

Nur 7% mit sehr gutem Schutz

Der Bericht zeigt einen klaren Zusammenhang zwischen der Fähigkeit zum Bemerken von Angriffen und dem IT-Sicherheits-Reifegrad: Firmen, die häufig Unregelmässigkeiten in oder Angriffe auf ihre IT-Umgebung verzeichnen, verfügen mit 65-%iger Wahrscheinlichkeit über fortschrittliche oder sogar sehr fortschrittliche IT-Sicherheitsstrategien und -Technologien.

Doch wie der Report ebenfalls zeigt, ist die Zahl dieser Unternehmen weiterhin niedrig, wenn sie auch zu wachsen scheint: Der Anteil der sehr gut geschützten IT-Umgebungen an der Gesamtstichprobe betrug 7,4% (Vorjahres-Ausgabe des Berichts: 4,9%). Die Zahl der Befragten, die den eigenen Betrieb als von IT-Risiken betroffen betrachtet, bleibt dagegen weiterhin hoch: Rund 75% der Umfrageteilnehmer gaben eine entsprechende Einschätzung ab.

Oft fehlt die Fähigkeit zum Priorisieren

Das könnte mit dem Umstand zusammenhängen, dass vielen Unternehmen das Einleiten vorausschauender Sicherheitsmassnahmen schwerfällt: 45% der Befragten gaben an, ihre Organisationen seien überhaupt nicht oder nur fallbezogen in der Lage, IT-Risiken zu katalogisieren, zu bewerten oder zu reduzieren; nur 24% der Umfrageteilnehmer schätzten die entsprechenden Fähigkeiten ihrer IT als fortschrittlich ein.

Vor allem die Unfähigkeit, genaue Toleranzwerte und -schwellen für bestimmte Risiken vorzugeben, erschwert den Verantwortlichen das Priorisieren von Investitionen oder Gegenmassnahmen – dabei ist das eine der wichtigsten Voraussetzungen die IT-Sicherheit im Unternehmen.

EMEA-Region führend in Sachen Sicherheit

Wie schon die Vorjahresausgabe zeigt der Bericht, dass die beschriebenen Schwierigkeiten auch und gerade die Betreiber kritischer Infrastrukturen betreffen. Behörden und andere öffentliche Betriebe sowie Energieversorger schnitten im Vergleich der IT-Sicherheits-Reifegrade sogar am schlechtesten ab: Nur 18% der Betriebe dieser Gruppe schätzen die eigenen Sicherheitsprogramme als fortschrittlich oder sehr fortschrittlich ein.

Nicht viel besser gerüstet erscheinen die Unternehmen der Finanzbranche: Obwohl sie häufig als führend in Sachen IT-Sicherheit beschrieben werden, erreichten nur 26% der befragten Finanzdienstleister von den fünf Reifegraden einen der beiden oberen – ein erheblicher Rückgang gegenüber dem Vorjahreswert von 33%. Zum Vergleich: Von den untersuchten Unternehmen der Luft-, Raumfahrt- und Rüstungsindustrie verfügen immerhin 39% über fortschrittliche oder sehr fortschrittliche Sicherheitsprogramme.

Den Regionen-Vergleich des Reports führen die Länder der EMEA-Region an (Europa, Mittlerer Osten und Afrika); hier erreichen 29% der Unternehmen und Behörden einen fortschrittlichen oder sehr fortschrittlichen IT-Sicherheits-Reifegrad. Auf Platz zwei folgen die Staaten der Asien-Pazifik-Region einschliesslich Japans mit 26%, das Schlusslicht ist die Americas-Region mit 23%. Während die EMEA-Region sich im Vergleich zum Vorjahr um drei Prozentpunkte und einen Platz verbessern konnte, verlor die APJ-Region 13 Punkte und fiel deshalb auf Platz zwei zurück.   Text: RSA

Über die Studie: Für den „Cybersecurity Poverty Index Report“ wurden IT- und Sicherheitsfachleute aus 878 Unternehmen, 24 Branchen und 81 Ländern gebeten, den IT-Sicherheits-Reifegrad ihrer Organisation zu bewerten. Die Selbstbewertung erfolgte entlang der im „NIST Cybersecurity Framework“ (CSF) festgehaltenen Grundfähigkeiten „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“. Die Teilnehmer bewerteten den Reifegrad jeder Fähigkeit ihrer Organisation mittels einer Fünf-Punkte-Skala (1 = „Fähigkeit nicht vorhanden“, 5 = „Fähigkeit auf sehr fortschrittlichem Niveau“).