RSA-President Amir Yoran. (Foto: RSA/Flickr)
Zürich – Organisationen haben weltweit noch grosse Defizite beim Risiko-Management und bei den Sicherheitssystemen, die sie vor Cyberangriffen schützen sollen. Wie gut sie vorbereitet sind, ist unabhängig von der Grösse der Unternehmen, der Branche oder des Unternehmensstandorts. Das ist das Ergebnis des RSA Cybersecurity Poverty Index, für den 400 Sicherheitsspezialisten aus 61 Ländern eine Einschätzung zur Sicherheitslage in ihrem Unternehmen gegeben haben.
Zwei Resultate stechen besonders hervor: Erstens sind die Unternehmen nicht in der Lage, ihr Cyberrisiko zu messen und zu bewerten. Das macht es schwierig oder gar unmöglich, Sicherheitsaktivitäten zu priorisieren. Zweitens zeigt die Studie, dass Unternehmen hauptsächlich auf Perimeter-Sicherheit setzen, um das Eindringen von Angreifern aus dem Internet zu verhindern. Doch diese Massnahme reicht nicht aus gegen die Sicherheitsbedrohungen von heute.
Die wichtigsten Ergebnisse
- 75 Prozent der befragten Spezialisten sehen signifikante IT-Sicherheitsrisiken für ihr Unternehmen, schätzen ihr Sicherheitsniveau aber als zu niedrig ein.
- Nur fünf Prozent schätzen ihr Sicherheitsniveau als herausragend ein.
- Fast zwei Drittel der Befragten schätzen ihr Sicherheitsniveau in allen Kategorien als zu niedrig ein.
- Überraschenderweise sind grosse Organisationen nicht besser geschützt: Mehr als 83 Prozent der Organisationen mit mehr als 10‘000 Mitarbeitern sind schlecht auf die heutigen Bedrohungen vorbereitet, im Vergleich zu 79 Prozent der Firmen mit weniger als 1‘000 Mitarbeitern.
- Zwei Drittel der Befragten waren bereits Opfer von Cyberangriffen – aber nur 22 Prozent von diesen sehen sich heute besser geschützt als vor der Attacke. Unternehmen haben also grosse Probleme bei der Verbesserung ihrer Systeme, sogar wenn sie bereits schlechte Erfahrungen gemacht haben.
- Organisationen, die bereits sehr oft (mehr als 40 Mal in den letzten zwölf Monaten) angegriffen wurden, sind deutlich besser gewappnet. Aber dennoch weisen nur 36 Prozent dieser Unternehmen herausragende oder hochentwickelte Sicherheitssysteme auf.
- Während im amerikanischen Raum 24 Prozent und in EMEA 26 Prozent der Organisationen hochentwickelte oder herausragende Sicherheitssysteme haben, sind Unternehmen im asiatischen Raum deutlich besser gerüstet: Hier rangieren 39 Prozent auf den höchsten beiden Stufen.
- Die Sicherheitsinfrastrukturen aller Branchen zeigen grosse Defizite, am besten schneidet die Telekommunikationsbranche mit 50 Prozent in den Bereichen „hochentwickelt“ oder „herausragend“ ab. Der Finanzsektor (34 Prozent) und die öffentliche Verwaltung (18 Prozent) haben noch grossen Nachholbedarf.
Über die Studie
Die Studie auf Basis des NIST Cybersecurity Framework (CSF) erlaubt Einblicke, wie Organisationen ihre eigenen Leistungen bei der Cybersicherheit anhand von 18 Fragen selbst bewerten. Die Antworten geben Aufschluss zu den fünf Schlüsselfunktionen jeder Sicherheitsstrategie:
- Identify: Erkennen von Gefahren und Abwehrmassnahmen
- Protect: Einsatz und Weiterentwicklung von Sicherheitstechnologien
- Detect: Erkennen potenzieller Bedrohungen
- Respond: Analyse von Angriffen und zielgerichtete Reaktion
- Recover: Wiederherstellung von betroffenen Systemen
Die Befragten haben ihr Sicherheitsniveau auf einer fünfstufigen Skala bewertet: „herausragend“, „hochentwickelt“, „funktional“, „unzureichend“ oder „mangelhaft“. Dabei steht „herausragend“ für sehr gute Sicherheitsprogramme und die niedrigste Stufe „mangelhaft“ dafür, dass die nötigen Best Practices nicht angewendet werden und keinerlei Bewusstsein für die nötigen Sicherheitsmassnahmen besteht.
Schlussfolgerungen
Die Ergebnisse zeigen deutlich, dass Unternehmen auf moderne Cyberangriffe noch nicht ausreichend vorbereitet sind. Die wenigsten Unternehmen weisen gute Abwehrfähigkeiten in allen Kategorien auf und setzen zu stark auf die Kategorie „Protect“, um im Sinne der Perimeter-Sicherheit Hürden am Übergang zwischen dem Unternehmensnetz und dem Internet zu errichten. Sie vernachlässigen aber die Analyse und Bewertung der Angriffe. Zuversichtlich sind die befragten Sicherheitsspezialisten, dass sie das Management von Identitäten und Zugriffsrechten gut beherrschen, denn 38 Prozent sehen sich dabei in den beiden Top-Kategorien. Dennoch gibt es hier noch ein grosses Verbesserungspotenzial, das eine der wichtigsten Massnahmen gegen hochentwickelte Angriffe ist. (EMC/mc)