Suchen

IoT-Security

Laue Reaktion auf verschärfte Sicherheitslage

| Redakteur: Lisa Marie Waschbusch

Das Bundesamt für Verfassungsschutz warnt aktuell vor Cyberattacken gegen Unternehmen und Organisationen. Doch vorbereitet sind auf solche Angriffe die wenigsten: Zwar wächst insgesamt das Verständnis über den Nutzen moderner ganzheitlicher IT-Security, die Umsetzung lässt allerdings zu wünschen übrig.

Firma zum Thema

Laut einer aktuellen Studie sieht es in Sachen IT-Sicherheit noch immer nicht gut aus.
Laut einer aktuellen Studie sieht es in Sachen IT-Sicherheit noch immer nicht gut aus.
( Bild: Pexels / CC0 )

Aktuell warnt das Bundesamt für Verfassungsschutz (BfV) vor hochwertigen Cyberangriffen gegen deutsche Medienunternehmen und Organisationen im Bereich der Chemiewaffenforschung. Medienberichten zufolge sei es wahrscheinlich, dass noch weitere bislang nicht bekannte Unternehmen in Deutschland betroffen seien. Wie die IT-Sicherheitslage derzeit in deutschen Unternehmen aussieht, ist weiterhin beängstigend. Somit überrascht es nicht, dass mehr als zwei Drittel der befragten Unternehmen berichten, in den letzten 24 Monaten erfolgreich attackiert worden zu sein. Das geht aus einer aktuellen Studie von IDC hervor, bei der im Juni 2018 in Deutschland IT-Entscheider aus 230 Organisationen zum Thema IT-Security befragt worden sind.

67 Prozent der befragten Unternehmen geben an, in den letzten Monaten Sicherheitsvorfälle verzeichnet zu haben. Am häufigsten sollen PC und Notebooks (34 Prozent), Netzwerke (31 Prozent) sowie Smartphones und Tablets (30 Prozent) betroffen gewesen sein. Das ist insofern kritisch, da sie als Einfallstor in das Rechenzentrum genutzt werden. Aber auch die Rechenzentren selbst (29 Prozent) und Server (28 Prozent) waren ebenso wie Drucker, Sensoren und IoT – wenn auch in geringerem Maße - betroffen.

Größter Risikofaktor: der Anwender

Viele Organisationen haben es immer noch nicht geschafft, das Sicherheitsrisiko durch die eigenen Mitarbeiter in den Griff zu bekommen, es rangiert nach wie vor auf Platz eins der größten Risiken, gefolgt von unzureichend gesicherten Endpoints (37 Prozent) und Angriffen von Cyber-Kriminellen. Das Fehlverhalten der Anwender sowie mangelnde Awareness – wie etwa eine Reaktion auf Phishing-Mails, Downloads unsicherer Apps oder Geräteverluste - haben auch in den letzten Monaten wieder Tür und Tor zu Firmendaten für Externe geöffnet.

Hier zeigt sich wieder einmal deutlich, dass das bloße Aufstellen von Richtlinien oder Verboten zu kurz greift und bei den Anwendern einfach nicht ankommt. Die Firmen müssen dringend neue, kreativere Wege gehen, um alle Mitarbeiter für den sicheren Umgang mit mobilen Endgeräten, Apps und Daten zu sensibilisieren. An Ideen mangelt es hier nicht, so wären etwa Live-Hacks, gefakte Phishing Mails und Penetration Tests ebenso wie eine Incentivierung für besonders auf Sicherheit bedachte Mitarbeiter erfolgversprechende Maßnahmen.

Ohne ganzheitliche Konzepte lassen sich Lücken nicht schließen

IT-Security-Lösungen, -Technologien und -Services entfalten ihre volle Wirkung nur innerhalb umfassender Konzepte. Erschreckend: Lediglich 58 Prozent der Unternehmen verfügen über ein zentrales Konzept für Informationssicherheit, das alle Systeme und Geräte umfasst. IDC bewertet positiv, dass sich 82 Prozent der Unternehmen an IT-Security-Best-Practice orientieren und offenbar als ein probates Mittel zur Verbesserung der Security-Prozesse betrachten.

Weniger als der Hälfte der befragten Unternehmen ist der Schritt der Neubewertung ihrer IT-Security vom bisher dominierenden „Prevent and Protect“, d. h. einer eher reaktiv orientierten Sicherheitslandschaft hin zu „Detect and Respond“, mit dem Ziel einer kontinuierlichen Überwachung in Echtzeit und entsprechenden Maßnahmen als Reaktion auf Auffälligkeiten im System bislang gelungen. Nicht einmal 50 Prozent der Unternehmen haben ihre Security-Prozesse umfassend automatisiert. Das Potenzial beschleunigter Abläufe, einer höheren Transparenz, der Verringerung manueller Fehler sowie der Entlastung der Mitarbeiter bleibt somit weitestgehend ungenutzt

Security-Silos bremsen Konzepte aus

Die klassischen Security-Silos Endpoint-, Messaging-, Network- und Web-Security können keinen ausreichenden Schutz mehr bieten. Wir sehen nicht selten über 50 bis 80 unterschiedliche Security-Lösungen in einem Unternehmen im Einsatz, entweder als on-premises Software-Lösung, Appliance, Security-as-a-Service oder Managed Security Service. Die Mehrheit der befragten Unternehmen – konkret sind es zwei Drittel - betrachten die Integration für bessere Schutz- und Abwehrfähigkeiten als erforderlich und haben immerhin erkannt, dass ein integrativer Ansatz besser als die Summe aller Security-Lösungen schützt.

In der Bewertung der verschiedenen Security-Prozessthemen steht die Integration an erster Stelle, dies unterstreicht noch einmal die Relevanz für die Anwender. Dennoch hapert es auch hier mit der Umsetzung. Dabei ist die Integration, Orchestrierung oder Korrelation zwischen verschiedenen Lösungskomponenten nach Einschätzung von IDC ein absolut zwingender Schritt für End-to-End Security-Architekturen.

Bug-Bounty-Initiativen

Aber auch international sind Cyberattacken auf dem Vormarsch: Wie der Hacker-Powered Security Report 2018 der Security-Plattform HackerOne offenlegt, stieg die Zahl der hochkritischen oder kritischen Schwachstellen im Jahr 2017 um 22 Prozent an. Darüber hinaus wurden 24 Prozent der behobenen Schwachstellen branchenübergreifend als kritisch bis hochkritisch eingestuft. Infolgedessen steigen die Prämien für Bug-Reports mit besonders hohem Schweregrad. Die höchste Prämie für einen einzelnen Report betrug im vergangenen Jahr 75.000 US-Dollar. Die größten Anbieter wie Google, Microsoft und Intel bieten 250.000 Dollar Prämien für kritische Sicherheitslücken. Inzwischen treten dabei Falschmeldungen immer seltener auf: über 80 Prozent der eingereichten und qualifizierten Reports sind zutreffend.

Gartner berichtet, dass Crowdsourced Security Testing sich immer stärker durchsetzt und erwartet wird, dass dies von Kunden immer schneller und auf breiter Basis akzeptiert wird. Besonders Regierungen seien dabei weltweit führend. Im Regierungssektor gab es eine 125-prozentige Steigerung gegenüber dem Vorjahr. Neue Aufträge kamen u.a. von der Europäischen Kommission und dem Verteidigungsministerium von Singapur, die damit wie das US-Verteidigungsministerium mit HackerOne aktiv sind.

Aber auch Branchen jenseits des Technologiemarktes setzen immer stärker auf Hacker-Powered Security Lösungen. Der Konsumgüter-Bereich, Finanzdienstleistungen und Versicherungen, Behörden und Telekommunikation machen heute 43 Prozent der Bug-Bounty-Programme aus. Die Automotive-Programme stiegen im vergangenen Jahr um 50 Prozent und die Telekommunikationsprogramme um 71 Prozent. Unternehmen aller Branchen verzeichneten im Jahresvergleich einen Anstieg der VDP-Einführung um 54 Prozent. Dennoch sind viele große Unternehmen nach wie vor mit Hinblick auf eine effektive Identifizierung, Kommunikation, Behebung und Offenlegung von Schwachstellen weitestgehend unvorbereitet. 93 Prozent der Forbes Global 2000-Liste von 2017 haben keine Richtlinien dafür, wie sie mit kritischen Bug Reports von Drittanbietern umgehen oder darauf reagieren können.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45398964)