Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Cyberangriffe: Firmen schützen sich nicht gut vor Ransomware – und zahlen lieber

Wie sieht es mit der Cybersecurity in Deutschland aus? Fazit: Es ist einiges verbesserungsbedürftig – und Unternehmen zahlen lieber, als wirksam vorzubeugen.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen

(Bild: aslysun/Shutterstock.com)

Lesezeit: 8 Min.
iX Magazin
Von
  • Ariane Rüdiger
Inhaltsverzeichnis

Die IT-Sicherheit macht deutschen Anwendern zunehmend Sorgen, das Vertrauen in die bestehenden Vorkehrungen ist geringer. 60 Prozent meinten bei einer Umfrage, die IDC im September des laufenden Jahres bei 206 Sicherheitsspezialisten und -anwendern aus Firmen aller Branchen und aller Größenordnungen durchführte, sie seien besorgt angesichts der sich verschärfenden Sicherheitslage. Gut geschützt fühlten sich nur noch 65 Prozent und damit 13 Prozent weniger als noch im Vorjahr.

Das ist sicher auch eine Folge des Ukraine-Krieges, der das Vertrauen in die eigene IT-Sicherheit bei 47 Prozent der Befragten erschüttert hat. Bei 27 Prozent ist das nicht der Fall, weitere 26 Prozent sind noch unentschieden. 43 Prozent der Anwender berichten von mehr Angriffen in diesem Jahr. 51 Prozent gehen davon aus, dass darüber hinaus auch in Zukunft davon aus, dass sich die Zahl der Angriffe weiter erhöhen dürfte.

Cyberangriffe: Zahlen statt Qualen

Beispiel Ransomware: Erpresserattacken bekamen nur 26 Prozent nicht zu spüren. 38 Prozent gaben an, stark betroffen zu sein. 32 Prozent sagten, sie wären erfolgreich angegriffen worden. Von letzteren verloren 88 Prozent auch ihre Backups, was zeigt, dass die Vorkehrungen in diesem Bereich längst nicht ausreichen.

Die Zahlungsbereitschaft ist hoch: Von den erfolgreich angegriffenen Firmen überwiesen tatsächlich 80 Prozent Geld; davon 49 Prozent, weil es schneller geht. Das kann man als Züchtung eines kriminellen Erwerbszweiges betrachten. Das Feld ruft daher, so die einhellige Meinung des IDC-Roundtables, nach Regulierung. In manchen Ländern, darunter den USA, sei die Bezahlung von Ransomware bereits verboten.

Als Gegenmaßnahme gegen Cyberangriffe werden statt dichter Sicherheitssysteme gern Versicherungen genutzt. Die verlangen zwar bestimmte Sicherheitsvorkehrungen, können deren Funktion aber nicht mit der gleichen Sorgfalt wie ein zertifizierter Berater oder IT-Sec-Spezialist überprüfen. 42 Prozent haben bereits eine solche Versicherung, weitere 37 Prozent planen, in den nächsten 12 Monaten eine abzuschließen.

Die Cyberversicherung ist heute das Standard-Werkzeug gegen Schäden durch digitale Angriffe.

(Bild: IDC)

Topthemen der IT-Security

Backup und Recovery stehen bei den Top-IT-Sec-Themen mit 19 Prozent auf Platz drei. Zweiter ist das Thema Endpunktsicherheit nebst seinen Weiterungen EDR und XDR (22 Prozent). Spitzenreiter ist Cloud-Security mit 34 Prozent Nennungen.

Das Thema Security Awareness erhält zwar noch immer 14 Prozent Nennungen, rangiert damit aber weiter unten als in Voruntersuchungen. „Hier wird offensichtlich mehr getan als bisher“, meinte IDC-Consulter Marco Becker, der für die IDC-Studie verantwortlich ist.

Interessant sind auch die Themen, die sich auf dem aufsteigenden Ast zu befinden scheinen. Hier erwähnte Becker Post Quantum Security, also Algorithmen, die besser sind als Quantenverschlüsselung (12 Prozent), digitale Souveränität und Compliance (11 Prozent) und Smart Buildungs/IoT (10 Prozent). Besonders letzterem traut Becker angesichts der großen Zahl an Gebäuden, für die sich Smart-Building-Technologien anbieten, noch weit mehr zu.

Security Automation und Orchestrierung ist an sich ein wichtiges Thema, um der Personalknappheit, Komplexität und den durch sie induzierten Sicherheitsmängeln entgegenzutreten. Jedoch ist es nur für 9 Prozent der Befragten wichtig. Becker: „Hier machen die Unternehmen nicht genug.“

Komplexität als Haupthindernis

Die wichtigsten Herausforderungen sehen die Befragten in der Komplexität des IT-Sicherheitssystems (27 Prozent). Dies wiegt umso schwerer, da 71 Prozent der Befragten glauben, dass die Komplexität weiter steigen werde. Faktoren, die dies begünstigen, sind mangelnde Transparenz und die Lösungsvielfalt, der ein Mangel an geschultem Personal gegenübersteht. Dieses Thema folgt dann auch auf Platz drei der Hindernis-Topliste (19 Prozent). Allerdings fühlen sich bereits 60 Prozent der Firmen akut durch Personalmangel betroffen, können also anscheinend vakante Stellen nicht mehr oder nicht optimal besetzen. Platz zwei der Hindernis-Hitliste haben Datenschutz und Privatsphäre mit 21 Prozent inne.

Erstaunlicherweise führt diese Situation aber nicht zu besonders forcierten Investitionen in Personal oder Automatisierung. Hier liegen vielmehr der sichere Cloud-Zugang mit 24 Prozent und andere Lösungen für das Zugangsmanagement (IAM etc., 22 Prozent) vorn. Weitere bei Investitionen eher vernachlässigte Bereiche sind DER, XDR, Schwachstellenanalyse und -management oder Backup. Auch letzteres verwundert bei der großen Zahl erfolgreicher Ransomware-Angriffe, die die Sicherungsdaten mit infizieren.

Zero Trust vor SASE

Betrachtet man die Rivalen unter den Sicherheitsstrategien, Zero Trust und SASE (Secure Access Service Edge), so hat in dieser Umfrage eindeutig Zero Trust die Nase vorn. 37 Prozent sehen hier die höchste, 42 weitere Prozent eine hohe Priorität. Die entsprechenden Werte für SASE: 17 Prozent meinen, dass das Thema höchste, 42 Prozent, dass es hohe Priorität genießt.

Allerdings gibt es auch hier Hindernisse: den Widerstand der Geschäftsleitung gegen Umstellungen, inkompatible Altprodukte, einen Mangel an Fachkräften und das Problem, einen geeigneten Einstieg zu finden. Immerhin werden die IT-Sec-Budgets nur in 20 Prozent der Firmen gekürzt, bei 40 Prozent der Befragten steigen sie, bei weiteren 40 Prozent bleiben sie konstant – denkt man sich die derzeit hohe Inflationsrate dazu, trübt sich allerdings das Bild etwas.

SecOps: Zusammenarbeit tut Not

Im Bereich SecOps erfreuen sich die Implementierung und Sicherheitsservices sowie Sicherheitsschulungen und die Hebung des Sicherheitsbewusstseins der höchsten Bedeutung (27 Prozent Nennungen). Wichtig sind weiter Cyber Recovery und Cybervaults (26 Prozent) sowie das Schwachstellen-Management (20 Prozent).

Mittlerweile ist bei 61 Prozent der Befragten das Sicherheitsthema fest in der Unternehmensleitung verankert. Dennoch hapert es bei der Umsetzung, denn 55 Prozent beklagen, die Dringlichkeit des Themas ließe sich nur schwer von der Vorstandsebene auf die Abteilungen oder von einer auf die andere Abteilung übertragen, 52 Prozent beklagen, der Vorstand blockiere Veränderungen, beispielsweise das Einrichten von Zero-Trust-Sicherheitssystemen. 75 Prozent haben zwar eine stringente Security-Strategie. Sie wird aber nur in 33 Prozent der Firmen stringent umgesetzt.

Umsetzungshindernisse für Security-Strategien sind häufig in der Unternehmensführung angesiedelt, der die Relevanz des Themas anscheinend nicht immer einleuchtet.

(Bild: IDC)

Dass Security zu langsam und oft zu spät implementiert wird, zeigen auch die folgenden Daten: Nur bei 36 Prozent der Befragten spielen Cyber-Sicherheitsthemen schon bei der Planung von IT-Projekten und geschäftlichen Initiativen eine Rolle, 41 Prozent integrieren sie erst, wenn die Initiative schon läuft und damit „schon viel feststeht“ (Becker), also sehr spät. Immerhin integrieren heute 77 Prozent die Endanwender schon zu einem frühen Zeitpunkt in ihre Sicherheitsbestrebungen.

Globale Entwicklungen als Bedrohung für die Unternehmensexistenz

Eine neue Gewichtung erfahren derzeit Themen rund um digitale Souveränität und Compliance. Während es, so Becker, bisher eher um Fragen wie die Autarkie gegenüber einzelnen Anbietern oder Regierungen bei der Handhabung von Daten und Anwendungen ging, etwa beim Gaia-X-Projekt, rücke nun die Lieferkette mit ihren ausgeprägten internationalen Abhängigkeiten auch von autokratischen Regimes in den Blick und darüber hinaus auch das Überleben der Firmen. Letzteres etwa dann, wenn entweder durch Exportverbote die Einfuhr wichtiger Vorprodukte oder Rohstoffe oder die Ausfuhr von Produkten in an sich umsatzrelevante Regionen verboten würden.

Für vier von fünf Firmen ist die digitale Souveränität heute ein wichtigeres Thema als früher. 27 Prozent halten es für sehr wichtig und strategisch für ihr Unternehmen bedeutsam. Bedeutend mehr, nämlich 52 Prozent, sehen Einflüsse auf das Tagesgeschäft. Die Umsetzung ist allerdings schwierig. Als wichtigste Herausforderung dabei nennen 52 Prozent die Umsetzung von Datenschutz in den Verträgen mit Public-Cloud-Providern.

Immer mehr Unternehmen legen die IT-Security in die Hände von externen Dienstleistern.

(Bild: IDC)

Statt in Personal und Automatisierung zu investieren, scheint es, dass Unternehmen lieber auslagern – das sagen zumindest in Summe 80 Prozent der Befragten. Doch gleichzeitig präferieren 67 Prozent eigene interne Infrastruktur wegen der möglichen Kontrolle, 60 Prozent bevorzugen sie, weil sie ihr mehr vertrauen. Gleichzeitig finden aber 54 Prozent der Unternehmen die Technologien externer Anbieter überzeugender.

Was das bedeutet, zeigt sich, wenn man fragt, welche Art von Infrastruktur am sichersten ist: Ganz oben steht bei der Sicherheit der lokale Cloud-Provider – wohl, weil er die lokale Nähe und Greifbarkeit mit der technischen Finesse von Cloud-Technologien vereinigt. Ganz unten rangieren hingegen das eigene Rechenzentrun und internationale Cloud-Provider.

(fo)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Sicherheit

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten