IDC-Studie und Kongress zu "Storage & Security"

Unternehmen unterschätzen Sicherheitsrisiken

08.05.2013
Deutsche Unternehmen sind auf die neuen Angriffsformen nur unzureichend vorbereitet, so das Fazit der jüngsten IDC-Studie. Der Channel Sales Kongress "Storage & Security" am 11. Juni in Köln zeigt Gegenmaßnahmen auf.
Aktuelle Angreiferlandschaft: Die Gefahr gezielter Angriffe wird unterschätzt, so IDC. (Quelle: IDC)
Foto: IDC

Deutsche Unternehmen legen besonders großen Wert auf die Absicherung ihrer IT - doch auf die neuen Angriffsformen sind die Firmen dennoch nur unzureichend vorbereitet. Sie unterschätzen das Risiko, so das Fazit der aktuellen IDC-Studie "Vor dem Sturm: IT-Security in Deutschland 2013". Im Rahmen der Studie befragte IDC im über 300 deutschen Unternehmen mit mehr als 100 Mitarbeitern.

Gezieltes Vorgehen der Angreifer

IDC unterscheidet zwischen sechs verschiedenen Angreifertypen. Diese sind im Einzelnen Cyber-War, APT-Angriffe, Cyber-Kriminalität, E-Spionage, Hacktivismus und E-Vandalismus. Die befragten Unternehmen bewerten ihr Bedrohungspotenzial sehr unterschiedlich: So betrachten sich im Schnitt 50 bis 60 Prozent der Unternehmen als sehr bis sehr stark bedroht. Dagegen erkennen 25 bis 40 Prozent nur ein geringes bis sehr geringes Risiko.

Unternehmen hierzulande schätzen die Gefahr, Opfer eines Cyber-kriminellen Angriffs zu werden, mit dem Wert 2,86 am höchsten ein (bei einer Skala von 1 = sehr hohes Bedrohungspotenzial bis 6 = sehr geringes Potenzial 2,58).

Ziel einer E-Spionage zu werden, halten die Befragten nahzu für ebenso wahrscheinlich (2,61) gefolgt von E-Vandalismus (2,83), Cyber-War (2,86), Hacktivismus (2,90) und APT-Angriffe (3,05). Nach Ansicht von IDC zeigt sich, dass insbesondere das Thema APT aus nicht die erforderliche Aufmerksamkeit erhält.

Channel Sales Kongress "Security & Storage" am 11. Juni

Im Rahmen einer Live-Hacking-Session können Teilnehmer des Channel Sales Kongress "Security & Storage" erleben, wie Cyberkriminelle heute agieren. Während dieser Live-Demo deckt der Security-Experte die gefährlichsten Lücken im Sicherheitsnetz von Unternehmen auf. Ein Rechtsexperte vermittelt außerdem wertvolle Tipps zum Thema Datenschutz und Sicherheit in der Cloud. Nähere Informationen zu den weiteren Programmpunkten und die Möglichkeit zur Anmeldung finden Interessenten unter: http://www.channelpartner.de/events.

Anteil der Unternehmen, die sich als Zielgruppe für neuartige, komplexe Attacken (ATP) sehen. (Quelle: IDC)
Foto: IDC

"37 Prozent der befragten Unternehmen verstehen sich nicht als Ziel von APT-Angriffen. Diese Einstellung kann fatale Folgen haben", warnt Matthias Zacher, Senior Consultant bei IDC. "Vielleicht besitzt der mittelständische Prozessfertiger wertvolle Produktunterlagen, die Ziel eines Angriffs sein könnten. Oder der lokal tätige Dienstleister hat Zugang zu einem Großunternehmen oder einer Behörde mit sensiblen Informationen. Dann ist dieser Dienstleister ein Element eines mehrstufigen Angriffs." Jedes Unternehmen sei damit potenziell gefährdet.

Branchen unterschiedlich sensibilisiert

Die Unternehmen der einzelnen Branchen bewerten das Bedrohungspotenzial durchaus unterschiedlich. Während die Dienstleistungsbranche, der Handel und Prozessfertiger die verschiedenen unterschiedlichen Angriffstypen in Gänze als Bedrohung sehen, ist das bei anderen Branchen nur punktuell der Fall. So sind im Gesundheitswesen, in der Branche Transport und Verkehr und beim Bildungswesen deutliche Spreizungen in der Bewertung festzustellen. IDC empfiehlt aber allen Unternehmen, die Gefährdungslage regelmäßig neu zu prüfen.

Daten gelten als besonders gefährdet

Die Angriffe zielen aus Sicht der Befragten auf Datendiebstahl, das Unterbrechen bzw. Stören von Betriebsabläufen in den IT-Systemen oder in Produktionssystemen, auf Imageschäden und auf den Missbrauch der unternehmenseigenen IT-Systeme für kriminelle Zwecke.

Um dies zu verhindern, haben die Firmen verschiedene Schritte zum Schutz ihrer Daten unternommen. 67 Prozent haben definiert, wie mit sensitiven Daten umzugehen ist, in 56 Prozent der Unternehmen ist geregelt, wie Daten aus verschiedenen Unternehmensbereichen gehandhabt werden, 55 Prozent verfügen über Festlegungen zu Daten in mobilen Endgeräten und Bestimmungen zum Weitergabe an berechtigte Dritte existieren bei 53 Prozent.

Je nach Thema planen ca. 30 Prozent der Organisationen innerhalb der nächsten 24 Monate weitere Konzepte umzusetzen. Das ist aus Sicht von IDC dringend erforderlich und erst dann kann die Situation als zufriedenstellend eingeschätzt werden. Die Top 3 Angriffsformen nach Häufigkeit der Nennungen sind Malware (69 Prozent), Phishing und Social Engineering (50 Prozent) und bedrohliche Insider (44 Prozent).

Nachholbedarf bei mobilen Lösungen

Erwartungsgemäß betrachten die Unternehmen ihre Rechenzentren und die geschäftskritischen Anwendungen als am stärksten abgesichert. Diese zentralen Elemente der Unternehmens-IT verfügen über umfassende Schutzmechanismen. Aber das allein genügt den IDC-Experten zufolge nicht.

Am unteren Ende der Wertungsskala platzieren die Unternehmen Tablet PCs und Smartphones. Diese gelten als unsicherste Komponenten der betrieblichen Informationstechnologie. Das gilt in den Augen der Befragten um so mehr, wenn private Geräte dem geschäftlichen Einsatz dienen (Bring your own Device). Datenaustausch, Einbindung in Unternehmensnetze und zentralisiertes Gerätemanagement werfen noch viele Fragen auf.

Handlungsbedarf erkannt

Untätig waren und sind die Unternehmen indes nicht. So haben 53 Prozent das Access und Identity Management verbessert, 33 Prozent planen dies zu tun. 48 Prozent nutzen bessere Verschlüsselungsmethoden und bei weiteren 35 Prozent steht dies im Lastenheft. 41 Prozent haben ihre Systeme gehärtet, weitere 41 Prozent wollen hier nachziehen.
Wie Systemhäuser ihren Kunden helfen können, sich für die neuen Formen der Bedrohung zu schützen, vermittelt der Channel Sales Kongress "Storage & Security" am 11. Juni in Köln. Nähere Informationen dazu finden Interessenten unter: http://www.channelpartner.de/events. (rb)