Wie die aktuelle Studie "Endpoint Security Management 2019" von IDG Research Services ergab, werden am häufigsten die regelmäßigen Security-Schulungen für Mitarbeiterinnen und Mitarbeiter als Grund dafür angesehen, dass die Endpoint-Sicherheit im Unternehmen überdurchschnittlich gut ist.
Zweifellos gehört die Schulung der Beschäftigten zu den wichtigsten Maßnahmen der Endgerätesicherheit. So schreibt zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) im aktuellen Lagebericht zur IT-Sicherheit 2019, dass die ohnehin angespannte Cyber-Sicherheitslage unnötig verschärft wird durch die in vielen Fällen festzustellende digitale Hilflosigkeit aufseiten der Anwender.
Security-Maßnahmen richtig bewerten
Allerdings berichtet das BSI auch von einer neuen Qualität der Cyber-Angriffe und einer hohen Dynamik der Angreifer bei der (Weiter-)Entwicklung von Schadprogrammen und Angriffswegen. So hat das BSI im Berichtszeitraum rund 114 Millionen neue Schadprogrammvarianten registriert, DDoS-Angriffe mit bis zu 300 Gbit/s Angriffsbandbreite beobachtet und über 110.000 Bot-Infektionen täglich festgestellt - meist auf mobilen Endgeräten oder Geräten des Internets der Dinge (Internet of Things, IoT).
Zur Studie "Endpoint Security Management 2019" im CW-Aboshop
Abhilfe können nach Ansicht des BSI nur die konsequente Nutzung von IT-Sicherheitsmaßnahmen nach Stand der Technik sowie eine Stärkung der digitalen Eigenverantwortung jedes einzelnen Nutzers schaffen.
Moderne Sicherheitsverfahren wie die Endpoint Security Automation wurden in der aktuellen Studie zwar von 51,4 Prozent als Teil der Sicherheitsstrategie angesehen, aber die Umsetzung dieser Automatisierung liegt noch weit hinten. Offensichtlich wird der Automatisierung noch nicht der ihr zukommende Stellenwert beigemessen.
Die Schulung der Mitarbeiterinnen und Mitarbeiter macht aber eine Automatisierung in der Endpoint Security nicht überflüssig. Selbst die beste Sensibilisierung der IT-Nutzer schafft es nicht, dass die zunehmend komplexen und intelligenten Attacken auf Endpoints rechtzeitig erkannt und abgewehrt sowie die schädlichen Folgen minimiert werden. Hier ist zusätzlich die Security Automation gefragt, um Angriffe so schnell wie möglich zu erkennen und abzuwenden, erfolgte Schäden einzudämmen und Angriffsspuren forensisch zu untersuchen.
Nachholbedarf bei der Automatisierung
Die IDG-Umfrage zeigt, dass Unternehmen mit weniger als 1000 Beschäftigten häufiger auf jede Art von Automatisierung verzichten als Unternehmen mit mehr Mitarbeitern (15,9 Prozent im Vergleich zu 8,5 Prozent).
Ähnlich verhält es sich bei Unternehmen mit geringeren jährlichen IT-Aufwendungen, bei denen 13,3 Prozent komplett auf Security Automation verzichten, während Unternehmen mit mehr als zehn Millionen Euro IT-Aufwendungen im Jahr nur zu 8,0 Prozent keine Automatisierung einsetzen.
Wer dachte, die Probleme, genügend Security-Personal zu finden, und der Mangel an IT-Budget würden eine Automatisierung der Endpoint Security forcieren, der irrt sich. Wer mehr IT-Budget und mehr Beschäftigte hat, greift eher zur Automatisierung als kleine und mittlere Unternehmen.
Das Wissen um die vorhandene Automatisierung in der Endpoint-Sicherheit ist zudem ungleich verteilt. Im Fachbereich können 28,9 Prozent darüber keine Aussage machen, im IT-Bereich 4,4 Prozent und im C-Level 2,8 Prozent, so die IDG-Studie "Endpoint Security Management 2019".
Bedenklich ist, dass 72,9 Prozent der Befragten aus dem C-Level meinen, ihr Unternehmen setze Automatisierung ein, die IT bestätigt dies aber nur in 47,8 Prozent der Fälle. Hier müsste in den Unternehmen genau geklärt werden, was denn unter Security Automation verstanden wird, damit keine falschen Vorstellungen und Erwartungen in der Geschäftsleitung entstehen.
Ein falsches Bild von der Automatisierung der Endgerätesicherheit zeigt sich auch in der Durchgängigkeit der automatisierten Security-Funktionen. Während bei Unternehmen mit mehr als 1000 Beschäftigten 73,6 Prozent eine Automatisierung in der Angriffserkennung nutzen, sind es in der Schadensbegrenzung nur noch 46,4 Prozent und in der Forensik sogar nur noch 20,0 Prozent.
Noch schwächer ausgeprägt ist der automatische Endpunktschutz bei den kleineren Unternehmen. Hier sind es 59,6 Prozent bei der Angriffserkennung, 31,7 Prozent bei der Schadensbegrenzung und 14,4 Prozent bei der Forensik für angegriffene Endpoints.
"Es besteht akuter Handlungsbedarf, da nur miteinander kommunizierende IT-Security-Systeme Prozesse automatisieren und damit effektiver auf moderne Cyber-Angriffe reagieren können", erklärt Sven Janssen, Channel Sales Director bei Sophos.
Auch ein SOC ersetzt keine Automatisierung
Die neue Studie von IDG Research Services hat auch die Verbreitung von Security Operation Center (SOC) untersucht. Selbst bei Unternehmen mit weniger als 1.000 Beschäftigten verzichten nur 19,6 Prozent auf ein SOC, bei größeren Unternehmen sind es sogar nur 15,6 Prozent.
Im SOC kümmern sich gut ausgebildete Security-Experten um die Erkennung und Abwehr von Attacken; wie bei den Schulungen auf Anwenderebene setzen die befragten Unternehmen also auch hier auf menschliches Know-how für mehr Endpoint Security.
Doch auch die SOC-Analysten benötigen die Unterstützung durch eine Automatisierung, wie die steigende Zahl der zu untersuchenden Security-Events und die immer noch zu lange Zeitspanne bis zur Angriffserkennung zeigen.
Automatisierung ist eine zentrale Ergänzung zum Aufbau von Security-Know-how in den Unternehmen. Die Gegenseite und damit die Angreifer setzen bereits auf automatisierte Attacken. Erkennung, Abwehr und Eindämmung der Schäden müssen mit dem hohen Tempo der Angriffe auf Endpoints Schritt halten können. Hier sollten Unternehmen in Deutschland umgehend den aktuellen Stand und Bedarf der Automatisierung in der Endpoint Security prüfen und vorhandene Lücken schließen.
Fabian Henzler, VP Product Strategy bei Matrix42, empfiehlt: "Das Wichtigste für eine Endpoint Security Lösung sollte sein, dass jedwede negative Auswirkung oder Unachtsamkeit des Mitarbeiters aufgefangen wird, um einen Schaden zu verhindern, denn wir wissen, dass wir beispielsweise Angriffe heute im Schnitt erst nach mehreren Wochen überhaupt erst erkennen - dann ist das Kind aber schon in den Brunnen gefallen."
Zur Studie "Endpoint Security Management 2019" im CW-Aboshop