Studie

81 Prozent der Großunternehmen haben Defizite im Umgang mit Schwachstellen

Sicherheitslücken, Schwachstellen

Eine zunehmende Digitalisierung von Prozessen ist für deutsche Unternehmen unausweichlich. In diesem Zusammenhang wird das Management von Schwachstellen immer komplexer und nicht zuletzt durch Schatten-IT unübersichtlicher. Insbesondere die Regelmäßigkeit und die Tiefe der Schwachstellenscans sind hierbei von entscheidender Bedeutung.

Aber gerade hier weisen deutsche Unternehmen grundlegende Missstände auf, die zu gravierenden Konsequenzen führen können.

Anzeige

In Zusammenarbeit mit ManageEngine ist das Research- und Analystenhaus techconsult der Frage nachgegangen, wie sich das Schwachstellenmanagement deutscher Unternehmen ausgestaltet und welche Rolle Softwarelösungen in diesem Kontext spielen. Hierfür wurden in der nun veröffentlichten Studie „Effizientes Schwachstellenmanagement in dynamischen IT-Infrastrukturen: Der Umgang deutscher Unternehmen mit IT-Security-Risiken“ 150 IT-Verantwortliche aus Unternehmen mit mindestens 2.000 Beschäftigten befragt.

Unternehmen oft zu langsam im Umgang mit kritischen Schwachstellen

Regelmäßig die eigene IT-Infrastruktur auf Schwachstellen zu untersuchen, stellt einen der Kernaspekte dar, um durch eine vorausschauende Strategie Sicherheitsrisiken zu minimieren. So wird in 45 Prozent der befragten Unternehmen täglich und in mehr als jedem dritten (35 Prozent) wöchentlich die IT-Infrastruktur mithilfe einer Softwarelösung auf Sicherheitslücken gescannt. Dagegen führt jedes fünfte deutsche Unternehmen einen solchen Scan lediglich einmal monatlich (10 Prozent) oder ohne eine Routine unregelmäßig (11 Prozent) durch. Hierbei zeigt sich, dass sich die Regelmäßigkeit eines Sicherheitsscans je nach Unternehmensgröße stark unterscheidet; je größer die Unternehmen, desto häufiger werden Scans durchgeführt. Insbesondere in gewachsenen und komplexen IT-Infrastrukturen müssen routinemäßige und kontinuierliche Schwachstellenscans das IT-Sicherheitskonzept ergänzen, ansonsten laufen Unternehmen Gefahr, Opfer von Cyberkriminellen zu werden. Die Größenklassenunterschiede zeigen sich insbesondere auch im Umgang mit Schwachstellen. So sind Unternehmen mit 5.000 oder mehr Beschäftigten deutlich häufiger in der Lage, kritische Schwachstellen innerhalb eines Tages zu patchen (58 Prozent) als Unternehmen mit 2.000 bis unter 5.000 Mitarbeitenden (40 Prozent).

Ganzheitliche Sicherheitsstrategie nicht ohne Software

Eine optimierte Schließung von kritischen Lücken lässt sich nicht zuletzt mithilfe einer ganzheitlichen Softwarelösung erreichen. Es zeigt sich jedoch, dass nur jedes dritte befragte Unternehmen (33 Prozent) eine ganzheitliche Lösung für Scan, Bewertung und Behebung von Schwachstellen einsetzt. Dagegen nutzen 38 Prozent der Unternehmen zwei getrennte Anwendungen zur Bewertung und Behebung, was zu einem umständlicheren und längeren Beseitigungsprozess führen kann. Je länger eine Sicherheitslücke offen bleibt, desto größer ist das Risiko eines Angriffs, denn Cyberkriminelle suchen genau diese „offenen Tore“. Jedes zehnte Unternehmen (11 Prozent) scheint indes einer permanent hohen Gefahr ausgesetzt zu sein. Der komplette Verzicht auf unterstützende Softwarelösungen, indem ausschließlich die manuelle Schwachstellenbewertung und -behebung angewandt wird, führt in diesen Unternehmen nicht nur zu einer unverhältnismäßig hohen Belastung der IT-Security-Verantwortlichen, sondern auch zu mehr Sicherheitslücken. Die Ausprägung dieser beiden Faktoren ist dabei unmittelbar von der Komplexität der jeweiligen IT-Infrastruktur abhängig.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Unternehmen priorisieren Schwachstellen nach Schadenspotenzial

Um das Ausmaß eines möglichen Schadens zu verringern, priorisieren die befragten Unternehmen identifizierte Schwachstellen insbesondere nach Schadenspotenzial (54 Prozent) und Ausnutzbarkeit (47 Prozent). Denn hochkritische Schwachstellen, die einfach ausgenutzt und großen Schaden anrichten können, sollten unverzüglich und mit höchster Priorität geschlossen werden. Damit einhergehend werden oftmals auch Schweregrad und Verwundbarkeit (45 Prozent) sowie die Anzahl der betroffenen Systeme (43 Prozent) zur Priorisierung genutzt. Im Sinne einer vorausschauenden Sicherheitsstrategie sollten Schwachstellen softwaregestützt bewertet werden, um zuverlässig zu priorisieren und dadurch Risiken zu minimieren.

Mobile Endgeräte als größte Herausforderung im Schwachstellenmanagement

Die Priorisierung von Sicherheitslücken ist nicht zuletzt begründet in einer explodierenden Anzahl an heterogenen IT-Assets, die zu potenziellen Schwachstellen werden können. Mobile Arbeitsgeräte wie Smartphones, Tablets oder Notebooks weisen laut 27 Prozent der befragten Unternehmen das größte Gefahrenpotenzial auf, da sie häufig auch privat genutzt und nur bedingt von der IT-Sicherheitsinfrastruktur erfasst werden können. Für Unternehmen stellt das Absichern derartiger Endgeräte, insbesondere in Zeiten von Remote work und Homeoffice, eine große Herausforderung dar, die ausschließlich softwaregestützt realisierbar ist. Jedoch haben viele Unternehmen nach eigener Einschätzung auch Defizite beim Umgang mit Schwachstellen in der eigenen Anwendungslandschaft, bestehend aus Cloud-Anwendungen (27 Prozent) und On-Premises-Lösungen (21 Prozent). Lediglich jedes fünfte befragte Unternehmen (19 Prozent) schätzt, dass es alle möglichen Schwachstellen der gesamten IT-Infrastruktur im Überblick hat.

Fazit

Alles in allem zeigen die Studienergebnisse auf, dass deutsche Großunternehmen bereits erste Schritte hin zu einer vorausschauenden Sicherheitsstrategie vorweisen können, jedoch sind deutliche Missstände insbesondere bei der Abdeckung mobiler Endgeräte sichtbar. Zudem ist erkennbar, dass ein Schwachstellenmanagement ohne ganzheitliche Softwarelösung in Zukunft nur noch möglich sein wird, wenn man bereit ist, ein höheres Risiko bei der Absicherung der IT-Infrastruktur einzugehen. Was bedeutet das für die Umsetzung einer vorausschauenden IT-Sicherheitsstrategie? Nur wer Scan, Bewertung und Behebung in einer Anwendung vereint, wird langfristig in die Lage versetzt, Gefahren innerhalb komplexer IT-Infrastrukturen frühzeitig und verlässlich zu entdecken, um so effizient und zeitnah wie möglich kritische Lücken schließen zu können.

Vulnerability Management in deutschen Großunternehmen

Weitere Informationen:

Der vollständige Bericht kann hier heruntergeladen werden.

Über die Studie:

Das Research- und Analystenhaus techconsult hat im Auftrag von ManageEngine und MicroNova untersucht, wie sich das Schwachstellenmanagement deutscher Großunternehmen ausgestaltet und welche Rolle Softwarelösungen in diesem Kontext zukommen. Als Analysebasis für die Studie „Effizientes Schwachstellenmanagement in dynamischen IT-Infrastrukturen: Der Umgang deutscher Unternehmen mit IT-Security-Risiken“ wurden 150 IT-Verantwortliche aus deutschen Unternehmen mit mindestens 2.000 Beschäftigten befragt.

www.techconsult.de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.