Von welchen Cybersicherheitsrisiken geht in den nächsten zwölf Monaten eine Gefahr für Ihr Unternehmen aus? Welche Maßnahmen ergreift Ihr Unternehmen zum Schutz der IT-Infrastruktur? Können Sie sich vorstellen, zur Schwachstellenbekämpfung mit ethischen Hackern zusammenzuarbeiten?
Diese und andere Fragen stellte Europas Crowdsourced-Security-
Jedes zweite Unternehmen meldet IT-Sicherheitsvorfälle in den letzten zwölf Monaten
Die Hälfte der befragten Unternehmen hatte in den letzten zwölf Monaten mit mindestens einem Cybersicherheitsvorfall zu kämpfen. Etwa ein Drittel (29 Prozent) vermelden einen bis zehn, elf Prozent elf bis 20 Vorfälle. Fünf Prozent der Befragten berichten sogar von über 50 IT-Sicherheitsvorfällen.
Am häufigsten waren die Studienteilnehmer in den letzten zwölf Monaten mit Problemen bei der Zugriffskontrolle, wie etwa unsicheres Design oder Implementierung von Authentifizierungs- und Autorisierungsmechanismen, konfrontiert. Fast jeder zweite Befragte (48 Prozent) musste sich mit einem solchen Sicherheitsvorfall auseinandersetzen.
In Anbetracht dieser Zahlen ist es überraschend, dass mehr als ein Drittel der Studienteilnehmer (38 Prozent) über das IT-System ihres Unternehmens dennoch sagen, es sei optimal gegen Cyberangriffe geschützt und das nötige Wissen über Cybersecurity sei bei den Mitarbeiter in der IT vorhanden. YesWeHack fragte daher im Detail nach den Maßnahmen, die Unternehmen zum Schutz ihrer IT ergreifen.
Cyberabwehr: Jedes siebte Unternehmen ergreift keinerlei Maßnahmen
Um ihre IT-Sicherheit zu gewährleisten, nutzen demnach 70 von 100 Unternehmen Endpoint-Security-Lösungen. 39 Prozent verlassen sich auf Security-Awareness-Trainings für ihre Mitarbeiter und 26 Prozent setzen auf Audits und Pen-Tests. 14 Prozent nutzen Bug-Bounty-Programme, lassen ihre IT also von externen, ethischen Hackern überprüfen.
Bemerkenswert ist, dass jedes siebte Unternehmen (14 Prozent) überhaupt keine Maßnahmen zum Schutz der IT ergreift. Weitere fünf Prozent der befragten IT-Entscheider konnten keine Angabe zur Frage nach den Abwehrmethoden machen.
In jedem dritten Unternehmen (31 Prozent) gibt es zudem keine Person oder Gruppe, die hauptsächlich für das IT-Sicherheits- und Risikomanagement zuständig ist. 40 Prozent der befragten Unternehmen nennen den CTO oder CIO als Hauptverantwortlichen, und nur 17 Prozent verfügen über einen dezidierten Chief Information Security Officer (CISO). Selbst in Großunternehmen mit mehr als 1000 Mitarbeitern ist seltener ein CISO (23 Prozent) als ein CTO (27 Prozent) oder ein CIO (28 Prozent) hauptverantwortlich für Sicherheitsthemen.
Wachsende Angriffsfläche und Komplexität ist aktuell größte Herausforderung bei der Abwehr von Cyberangriffen
Für 37 Prozent der IT-Teams stellt aktuell die kontinuierlich wachsende Angriffsfläche und Komplexität, getrieben durch die digitale Transformation, die größte Herausforderung bei der Abwehr von Cyberangriffen dar. 34 Prozent nehmen die starke Zunahme von Cyberattacken über alle Branchen und Unternehmensgrößen hinweg als größte Bedrohung wahr. 32 Prozent macht die gewachsene Anzahl der Angriffspunkte aufgrund der Arbeitssituation der Homeoffice-Mitarbeiter Sorgen.
Auch interne Faktoren werden von den Teilnehmern der Studie als Problem wahrgenommen. So sieht knapp jeder Vierte (24 Prozent) die Zusammenarbeit rund um Erkennung, Priorisierung und Behebung von Schwachstellen als insgesamt komplex und daher herausfordernd an. Zu wenig Wissen in Bezug auf Cybersicherheit im Team ist für 18 Prozent ein Grund zur Besorgnis, für weitere 17 Prozent ist es der Mangel an Budget, um sich vor aktuellen Sicherheitsbedrohungen effektiv zu schützen.
Zusammenarbeit mit ethischen Hackern: Für die meisten Unternehmen eine Option
Die Studie ging darüber hinaus der Frage nach, ob sich die Teilnehmer vorstellen können, mit ethischen Hackern zusammenzuarbeiten, die IT-Systeme durch Angriffe gezielt attackieren, um Sicherheitslücken in Unternehmen zu identifizieren und zu schließen. Mehr als die Hälfte (52 Prozent) der Befragten kann sich eine solche Zusammenarbeit vorstellen. Auch die geplante oder bereits erfolgte Implementierung einer Vulnerability Disclosure Policy (VDP) spricht für die Bereitschaft zur Zusammenarbeit mit ethischen Hackern. Eine VDP ist eine öffentlich zugängliche Richtlinie für die Offenlegung von Sicherheitslücken: Sie bietet ethischen Hackern einen rechtlich sicheren, strukturierten Rahmen, um Schwachstellen auf der Website, in Produkten oder Dienstleistungen eines Unternehmens zu melden. 39 Prozent der Studienteilnehmer geben an, dass ihr Unternehmen eine VDP implementiert hat oder 2021 plant, dies zu tun.
Über die Studie
Für die Studie hat die YouGov Deutschland GmbH im Auftrag von YesWeHack 512 IT-Entscheider in Deutschland per Online-Umfrage befragt. Befragungszeitraum war der 14. bis 22. April 2021.
https://www.yeswehack.com