Deutsche IT-Sicherheitsabteilungen müssen sich deutlich stärker fokussieren, um gegen die aktuellen Angriffsvektoren anzugehen. Das ist ein zentrales Ergebnis der Studie „State of Security Preparedness 2023“ die der Security-Anbieter Ivanti veröffentlicht hat. Im Gegensatz zu ihren internationalen Kollegen ist der Reifegrad deutscher Security-Abteilungen nur mittelmäßig.
Dies zeigt sich besonders in geschäftskritischen Fragen wie dem Umgang mit Schwachstellen und bei Sicherheitstrainings für Geschäftspartner der eigenen Vertriebskette.
Deutsche Security-Teams haben Nachholbedarf
Der Reifegrad deutscher IT-Security-Abteilungen ist laut der Ivanti Studie deutlich niedriger als in benachbarten europäischen Ländern und weltweit. Gerade einmal 19 % der Befragten schätzen ihr Team als fortgeschritten und erprobt ein, wenn es um die Einhaltung nationaler und globaler Sicherheitsvorschriften, -richtlinien und -verfahren geht. In England, Frankreich und im internationalen Durchschnitt bewegen sich rund 30 % der Unternehmen auf diesem höchsten Abwehrniveau. Nach eigener Einschätzung befindet sich das Gros der deutschen Sicherheitsteams (36 %) in dieser Frage gerade einmal auf einem „Intermediate Level“.
Diese Selbsteinschätzung wird gestützt, betrachtet man die Methoden, die IT-Teams zur Evaluierung ihrer Cyberprogramme nutzen. Die Güte dieser Methoden können als Indikator dafür dienen, wie fundiert die Programme aufgesetzt und durchgeführt werden. Cybersecurity-Reifegradmodelle spielen dabei in Deutschland im Vergleich zum internationalen Durchschnitt nur eine untergeordnete Rolle. Gerade einmal 1/3 der Firmen hierzulande arbeiten mit diesen Modellen – weltweit sind es 2/3. Ähnlich sieht dies aus, wenn es um eine Bewertung geht, welchem Risiko relevante Finanzdaten ausgesetzt sind. 1/3 der befragten Sicherheitsspezialisten aus Deutschland ermitteln ihre Sicherheitsposition auf Basis eines Finance Data Risk Assessment (FinDRA). Nahezu doppelt so viele ihrer Kollegen arbeiten jedoch in Großbritannien und den USA (61 %, 62 %) mit dieser Kennziffer.
Die Fähigkeit einer Organisation, das eigene Sicherheitslevel akkurat zu bestimmen, hängt nicht zuletzt auch vom Einblick in die Systeme und Lösungen ab, die im Unternehmen zum Einsatz kommen. Auch unter diesem Blickwinkel fällt die Selbsteinschätzung deutscher Security-Leiter gemäßigt auch. Das Gros von ihnen (54 %) hat nur einen moderaten Überblick über ihre Assets und gerade einmal 15 % verfolgen die im Unternehmensnetz angemeldeten Nutzer, Geräte, Anwendungen und Dienste kontinuierlich.
Schwachstellenmanagement: Am liebsten alles patchen?
„Die Ergebnisse unserer Studie zeigen, dass deutsche Sicherheitsprofis nahezu jede Schwachstelle mit Priorität oder hoher Priorität schließen möchten. Eine solche Einstellung entspricht dem nachvollziehbaren Wunsch, möglichst viele potenzielle Einfallstore zu schließen. Das ist aber im Regelbetrieb einer IT-Abteilung mit den verfügbaren Ressourcen der Teams kaum noch realisierbar“, sagt Johannes Carl, Expert Manager PreSales – UEM & Security. „Die schiere Anzahl an offenen Schwachstellen macht es nahezu unmöglich, einen lückenlosen Schutzwall um ein Unternehmen zu ziehen. Deutlich effektiver ist es, diejenigen Verwundbarkeiten priorisiert zu schließen, von denen ein tatsächliches Risiko für das individuelle Unternehmen ausgeht.“
Dass sich diese Erkenntnis in den Security-Teams hierzulande noch nicht ausreichend verbreitet hat, zeigt die Ivanti-Studie. Zwar kümmert sich die Hälfte der Sicherheitsexperten (48 %) priorisiert um strategische Schwachstellen, die für ihr Unternehmen unmittelbar relevant sind – ein guter Wert im internationalen Vergleich. Allerdings fällt auf, dass überproportional viele Schwachstellen dazu gezählt werden. Gleich, ob es sich um Verwundbarkeiten handelt, die in der NVD (National Vulnerability Database) gelistet, die aktuell ausgenutzt oder vom Team selbst identifiziert werden – das Gros der deutschen Security-Profis ordnet ihnen die höchste Dringlichkeit zu. International wird in dieser Frage deutlich stärker differenziert. Ein Grund für diese Bewertung mag in der Tatsache liegen, dass 40 % der Befragten entweder keine spezifische Methode für die Priorisierung von Schwachstellen nutzt oder wenn vorhanden, diese nicht gesondert dokumentiert ist. Hierbei wird es für die Teams schwierig, konsistente Regeln für ein risikobasiertes Schwachstellenmanagement anzuwenden.
Supply-Chain-Angriffe im Blick – aber im Griff?
Einen interessante Analyse lässt auch die Bewertung potenzieller Angriffsvektoren zu. 40 % der deutschen Sicherheitsprofis sehen in Angriffen auf und über die Vertriebskette nur ein moderates Bedrohungsniveau. Angesichts der Zunahme dieser Art von Angriffen im letzten Jahr ist eine solche Einschätzung durchaus erstaunlich. Interessant allerdings ist auch die Aussage von nahezu jedem zweiten Befragten (48 %), dass er auf einen Supply-Chain-Angriff sehr gut vorbereitet sei. Dies deckt sich mit der im Ländervergleich hohen Fähigkeit deutscher IT-Abteilungen, Zugänge für Drittunternehmen kurzfristig entziehen zu können. 51 % sind dazu binnen eines Tages in der Lage. Deutlich kritischer wirkt sich eine andere Aussage aus: Nur etwas mehr als jeder zweite Sicherheitsspezialist hierzulande (57 %) verpflichtet Supply-Chain-Partner auch zu einem obligatorischen Cybersecurity-Training. Der Durchschnittswert aller Länder liegt hier bei 67 %.
Methodologie
Für die Studie „State of Security Preparedness 2023“ wurden im Oktober 2022 über 6.500 Führungskräfte, Cybersecurity-Experten und Büroangestellte weltweit befragt. Das Ziel der Erhebung, die Ravn Research durchgeführt hat, ist die Wahrnehmung der IT-Professionals in den Unternehmen für die heutigen Sicherheitsbedrohungen zu verstehen und herauszufinden, wie sich Unternehmen auf noch unbekannte Bedrohungen in der Zukunft vorbereiten.
www.ivanti.com