Thought Leadership
Ob Unternehmen von den Anforderungen der bevorstehenden NIS-2- oder DORA-Richtlinien betroffen sind oder nicht: Ein Information Security Management System (ISMS) ist essenziell, um die Informationssicherheit im Unternehmen zu erhöhen.
Zwar haben bereits 68 Prozent der befragten IT- und Cybersecurity-Fachkräfte der Studie „OTRS Spotlight: Corporate Security 2024“ ein solches System, doch sind in vielen Fällen wichtige Tools und Prozesse bisher nicht vollständig darin integriert. Jeweils zwei Dritteln (66 Prozent) fehlen bisher die vollumfängliche Integration von Asset Management, Security-(Awareness-)Schulungen sowie Audit und Compliance Reporting; bei 70 Prozent ist das Patch Management nicht vollständig integriert. Für die Studie hat das Softwareunternehmen OTRS AG in Zusammenarbeit mit dem Marktforschungsunternehmen Pollfish 476 IT- und Cybersecurity-Fachkräfte befragt, darunter 74 in Deutschland.
Wanted: Tools für einfachere Integration von Asset Management
Am häufigsten beklagen Security-Teams mit 61 Prozent die Komplexität der Integration als größtes Hindernis dabei, das für ihr Risikomanagement so wichtige Asset Management vollumfänglich in ihre ISMS-Prozess- und Toollandschaft zu integrieren. Mit einigem Abstand folgen an zweiter und dritter Stelle der größten Hindernisse Dateninkonsistenz (42 Prozent) und verzögerte Datensynchronisation (40 Prozent).
Offenbar besteht ein hoher Bedarf an Tools, die es den Security-Teams erleichtern, ihr Asset Management nahtlos in ihre ISMS-Landschaft zu integrieren. Das zeigt auch ein Blick auf diejenigen, die dies bereits umgesetzt haben: Sie nutzen dafür vorrangig dedizierte Asset Management Software (41 Prozent) oder spezielle Integrationstools (37 Prozent). Nur jeweils zehn Prozent realisieren die Integration mittels eigener Skripte und APIs oder übertragen und gleichen Daten manuell ab.
Device Management: Zu wenig Personal für zu viele Geräte
Eine weitere Herausforderung für Security-Teams dabei, die (Informations-)Sicherheit in ihrem Unternehmen zu gewährleisten und damit auch gesetzlichen Anforderungen zu entsprechen, ist es, Sicherheitsrichtlinien auf allen Geräten durchzusetzen. Nicht nur führt die zunehmende Anzahl von Geräten zu Skalierbarkeitsproblemen (33 Prozent) und stellt die Vielfalt an Geräten und Betriebssystemen (33 Prozent) sowie die Verwaltung von Geräten in mobilen oder hybriden Arbeitsumgebungen (32 Prozent) die Teams vor Schwierigkeiten. Hinzu kommen häufig noch begrenzte IT-Personal- oder Ressourcenausstattung (39 Prozent), die erforderlich wären, um diese Aufgabe vollumfänglich zu erfüllen.
In 92 Prozent der befragten Unternehmen kommen zudem bereits KI-fähige Geräte zum Einsatz – und öffnen neue Türen für potenzielle (Daten-)Sicherheitsrisiken. Dem versuchen Security-Teams vor allem mit Schulungen der Mitarbeiter im sicheren Umgang mit Daten zu begegnen (46 Prozent). Fast ebenso viele (43 Prozent) verwenden sichere Server für die Datenverarbeitung, um die Risiken und die Einhaltung von Datenschutzbestimmungen beim Einsatz von KI-fähigen Geräten zu managen. Vier von zehn implementieren zu diesem Zweck strenge Nutzungsrichtlinien, während gerade einmal 21 Prozent Mobile Device Management (MDM) oder Unified Endpoint Management (UEM) nutzen, um KI-Funktionen zu deaktivieren oder einzuschränken.
Mitarbeiter sorgen sich um Gerätesicherheit
Darüber hinaus sind Geräte und deren Nutzung und Sicherheit nach Bedenken über verdächtige E-Mails oder mögliche Phishing-Versuche eine der häufigsten Ursachen dafür, dass sich Mitarbeiter an die Security-Teams wenden. 38 Prozent der Befragten erhalten häufig oder sehr häufig Fragen zur Legitimität von Software- oder App-Downloads oder -Updates. 36 Prozent geben an, häufig oder sehr häufig Anfragen aufgrund von Bedenken hinsichtlich der Sicherheit von persönlichen Geräten, die für die Arbeit verwendet werden, zu bekommen.
Geräte verursachen häufiger Risiken und Schäden als Phishing-E-Mails
Auch Meldungen zu verlorenen oder gestohlenen Geräten mit sensiblen Daten halten Security-Teams auf Trab: 26 Prozent empfangen solche häufig oder sehr häufig. In solchen Fällen sind die Teams gefordert, besonders schnell und effektiv zu handeln, denn Geräteverluste gehören laut den Befragten zugleich zu den risikoreichsten beziehungsweise schädlichsten Problemen für ihre Organisation. 37 Prozent sagen, verlorene oder gestohlene Geräte mit sensiblen Daten haben ihrer Organisation in der Vergangenheit extremen oder erheblichen Schaden oder Risiko zugefügt.
Mit jeweils 38 Prozent haben auch Schwachstellen oder beschädigte Dateien in Unternehmenssystemen und -geräten sowie Schwachstellen, Datenschutzverletzungen oder Missbrauch von KI-Tools oder -Services in der Vergangenheit häufiger extreme oder erhebliche Schäden oder Risiken verursacht als Phishing-E-Mails (36 Prozent).
„Unternehmen haben durch Homeoffice, mobile Arbeit und die fortschreitende Digitalisierung in allen Branchen immer mehr Geräte und Endpoints, die es zu verwalten gilt. Für Security-Teams bedeutet das auch immer mehr Risiken und Angriffsflächen, die sie schützen und absichern müssen – in vielen Fällen aus der Ferne,“ betont Jens Bothe, Vice President lnformation Security bei der OTRS AG. „Damit sie dafür die notwendigen Ressourcen – sowohl in Form von Personal als auch unterstützenden Softwarelösungen – bekommen, müssen die wirtschaftlichen Risiken, die jeder zusätzliche Endpoint mit sich bringt, von der Geschäftsführerin bis zum Customer Service Agent ins Bewusstsein aller Mitarbeiter dringen.“
Über die Umfrage „OTRS Spotlight: Corporate Security 2024“
Die verwendeten Daten beruhen auf einer Online-Umfrage der Pollfish Inc. im Auftrag der OTRS AG, an der 476 IT- und Cybersecurity-Fachkräfte in Deutschland, USA, Brasilien, Mexiko, Australien und Malaysia zwischen dem 22.08. und 17.09.2024 teilnahmen, darunter 74 in Deutschland.
(pd/OTRS)
