Sicherheitsverantwortliche und Management reden zu wenig miteinander

Das geht aus einer von Websense beim Ponemon-Institut in Auftrag gegebenen Studie hervor. Außerdem sind nur 12 Prozent der befragten IT-Security-Verantwortlichen mit ihren Sicherheitssystemen zufrieden. Advanced Persistent Threats und Datenabfluss sehen sie als die größten Cyber-Bedrohungen.

Im Auftrag von Websense hat das Ponemon-Institut eine Untersuchung darüber angestellt, wie die Kommunikation zwischen Sicherheitsverantwortlichen und Management verläuft. Dabei offenbarten sich erhebliche Mängel in der Verständigung zwischen Entscheidern für den Bereich IT-Sicherheit und den sonstigen Führungskräften eines Unternehmens. Außerdem werden auch die Qualität vorhandener Security-Systeme beanstandet und die IT-Sicherheitskenntnisse des Unternehmenspersonals kritisiert. Für die Untersuchung wurden weltweit rund 5000 Security-Verantwortliche in 15 Ländern befragt – darunter Deutschland, Frankreich, Großbritannien, Italien, den Niederlanden, Schweden und den USA.

Kommunikation zum Thema Cybersecurity (Grafik: Ponemon Institute).Lediglich 1 Prozent der im Rahmen der Ponemon-Studie befragten Sicherheitsverantwortlichen spricht wöchentlich mit den Führungskräften über Cyber-Security. Ganze 31 Prozent tun dies nie (Grafik: Ponemon Institute).

Der wesentliche Aspekt der Studie betrifft die unternehmensinterne Kommunikation zwischen den Sicherheitsverantwortlichen sowie den jeweiligen Führungskräften: Demnach haben 31 Prozent der befragten Security-Teams erklärt, dass sie sich nicht mit dem Management über IT-Sicherheit austauschen. Von denjenigen, die dies tun, führen fast ein Viertel (23 Prozent) solche Gespräche nur einmal pro Jahr, weitere 19 Prozent nur einmal pro Halbjahr. Lediglich 11 Prozent der IT-Entscheider kommunizieren vierteljährlich mit ihren Vorgesetzten über das Thema – gerade einmal 1 Prozent tut dies wöchentlich.

Security-Teams wünschen sich komplette Aktualisierung der Sicherheitssysteme

Weiterhin ergab die Befragung, dass 29 Prozent der Studienteilnehmer einen starken Wunsch nach der Überarbeitung der bestehenden Security-Systeme hegen. Sofern sie die notwendigen Ressourcen und Möglichkeiten zur Verfügung hätten, würden sie die Sicherheitsinfrastruktur ihrer Unternehmen am liebsten vollständig überarbeiten. Daher ist es auch nicht verwunderlich, dass nahezu die Hälfte der Befragten (47 Prozent) regelmäßig über das Schutz-Level enttäuscht ist, das die durch die Firmen erworbenen Sicherheitslösungen bieten. Demgegenüber sind nur 12 Prozent mit ihren Sicherheitssystemen zufrieden. 56 Prozent der Security-Teams glauben zudem, dass ein Fall von Datendiebstahl im Unternehmen zu einem Wechsel des Sicherheitsanbieters führen würde.

In dem Zusammenhang sehen IT-Verantwortliche Advanced Persistent Threats sowie den Abfluss von Daten als die größten Gefahren (40 Prozent). Diese und andere Bedrohungen veranlassen 49 Prozent der Befragten in den kommenden zwölf Monaten nach eigenen Angaben zu Investitionen und Anpassungen ihrer Sicherheitssysteme.

Cyber Threats (Grafik: Ponemon Institute).Advanced Persistent Threats und Datenabfluss werden von den Security-Teams als die größten Cyber-Bedrohungen angesehen (Grafik: Ponemon Institute).

Die Umfrage hat aber auch ergeben, dass sich weniger als die Hälfte der Sicherheitsverantwortlichen (42 Prozent) genötigt fühlt, einen sogenannten Threat-Modelling-Prozess zur flexiblen Reaktion auf Cyber-Risiken durchzuführen – und das obwohl eine überwältigende Mehrheit von 94 Prozent dies als wichtig für den Umgang mit solchen Bedrohungen erachtet.

Sicherheits-Know-how der Mitarbeiter wird zu wenig gefördert

Ein Sicherheitsrisiko wird dabei nicht nur in der Infrastruktur, sondern auch in den Mitarbeitern selbst gesehen: So gaben 52 Prozent der befragten Security-Teams an, ihre Firmen investierten nicht genügend in Sicherheitsschulungen für ihre Mitarbeiter. Lediglich 38 Prozent der Studienteilnehmer glauben hingegen, dass ihr Unternehmen ausreichend Investitionen in Personal und Technologien tätigt, um anvisierte Security-Ziele zu erreichen.

Unter den Ereignissen, die nach Ansicht der Sicherheitsverantwortlichen das Management ihres Unternehmens dazu bringen würden, mehr Mittel für Security-Initiativen bereitzustellen, finden sich als häufigste Nennungen der Verlust von geistigem Eigentum (67 Prozent), der Diebstahl von Kundendaten (53 Prozent) sowie Umsatzeinbußen aufgrund von Systemausfällen (49 Prozent).

„Die globale Untersuchung des Ponemon Institute zeigt mangelnde Kommunikation, fehlendes Know-how und unzulängliche Systeme bei der Abwehr von Cyber-Bedrohungen. Das ermöglicht Kriminellen auf der ganzen Welt, Unternehmen erfolgreich zu attackieren. Es ist nicht überraschend, dass viele Sicherheitsverantwortliche von ihren Security-Lösungen enttäuscht sind. Sie nutzen häufig noch Altsysteme, die nicht in der Lage sind, die Ablaufkette moderner Datendiebstahl-Angriffe zu unterbrechen“, kommentiert Michael Rudrich, Regional Director Central Europe & Eastern Europe bei Websense in München, die Studienergebnisse.

Die aktuelle Studie stellt den zweiten Teil der Untersuchung „Exposing the Cybersecurity Cracks: A Global Perspective“ dar. Aus dem ersten Teil ging hervor, dass Security-Verantwortliche dem Abfluss von Daten in ihrem Unternehmen weitgehend machtlos gegenüberstehen: Unter anderem waren im Rahmen der „Deficient, Disconnected and In-the-Dark“ genannten Studie, 69 Prozent der Befragten der Ansicht, dass bereits gelegentliche und vom Sicherheitssystem unbemerkte Cyber-Attacken auf ihr Unternehmen stattgefunden haben.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Analysen & Kommentare, Datendiebstahl, Secure-IT, Security-Analysen, Studie, Websense

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsverantwortliche und Management reden zu wenig miteinander

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *