Ein Großteil war bereits von Ransomware betroffen
Während der Pandemie wurden nicht nur Angreifer*innen besonders aktiv, um die Situation rund um Remote Work über Phishing und Ransomware auszunutzen. Auch die IT-Umgebungen selbst haben sich enorm und vor allem rasant gewandelt, um sich an veränderte Wertschöpfungsprozesse anzupassen. Die Cyber Security muss sich analog zu den digitalen Umgebungen und Prozessen weiterentwickeln, die sie gut schützen soll. Allerdings wird es mit zunehmender Komplexität offensichtlich immer schwerer für die Security-Verantwortlichen, hier entsprechend Schritt zu halten.
Obwohl rund 70 Prozent der befragten Unternehmen angeben, bereits Opfer von Ransomware gewesen zu sein, gibt man sich selbstbewusst: Rund 66 Prozent der Befragten stimmen der Aussage zu, aus eigener Kraft, auch ohne externe Dienstleister*innen und Expert*innen, sämtliche zukünftigen IT-Sicherheitsbedrohungen bewältigen zu können. Zu diesen Ergebnissen kommt die IDC Studie „Cybersecurity in Deutschland 2021„. „Die Schnittmenge aus beiden Gruppen ist überraschend groß“, erklärt Marco Becker, Senior Consultant bei IDC und Projektleiter. „Dabei ist gemessen an der Häufigkeit der Ransomware-Vorfälle und der Erfolgsquote der Erpresser eine solche Selbstsicherheit absolut nicht gerechtfertigt“. 41 Prozent der Betroffenen hatten letztendlich Datenverluste, häufig trotz Bezahlung. Und auch ein großer Teil derjenigen, die nicht bezahlt haben, hatte dennoch mindestens Schäden aus dem Ausfall der verschlüsselten Systeme.
Security-Komplexität ist Top-Herausforderung
Rund 60 Prozent der Befragten geben an, dass sie aufgrund der Pandemie und der damit verbundenen Auswirkungen möglichst schnell neue IT-Lösungen einführen mussten und dabei die IT-Sicherheit hinten angestellt haben. Das trägt unmittelbar dazu bei, dass die Security-Komplexität für fast ein Drittel der befragten Security-Verantwortlichen zu den größten Herausforderungen gehört. Neben den immer komplexer werdenden IT-Umgebungen sind auch die Security-Landschaften gewachsen und bestehen in vielen Unternehmen aus dutzenden Lösungen und diversen Anbietern: In den Unternehmen mit bis zu 500 Mitarbeiter*innen haben beispielsweise 17 Prozent der Befragten mehr als 20 Anbieter im Einsatz, in den größeren Unternehmen mit bis zu 2.500 Mitarbeiter*innen gilt das für 30 Prozent der Befragten und jedes zehnte Enterprise-Unternehmen ab 2.500 Mitarbeiter*innen aufwärts betreibt sogar Lösungen von mehr als 35 Anbietern. Diese Security-Landschaften zu überblicken und sinnvoll zu betreiben, wird immer schwieriger und endet nicht selten in einem „Alert Fatigue“ – echte Bedrohungen gehen zunehmend in der schieren Masse von Warnungen unter. Daraus resultierend gehören Malware, Ransomware, Phishing oder APT-Angriffe (Advanced Persistent Threats) wenig überraschend zu den Top-Herausforderungen für jeweils rund ein Viertel der Organisationen.
Lösungen zur Abwehr komplexer Bedrohungen sind zu wenig im Einsatz
Veraltete Security-Prozesse und -Lösungen stellen 21 Prozent der befragten Organisationen vor große Herausforderungen. IDC geht davon aus, dass diese Zahl zu niedrig gegriffen ist und aus der Selbstüberschätzung einiger Unternehmen folgt. „Insbesondere viele der Security Analytics und Intelligence Lösungen haben noch einen niedrigen Einsatzgrad, wie die Studienergebnisse eindeutig zeigen“, sagt Marco Becker, „Meldungen, Alerts und Logs einzelner Lösungen sowie entdeckte Attacken oder Schwachstellen werden dadurch nicht effizient im gesamten Unternehmen geteilt, manche Attacken und Schwachstellen gar nicht erst entdeckt. Stattdessen versacken Alerts unter Umständen in Silos. Das torpediert den Gedanken einer ganzheitlichen und integrierten Security-Umgebung, in der übergreifende Sicherheitsrisiken entdeckt und behandelt werden können“.
Mit dem IT-Sicherheitsgesetz 2.0 werden jetzt sogar für einige Unternehmen Lösungen zur Pflicht, die kontinuierlich und automatisch Angriffe entdecken, identifizieren, vermeiden und wenn möglich auch beseitigen können. Aber auch prinzipiell sind nach Überzeugung von IDC intelligente Security-Lösungen unumgänglich, die auf KI und ML basieren und Anwendern dabei helfen, Security-Prozesse zu orchestrieren und zu automatisieren. Nur so lässt sich die wachsende Zahl der Angriffsvektoren sowie Nutzer und Geräte absichern und die stark steigende Anzahl von Security-Meldungen bearbeiten.
IT-Security hat neben seiner Pflichtaufgabe des Schutzes digitaler Ressourcen mittlerweile für viele Unternehmen noch eine weitere Facette. Rund 75 Prozent der Befragten stimmen zu, dass IT-Security ein wichtiger Wettbewerbsvorteil ist und die eigene Marke schützt, indem sie Vertrauen aufbaut. „Trust“ ist aus Sicht von IDC eine entscheidende Ressource, denn Vertrauen ist nicht nur Basis für Geschäfte, wenn es von Kunden entgegengebracht wird, sondern auch für Business-Ökosysteme und Innovationen mit Partnern.
Derzeit ist die Schere allerdings groß: Während sich erst rund 30 Prozent der Befragten aktiv mit Trust beschäftigen und entsprechende formelle Regeln und Programme zu dessen Schutz aufgebaut haben, stehen auf der anderen Seite rund 45 Prozent, die nicht glauben, dass sich Trust-Probleme auf ihr Geschäft auswirken oder das Thema „Trust“ gar nicht kennen. Der Rest ist sich zwar immerhin der Bedeutung von Trust und dessen Verlusts bewusst, ist aber noch nicht aktiv geworden. Die Ziele bzw. potenziellen Ziele, die in Trust-Programmen gesehen werden, sind deswegen aktuell noch sehr pragmatisch und kurzsichtig ausgerichtet und zielen meist eher auf den Datenschutz (25 Prozent) oder den Schutz sensibler Daten (22 Prozent) und weniger auf den strategischen Aspekt der Wirtschaftlichkeit im Sinne von Umsatz und Kundentreue (9 Prozent). Mit zunehmender Reife digitaler Geschäftsmodelle in sämtlichen Wirtschaftssektoren – vor allem über die IT-Branche hinaus – ist IDC aber fest davon überzeugt, dass Trust zu einem immer wichtigeren Business Asset wird, dessen Schutz extrem hohe Priorität besitzt und dessen Verlust kritisch für Unternehmen sein kann.
Fazit: In puncto IT-Security ist in deutschen Unternehmen viel Luft nach oben
Insgesamt zeichnet die Studie zwar in den deutschen Unternehmen das Bild einer Cybersecurity, die in den meisten Fällen die Basisanforderungen erfüllt, aber für zukünftige Anforderungen nicht ausreichend gewappnet ist. Kulturell gesehen hat Security immer noch einen zu geringen Stellenwert in vielen Unternehmen, sowohl im Management als auch bei Anwendern. Organisatorisch kann die Anwendung moderner Ansätze wie Security by Design oder Zero Trust dabei helfen, diese Defizite zu kompensieren, die Studienergebnisse zeigen aber, dass diese dazu noch zu selten systematisch in sämtlichen IT-Maßnahmen berücksichtigt werden. Und technologisch gesehen, sind zu wenige Advanced Security Lösungen im Einsatz, die auf Automatisierung, Orchestrierung, Analytics und Intelligence setzen.
Viele Unternehmen werden vermehrt Probleme bekommen, die steigende Anzahl von Bedrohungen zu bewältigen und komplexe Angriffe überhaupt zu erkennen. Insbesondere in Zeiten zunehmender, oft auch politisch motivierter Angriffe auf wirtschaftliche Ziele ist das eine höchst bedenkliche Entwicklung. Hier müssen die Unternehmen in jedem Fall handeln, um die eigenen Ressourcen, das Vertrauen der Kunden und damit auch ihre zukünftigen Business-Grundlagen zu schützen. Aus kultureller Sicht ist nach Meinung von IDC vor allem ein Umdenken bei der Wahrnehmung von Security der Schlüssel, um das zu ändern: Weg vom reinen Zweck der Absicherung, hin zu Cybersecurity als kritische Voraussetzung für eine erfolgreiche digitale Transformation und damit modernes digitales Business.
IDC sieht aber auch die Anbieter von IT-Security-Produkten und -Services in der Pflicht: Der Markt für Cyber- und IT-Security wird zunehmend komplizierter. Anwender können moderne Lösungen und ihren Nutzen immer schwieriger voneinander unterscheiden und auch die Lösungen selbst sind ohne spezifisches Fachwissen häufig nur schwer zu betreiben und bedienen. Security-Anbieter müssen hier entsprechend mit Beratung und Schulungen unterstützten, mit anderen Anbietern in Coopetition den Schulterschluss suchen und die Integration ihrer Lösungen in Security Plattformen und Ecosystems vorantreiben und schlussendlich ihre Lösungen Cloud-ready machen. Zudem sollten Security-Anbieter auch verstärkt an der Optimierung ihrer Lösung für Managed Service Provider arbeiten, um gemeinsam auch die komplexen, aber nötigen IT-Security-Lösungen als Managed Service anzubieten zu können.
Für die Studie „Cybersecurity in Deutschland 2021“ hat das Marktforschungs- und Beratungsunternehmen International Data Corporation (IDC) im September 2021 branchenübergreifend Security-Verantwortliche aus 200 Unternehmen mit mehr als 100 Mitarbeiter*innen befragt, um detaillierte Einblicke in die Herausforderungen, Vorgehensweisen und Pläne beim Aufbau und Betrieb von Security-Landschaften im Kontext allgemeiner IT- und Business-Entwicklungen zu erhalten.