Während der Pandemie wurden nicht nur Angreifer besonders aktiv, um die Situation rund um Remote Work über Phishing und Ransomware auszunutzen. Auch die IT-Umgebungen selbst haben sich enorm und vor allem rasant gewandelt, um sich an veränderte Wertschöpfungsprozesse anzupassen. Die Cybersecurity muss sich analog zu den digitalen Umgebungen und Prozessen weiterentwickeln, die sie schützen soll. Allerdings wird es mit zunehmender Komplexität offensichtlich immer schwerer für die Security-Verantwortlichen, hier entsprechend Schritt zu halten. Die neue IDC Studie „Cybersecurity in Deutschland 2021“ hat aufgedeckt, wo aktuelle und zukünftige Herausforderungen liegen und wie Unternehmen sie lösen wollen:

• 70 % der befragten Unternehmen waren bereits Opfer von Ransomware
• Mit 29 % benennt fast ein Drittel der Befragten die vorherrschende und weiter steigende Security-Komplexität als Top-Herausforderung
• Fast die Hälfte der Organisationen beschäftigt sich noch nicht mit „Digital Trust“

IDC hat im September 2021 in Deutschland branchenübergreifend Security-Verantwortliche aus 200 Unternehmen mit mehr als 100 Mitarbeitern befragt, um detaillierte Einblicke in die Herausforderungen, Vorgehensweisen und Pläne beim Aufbau und Betrieb von Security-Landschaften im Kontext allgemeiner IT- und Business-Entwicklungen zu erhalten.

Ein Großteil der befragten Unternehmen war bereits von Ransomware betroffen - und gibt sich dennoch selbstsicher

Obwohl rund 70 Prozent der Unternehmen angeben, bereits Opfer von Ransomware gewesen zu sein, gibt man sich selbstbewusst: Rund 66 Prozent der Befragten stimmen der Aussage zu, aus eigener Kraft, auch ohne externe Dienstleister und Experten, sämtliche zukünftigen IT-Sicherheitsbedrohungen bewältigen zu können. „Die Schnittmenge aus beiden Gruppen ist überraschend groß“, erklärt Marco Becker, Senior Consultant bei IDC und Projektleiter. „Dabei ist gemessen an der Häufigkeit der Ransomware-Vorfälle und der Erfolgsquote der Erpresser eine solche Selbstsicherheit absolut nicht gerechtfertigt“. 41 Prozent der Betroffenen hatten letztendlich Datenverluste, häufig trotz Bezahlung. Und auch ein großer Teil derjenigen, die nicht bezahlt haben, hatte dennoch mindestens Schäden aus dem Ausfall der verschlüsselten Systeme.

Security-Komplexität ist Top-Herausforderung – und häufig Ursache für erfolgreiche Angriffe

Rund 60 Prozent der Befragten geben an, dass sie aufgrund der Pandemie und der damit verbundenen Auswirkungen möglichst schnell neue IT-Lösungen einführen mussten und dabei die IT-Sicherheit hinten angestellt haben. Das trägt unmittelbar dazu bei, dass die Security-Komplexität für fast ein Drittel der befragten Security-Verantwortlichen zu den größten Herausforderungen gehört. Neben den immer komplexer werdenden IT-Umgebungen sind auch die Security-Landschaften gewachsen und bestehen in vielen Unternehmen aus dutzenden Lösungen und diversen Anbietern: In den Unternehmen mit bis zu 500 Mitarbeitern haben beispielsweise 17 Prozent der Befragten mehr als 20 Anbieter im Einsatz, in den größeren Unternehmen mit bis zu 2.500 Mitarbeiter gilt das für 30 Prozent der Befragten und jedes zehnte Enterprise-Unternehmen ab 2.500 Mitarbeitern aufwärts betreibt sogar Lösungen von mehr als 35 Anbietern. Diese Security-Landschaften zu überblicken und sinnvoll zu betreiben, wird immer schwieriger und endet nicht selten in einem „Alert Fatigue“ – echte Bedrohungen gehen zunehmend in der schieren Masse von Warnungen unter. Daraus resultierend gehören Malware, Ransomware, Phishing oder APT-Angriffe (Advanced Persistent Threats) wenig überraschend zu den Top-Herausforderungen für jeweils rund ein Viertel der Organisationen.

Intelligente Ansätze und Lösungen zur Abwehr komplexer Bedrohungen sind nicht häufig genug im Einsatz

Veraltete Security-Prozesse und -Lösungen stellen 21 Prozent der befragten Organisationen vor große Herausforderungen. IDC geht davon aus, dass diese Zahl zu niedrig gegriffen ist und aus der Selbstüberschätzung einiger Unternehmen folgt. „Insbesondere viele der Security Analytics und Intelligence Lösungen haben noch einen niedrigen Einsatzgrad, wie die Studienergebnisse eindeutig zeigen“, sagt Marco Becker, „Meldungen, Alerts und Logs einzelner Lösungen sowie entdeckte Attacken oder Schwachstellen werden dadurch nicht effizient im gesamten Unternehmen geteilt, manche Attacken und Schwachstellen gar nicht erst entdeckt. Stattdessen versacken Alerts unter Umständen in Silos. Das torpediert den Gedanken einer ganzheitlichen und integrierten Security-Umgebung, in der übergreifende Sicherheitsrisiken entdeckt und behandelt werden können“.

Mit dem IT-Sicherheitsgesetz 2.0 werden jetzt sogar für einige Unternehmen Lösungen zur Pflicht, die kontinuierlich und automatisch Angriffe entdecken, identifizieren, vermeiden und wenn möglich auch beseitigen können. Aber auch prinzipiell sind nach Überzeugung von IDC intelligente Security-Lösungen unumgänglich, die auf KI und ML basieren und Anwendern dabei helfen, Security-Prozesse zu orchestrieren und zu automatisieren. Nur so lässt sich die wachsende Zahl der Angriffsvektoren sowie Nutzer und Geräte absichern und die stark steigende Anzahl von Security-Meldungen bearbeiten.

„Trust“ wird grundsätzlich als Wettbewerbsvorteil gesehen, aber nur wenige Unternehmen beschäftigen sich damit

IT-Security hat neben seiner Pflichtaufgabe des Schutzes digitaler Ressourcen mittlerweile für viele Unternehmen noch eine weitere Facette. Rund 75 Prozent der Befragten stimmen zu, dass IT-Security ein wichtiger Wettbewerbsvorteil ist und die eigene Marke schützt, indem sie Vertrauen aufbaut. „Trust“ ist aus Sicht von IDC eine entscheidende Ressource, denn Vertrauen ist nicht nur Basis für Geschäfte, wenn es von Kunden entgegengebracht wird, sondern auch für Business-Ökosysteme und Innovationen mit Partnern.

Derzeit ist die Schere allerdings groß: Während sich erst rund 30 Prozent der Befragten aktiv mit Trust beschäftigen und entsprechende formelle Regeln und Programme zu dessen Schutz aufgebaut haben, stehen auf der anderen Seite rund 45 Prozent, die nicht glauben, dass sich Trust-Probleme auf ihr Geschäft auswirken oder das Thema „Trust“ gar nicht kennen. Der Rest ist sich zwar immerhin der Bedeutung von Trust und dessen Verlusts bewusst, ist aber noch nicht aktiv geworden. Die Ziele bzw. potenziellen Ziele, die in Trust-Programmen gesehen werden, sind deswegen aktuell noch sehr pragmatisch und kurzsichtig ausgerichtet und zielen meist eher auf den Datenschutz (25 Prozent) oder den Schutz sensibler Daten (22 Prozent) und weniger auf den strategischen Aspekt der Wirtschaftlichkeit im Sinne von Umsatz und Kundentreue (9 Prozent). Mit zunehmender Reife digitaler Geschäftsmodelle in sämtlichen Wirtschaftssektoren – vor allem über die IT-Branche hinaus – ist IDC aber fest davon überzeugt, dass Trust zu einem immer wichtigeren Business Asset wird, dessen Schutz extrem hohe Priorität besitzt und dessen Verlust kritisch für Unternehmen sein kann.

Fazit: In puncto IT-Security ist in deutschen Unternehmen viel Luft nach oben

Insgesamt zeichnet die Studie zwar in den deutschen Unternehmen das Bild einer Cybersecurity, die in den meisten Fällen die Basisanforderungen erfüllt, aber für zukünftige Anforderungen nicht ausreichend gewappnet ist. Kulturell gesehen hat Security immer noch einen zu geringen Stellenwert in vielen Unternehmen, sowohl im Management als auch bei Anwendern. Organisatorisch kann die Anwendung moderner Ansätze wie Security by Design oder Zero Trust dabei helfen, diese Defizite zu kompensieren, die Studienergebnisse zeigen aber, dass diese dazu noch zu selten systematisch in sämtlichen IT-Maßnahmen berücksichtigt werden. Und technologisch gesehen, sind zu wenige Advanced Security Lösungen im Einsatz, die auf Automatisierung, Orchestrierung, Analytics und Intelligence setzen.

Viele Unternehmen werden vermehrt Probleme bekommen, die steigende Anzahl von Bedrohungen zu bewältigen und komplexe Angriffe überhaupt zu erkennen. Insbesondere in Zeiten zunehmender, oft auch politisch motivierter Angriffe auf wirtschaftliche Ziele ist das eine höchst bedenkliche Entwicklung. Hier müssen die Unternehmen in jedem Fall handeln, um die eigenen Ressourcen, das Vertrauen der Kunden und damit auch ihre zukünftigen Business-Grundlagen zu schützen. Aus kultureller Sicht ist nach Meinung von IDC vor allem ein Umdenken bei der Wahrnehmung von Security der Schlüssel, um das zu ändern: Weg vom reinen Zweck der Absicherung, hin zu Cybersecurity als kritische Voraussetzung für eine erfolgreiche digitale Transformation und damit modernes digitales Business.

IDC sieht aber auch die Anbieter von IT-Security-Produkten und -Services in der Pflicht: Der Markt für Cyber- und IT-Security wird zunehmend komplizierter. Anwender können moderne Lösungen und ihren Nutzen immer schwieriger voneinander unterscheiden und auch die Lösungen selbst sind ohne spezifisches Fachwissen häufig nur schwer zu betreiben und bedienen. Security-Anbieter müssen hier entsprechend mit Beratung und Schulungen unterstützten, mit anderen Anbietern in Coopetition den Schulterschluss suchen und die Integration ihrer Lösungen in Security Plattformen und Ecosystems vorantreiben und schlussendlich ihre Lösungen Cloud-ready machen. Zudem sollten Security-Anbieter auch verstärkt an der Optimierung ihrer Lösung für Managed Service Provider arbeiten, um gemeinsam auch die komplexen, aber nötigen IT-Security-Lösungen als Managed Service anzubieten zu können.

Coverage