IT-Studie: Vertrauen geht vor Kontrolle | Die Wirtschaft Direkt zum Inhalt
"IT-Sicherheit muss in Unternehmen eine wesentlich höhere Priorität einnehmen": Achim Kaspar, General Manager von Cisco Austria

IT-Studie: Vertrauen geht vor Kontrolle

06.10.2016

Die IT-Bedrohungslandschaft hat sich in den letzten zehn Jahren drastisch verändert. An die Stelle einzelner Hacker sind organisierte Gruppen von Cyberkriminellen getreten, die Unternehmen erhebliche Schäden zufügen können. Vor dem Hintergrund dieser Entwicklung hat Cisco in einer Umfrage unter 250 heimischen Führungskräften erhoben, wie es um die IT-Sicherheit in Österreichs Unternehmen und das subjektive IT-Sicherheitsgefühl bestellt ist.

 

Achim Kaspar, General Manager Cisco Austria umreißt die aktuelle Entwicklung so: „Die Digitalisierung schreitet in allen öffentlichen und privaten Bereichen unaufhaltsam voran. Alles wird digitalisiert, was sich digitalisieren lässt. Gleichzeitig haben wir es mit immer professioneller, organisierter Cyberkriminalität zu tun. Daher rückt auch die IT-Sicherheit zunehmend in den Fokus, dem sich Cisco nun seit mehreren Jahren mit hoher Priorität widmet. Die Österreich-Umfrage unter Führungskräften von Unternehmen zeigt ganz deutlich eine Diskrepanz zwischen faktischen IT-Sicherheitsvorfällen in Österreichs Unternehmen und dem subjektiven Sicherheitsgefühl österreichischer Führungskräfte. Darüber hinaus ist IT-Sicherheit in Österreich noch immer nicht Chefsache. Diese Entwicklung ist Besorgnis erregend, denn IT-Sicherheit muss in Unternehmen eine wesentlich höhere Priorität einnehmen.“

Führungskräfte wähnen sich in Sicherheit

Zwei Drittel der befragten Führungskräfte sind nicht über mögliche Cybersecurity-Angriffe gegen ihr Unternehmen besorgt, die Minderheit – etwa ein Drittel (33 %) – sind zumindest etwas besorgt. Dabei gab nur jeder zweite Befragte an, dass er gut (37 %) bzw. sehr gut (18 %) über die IT-Sicherheit seines eigenen Unternehmens informiert ist. Aber: Fast drei Viertel (74 %) hatten in den letzten 12 bis 18 Monaten einen Sicherheitsvorfall. Davon hatten 29 Prozent einen dadurch bedingten Systemausfall, 21 Prozent sogar einen Datenverlust. Jedoch nur 8 Prozent melden einen Sicherheitsvorfall an die Behörde. Die Umfrage zeigte darüber hinaus, dass die Verantwortlichkeit für IT-Sicherheit bzw. Entscheidung für entsprechende Maßnahmen nur bei jedem zweiten Unternehmen (51 %) bei der Geschäftsführung liegt. „Ein Produktionsstillstand aufgrund eines Systemausfalls oder der Verlust von vertraulichen Daten sind schwerwiegende Folgen von cyberkriminellen Angriffen und zeigen, dass die Unternehmen nicht ausreichend geschützt sind. Wenn der Geschäftsführer für den Unternehmenserfolg verantwortlich ist, dann müsste demzufolge auch die IT-Sicherheit in seinem persönlichen Interesse bzw. Verantwortungsbereich liegen“, warnt Achim Kaspar. „Da nur ein geringer Prozentsatz Sicherheitsvorfälle an eine öffentliche Behörde oder aber auch dem IT-Lieferanten oder Provider meldet, gehen wir davon aus, dass die Dunkelziffer von Cyberattacken sehr, sehr hoch ist“, folgert Kaspar weiter.

Partner und Lieferanten als Sicherheitsproblem

Führungskräfte österreichischer Unternehmen wurden auch gefragt, ob sie sich vergewissern, wie ihre Lieferanten oder Partner gespeicherte Kundendaten schützen und welche IT-Sicherheitstechnologien sie einsetzen. Etwa zwei Drittel (68 %) erheben den Stand der IT-Sicherheit ihres Partners bzw. Lieferanten nicht. „Hier muss noch Bewusstsein dafür geschaffen werden, dass Partner oder Lieferanten, die nicht ausreichend geschützt sind, als Einfallstor für Cyberkriminelle genutzt werden und somit ein Sicherheitsproblem für Unternehmen darstellen können. Es ist daher zu empfehlen, bei einer geschäftlichen Zusammenarbeit auch diesen Aspekt vertraglich zu sichern“, empfiehlt Kaspar.

IT-Sicherheit wichtig für Geschäftserfolg – aber kein Geld für Security-Updates

Die Bedeutung von IT-Sicherheit ist für heimische Geschäftsführer und Führungskräfte unbestritten: IT-Sicherheit ist für die Vertrauenswürdigkeit eines Unternehmens wichtig (73 %) – für 35 Prozent sogar sehr wichtig – und fördert den Unternehmenserfolg (66 %). Mehr als die Hälfte (60 %) der Befragten ist allerdings der Meinung, dass IT-Sicherheit mit einem hohen Kostenaufwand verbunden ist. Budgetrestriktionen (32 %), Probleme aufgrund der Kompatibilität mit vorhandener IT-Infrastruktur (30 %) und unterschiedliche Prioritäten (28 %) wurden auch als größte Hürden für ein umfassendes IT-Security-Update in Unternehmen genannt. Dazu Kaspar: „IT-Sicherheit ist für den Geschäftserfolg und Innovationen essenziell, denn nur dann haben neu entwickelte Geschäftsmodelle auch eine Zukunft. Die Technologieindustrie bietet bereits jetzt eine breite Palette an Security-Lösungen für unterschiedliche Anforderungen an. Angesichts der zunehmenden Bedrohungen aus dem Internet können sich Unternehmen es sich nicht leisten, bei der IT-Sicherheit zu sparen“, sagt Achim Kaspar.

Integrierte IT-Security-Architektur schützt die Infrastruktur vor, während und nach dem Angriff

Cisco veröffentlicht zweimal im Jahr einen Report mit Informationen und statistische Daten über aktuelle Bedrohungen und Sicherheitsschwachstellen – den Cisco Annual Security Report und den Cisco Midyear Cybersecurity Report. Im aktuellem Cisco Midyear Cybersecurity Report 2016 warnen Sicherheitsexperten von Cisco vor Erpressersoftware (Ransomware), mit der Unternehmen zunehmend konfrontiert sind. Dabei erpressen Cyberkriminelle Computernutzer, indem sie die Daten auf dem Computer mit einer starken Verschlüsselung unlesbar machen und für die Herausgabe des Schlüssels Lösegeld verlangen. Diese Art von Cyberangriffen ist inzwischen der profitabelste Malware-Typ in der Geschichte der IT und wird bis Ende 2016 zu einem Milliarden-Markt.

Achim Kaspar über den aktuellen IT-Security-Ansatz von Cisco: „Eine einfache Firewall oder nur der Schutz von Endgeräten reicht heute schon lange nicht mehr aus. Es ist ein integrierter Technologieansatz notwendig, bei dem die Sicherheit schon im Netzwerk greift, bevor die Schadware die Endgeräte erreicht. Moderne Analytics-Technologien haben in der Sicherheitstechnologie zudem zu einem Paradigmenwechsel geführt: Intelligente Sicherheitsmodelle schützen IT-Systeme bereits vor, während und nach einem IT-Security-Angriff.“

Mit einfachen Maßnahmen kann die Sicherheit eines Unternehmens deutlich erhöht werden:

• Mit rechtzeitigem Patchen und Upgraden der Netzwerk-Infrastruktur und darauf basierender Anwendungen lassen sich zumindest die bekannten Sicherheitslücken schließen, wodurch schon ein großer Teil der Angriffe abgewehrt wird.

• Das Netzwerk sollte durch geeignete Monitoring-Lösungen ständig überwacht werden, um verdächtige Aktivitäten sofort zu erkennen. Schon heute lässt sich die Entdeckungszeit („Time to Detection“, TTD) deutlich reduzieren.

• Lösungen zur Netzwerk-Segmentierung grenzen den Schaden ein, sobald einige Systeme von Malware betroffen sind.

• Maßnahmen wie E-Mail- und Web-Security, Next-Generation Firewalls und Next-Generation Intrusion-Prevention-Systeme sowie DNS-Sicherheitslösungen sind heute bereits Standard.

• Mobile Systeme von Mitarbeitern sind ebenso abzusichern wie das Unternehmensnetzwerk.

• Backups für wichtige Daten sollten regelmäßig durchgeführt werden.

• Es sollte ein umfassender Architektur-Ansatz statt Einzelprodukte genutzt werden. Dadurch entsteht eine bessere Sichtbarkeit und die Gefahr von Konfigurationsfehlern wird deutlich kleiner.

• Messungen sollten Teil der IT-Richtlinien sein, wie etwa die Messung der Häufigkeit der Angriffe, die Erfolgsquote der Abwehr oder die Zeit zur Entdeckung von Malware.

Weitere Informationen:
- Cisco 2016 Annual Security Report – hier
- Cisco 2016 Midyear Cybersecurity Report – hier
- Präsentation der Studienergebnisse – hier

Werbung

Weiterführende Themen

Meldungen
07.11.2011

Der Fachverband Ubit lädt zum 9. Österreichischen IT- und Beratertag. Passend zum diesjährigen Beratertagsmotto „Weltmarktführer aus Österreich“ werden den rund 1.600 Teilnehmern des 9. ...

Aktuelles Heft
20.06.2011

Die Kollegen von der EDV-Abteilung machen zwar seichte Witze über Betriebssysteme; für die Unkenntnis ihrer Kollegen haben sie aber keinen Nerv. Und von Serviceorientierung kann gar keine Rede ...

Meldungen
03.06.2011

Tipps von Rik Ferguson, „Director Security Research & Communication EMEA“ beim IT-Sicherheitsanbieter Trend Micro

Aktuelles Heft
13.12.2010

Welche Risiken Social Networks und Mobilität für die IT bringen

Werbung