Security-Verantwortliche stehen Datendiebstahl oft machtlos gegenüber
In Kooperation mit dem Sicherheitsunternehmen Websense hat das Ponemon-Institut eine weltweite, zweiteilige Untersuchung zur aktuellen IT-Sicherheitssituation in Unternehmen durchgeführt. Hierfür wurden Firmen unterschiedlicher Branchen – unter anderem aus dem Gesundheitswesen und dem Finanzbereich – herangezogen. Etwa 5000 CIOs (Chief Information Officer) und CSOs (Chief Security Officer) aus 15 Ländern (darunter Deutschland, USA und Italien) mit mehr als zehn Jahren Berufserfahrung wurden zur Effektivität ihrer Sicherheitssysteme, der Einschätzung des Wertes ihrer vertraulichen Daten sowie zu ihrem Kenntnisstand über cyberkriminelle Aktivitäten und deren Folgen für ihr Unternehmen und dessen Daten befragt. Die Ergebnisse des ersten Teils der Studie: “Exposing the Cybersecurity Cracks: A Global Perspective” (PDF) wurden nun veröffentlicht.
Der Untersuchung zufolge ist es um die Effektivität der Sicherheitslösungen in Unternehmen schlecht bestellt: So gehen etwa 69 Prozent der Befragten davon aus, dass bereits gelegentliche und vom Sicherheitssystem unbemerkte Cyber-Attacken auf ihr Unternehmen stattgefunden haben. Darüber hinaus sind immerhin 44 Prozent der teilnehmenden Firmen im vergangenen Jahr ein- oder mehrmals erheblich von Cyberkriminellen angegriffen worden, was bedeutet, dass deren Netzwerk zumindest einmal infiltriert wurde. Zudem gibt etwa die Hälfte (51 Prozent) der befragten Security-Verantwortlichen an, ihre Sicherheitslösung informiere sie nicht ausreichend über die Kernursachen einer Attacke.
“Das ist für Sicherheitssysteme kein gutes Zeugnis”, stellt Michael Rudrich, regionaler Geschäftsführer für Mittel- und Osteuropa bei Websense, hierzu fest. Dazu passt auch die Aussage von Symantec-Manager Brian Dye, der Antivirenlösungen technisch für “zum Scheitern verurteilt” hält und zudem erklärt, sie seien “kein Verkaufsschlager mehr”.
“Die Bedrohungslandschaft hat sich verändert. Während vor zehn Jahren noch klassische Viren auf PCs eingeschleust wurden, um darauf enthaltene Daten zu zerstören, stehlen Cyberkriminelle heutzutage vertrauliche Daten, da sie damit wirtschaftliche Interessen verfolgen”, sagt hingegen Uwe Hartmann, Channel-Manager für Mitteleuropa bei Websense. Doch auch gegen fortgeschrittene Cyberattacken fühlt sich die Mehrheit der Befragten nicht gewappnet: So gaben 63 Prozent an, dass sie Zweifel daran haben, den unerwünschten Abfluss von Unternehmensdaten überhaupt stoppen zu können.
Die Studie hat weiterhin ergeben, dass Unternehmen ihren zu schützenden Daten offenbar nicht genügend Wert beimessen: So berichten 80 Prozent der Security-Verantwortlichen, dass die Führungskräfte ihres Unternehmens den Verlust vertraulicher Daten nicht mit einem erlittenen Umsatzverlust gleichsetzen.
Dem steht eine weitere aktuelle Studie des Ponemon-Instituts gegenüber. Sie besagt, dass Datenverlust beträchtliche finanzielle Konsequenzen für betroffene Firmen hat. Sie beziffert den wirtschaftlichen Schaden, der aufgrund einer einzigen Datenpanne entsteht, auf 5,4 Millionen Dollar. “Der Verlust von vertraulichen Unternehmensdaten ist langfristig schlimmer zu bewerten als der generelle Verlust an Umsatz”, lautet daher auch die Einschätzung von Michael Rudrich. Datenverlust sei schließlich existenzgefährdend – etwa dann, wenn Firmengeheimnisse an die Konkurrenz durchsickern.
Eine weitere Erkenntnis der Studie betrifft den Wissensstand von Unternehmen hinsichtlich der verschiedenen Angriffsarten und deren Auswirkungen auf die Firmendaten: So glaubt weniger als die Hälfte (41 Prozent) der Security-Verantwortlichen, über die vielfältigen Bedrohungen, denen ihr Unternehmen ausgesetzt ist, ausreichend informiert zu sein. Über ein Drittel (35 Prozent) der Befragten weiß zudem nicht einmal, welche vertraulichen Firmeninformationen ihnen bei einem bereits erfolgten Angriff überhaupt verloren gegangen sind. Hinzu kommt laut Studie, dass Führungskräfte in Unternehmen unterdurchschnittlich wenig Verständnis für Sicherheitsthemen aufbringen. Das sagt immerhin fast die Hälfte der hierzu Befragten (48 Prozent).
Websense will den Firmen bei der Aufklärungsarbeit helfen, wie Rudrich erklärt: “Unser Ziel ist die Steigerung des Sicherheitsbewusstseins bei den Unternehmen. Wir wollen, dass sie besser über die Bedrohungslandschaft Bescheid wissen.” Daher fordert er die Firmen dazu auf, mehr Geld in die Aufarbeitung von Cyberattacken zu investieren: “Im Vergleich zum klassischen Malware-Schutz wird einfach zuwenig Geld in die IT-Forensik gesteckt. Die Unternehmen wissen somit nicht, welche Daten von Angriffen betroffen waren oder sind.”
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Umfrage
Leser-Umfrage: In welcher Unternehmensabteilung sind Sie beschäftigt?
- Buchhaltung (2%, 2 Stimme(n))
- Marketing (9%, 11 Stimme(n))
- IT (67%, 84 Stimme(n))
- Personal (4%, 5 Stimme(n))
- Verkauf (18%, 23 Stimme(n))
Gesamt: 125