Dell Security Survey 2015: Viele Unternehmen nutzen veraltete Sicherheitstechnik - Sicherheit - Heise Partnerzones Sicherheit . Dell, Cloud, Mobile, Security, Enterprise, Business, Software . Cloud, Mobile und Security: Erfahren Sie alles über die Lösungen von Dell /styles/zones/basis.css

Dell Security Survey 2015: Viele Unternehmen nutzen veraltete Sicherheitstechnik

Gemeinhin steht die Sicherheit im Pflichtenheft für die IT-Struktur ganz weit oben. Umso verwunderlicher ist es, dass viele Unternehmen dieses Thema in der Praxis vernachlässigen. Das zeigt einmal mehr eine aktuelle Sicherheitsstudie von Dell, für die IT-Verantwortliche in 175 deutschen Firmen mit 100 bis mehr als 1.000 Beschäftigten befragt wurden.

Bildquelle: GKSD, de.fotolia.com - 
Bildquelle: GKSD, de.fotolia.com

Autor: Thomas Fischer

Viele Unternehmen haben sich die Sicherheit ihrer IT-Systeme und -Strukturen bereits einiges kosten lassen. Doch mit Einmal-Investitionen ist ein langfristiger Schutz nicht zu erreichen. Die Findigkeit von Cyber-Kriminellen stellt die Sicherheitsverantwortlichen ständig vor neue Herausforderungen und erfordert eine laufende Anpassung der eingesetzten Schutztechnologien.

Diese Problematik ist den IT-Verantwortlichen in deutschen Unternehmen durchaus präsent, doch die Umfrage belegt, dass in der Praxis vielfach noch Mängel bestehen. Beim Dell Security Survey 2015 räumten mehr als die Hälfte (55,4 Prozent) der befragten IT-Verantwortlichen ein, dass die IT-Sicherheit in ihrer Firma nicht auf dem neuesten Stand sei. Dabei schnitten kleinere Unternehmen mit 100 bis 199 Mitarbeitern besser ab als größere.

Bei den Gründen für den Rückstand dominierte mit 57 Prozent die Aussage, dass es bisher noch keine ernsthaften Sicherheitsvorfälle gab. Nahezu gleich oft wurden ein zu geringes Sicherheitsbudget (55,8 Prozent) und fehlendes Personal (54,7 Prozent) genannt, wobei hier Mehrfachnennungen möglich waren.

Bildquelle: Dell Security Survey 2015 - 
Bildquelle: Dell Security Survey 2015

Rundumschutz mangelhaft

Im Jahr 2015 stieg die Zahl der Cyber-Angriffe auf Unternehmensnetzwerke stark an. Dabei gerieten auch Cloud-Plattformen von Firmen vermehrt ins Visier von Kriminellen. Ob Spam- und Phishing-Mails, Zero-Day-Attacken oder andere Malware: Es ist nicht zu erwarten, dass die Flut an immer heimtückischeren Schädlingen auf der Jagd nach Firmengeheimnissen oder personenbezogenen Daten nachlassen wird. Unternehmen, die noch keine einschlägigen Sicherheitsverletzungen registriert haben, sollten sich daher nicht in Sicherheit wähnen. Vielleicht sind sie bereits Opfer von Angriffen geworden, die die vorhandenen Schutzmaßnahmen ausgehebelt haben, aber von einer veralteten Sicherheitstechnik nicht registriert wurden.

In diesem Zusammenhang stellt sich die Frage nach den eingesetzten Schutzlösungen. Hier liefert die Sicherheitsstudie von Dell ebenfalls bedenkliche Ergebnisse: Nur knapp zwei Drittel der befragten Unternehmen (65,2 Prozent) setzten Ende 2015 bereits Intrusion-Detection-Lösungen ein. Diese schlagen sofort Alarm, wenn es im Netzwerk zu ungewöhnlichen Aktivitäten, Datenflüssen und Zugriffen kommt. Ursachen dafür können auch neue Schadprogramme und Angriffsmethoden sein, die von Standard-Schutzmaßnahmen wie Virenwächtern und Firewalls noch gar nicht erfasst werden.

Mit dem Zugriffsmanagement liegt in deutschen Unternehmen ohnehin noch einiges im Argen. Laut dem Dell Security Survey 2015 setzt mehr als ein Drittel (40 Prozent) der befragten Unternehmen (noch) keine professionelle Lösung für das Identity & Access Management ein. Ohne eine strikte Reglementierung von Identitäten und Zugriffsrechten lassen sich Compliance und Datensicherheit jedoch nicht realisieren.

Noch dürftiger sieht es bei Lösungen für Data Loss Prevention (DLP) aus. Diese sollen mit verschiedenen Maßnahmen den unerwünschten Abfluss von Daten verhindern, etwa indem sie die Datenspeicherung auf USB-Datenträgern unterbinden. Dieses effektive Mittel gegen Datendiebstahl setzt jedoch noch nicht einmal jedes dritte befragte Unternehmen (28,4 Prozent) bereits ein.

Bildquelle: Dell Security Survey 2015 - 
Bildquelle: Dell Security Survey 2015

Zukunftsposition CISO

Für den Security Survey 2015 befragte Dell die teilnehmenden IT-Verantwortlichen auch nach dem im Unternehmen explizit für die IT-Sicherheit Zuständigen. Erwartungsgemäß dominierte hier mit 64 Prozent der Nennungen der CIO oder IT-Leiter.

Bildquelle: Dell Security Survey 2015 - 
Bildquelle: Dell Security Survey 2015

Nur fünf der befragten 175 Unternehmen leisten sich bereits einen spezialisierten CISO. Aufgabe des „Chief Information Security Officer“ ist es, losgelöst vom Tagesgeschäft eines CIOs oder IT-Leiters die Informationssicherheit zu gewährleisten. Er hat sicherzustellen, dass alle IT-Systeme im Unternehmen vor Angriffen von innen und außen geschützt sind. Der CISO erarbeitet dazu unter anderem die Ziele und Richtlinien zur IT-Sicherheit und sorgt für deren praktische Umsetzung und laufende Einhaltung. Außerdem überprüft und schult er die Mitarbeiter systematisch in Sachen IT-Sicherheit.

Optimierungspotenziale

Zur obigen Jobbeschreibung eines CISO passt, dass 71,6 Prozent der in der Dell-Studie Befragten eine verstärkte Schulung der Mitarbeiter als effektive Maßnahme ansehen, um die IT-Sicherheit im Unternehmen zu optimieren. 52,9 Prozent sehen zudem Optimierungspotenzial durch den Einsatz externer Partner. Deren Expertise und ihr Blickpunkt von außen können Schwachstellen in der IT-Struktur aufdecken, die intern wegen „Betriebsblindheit“ nicht mehr auffallen oder unbekannt sind. Mit solchen Partnern lassen sich auch verschiedene neue Lösungen diskutieren und Strategien entwickeln.

Erhöhte Sicherheit verspricht sich fast jeder zweite Befragte von besseren Schutzlösungen. Das lässt darauf schließen, dass knapp die Hälfte der Unternehmen mit der aktuell eingesetzten Sicherheitstechnik mehr oder weniger unzufrieden ist.

Eine zentrale IT-Sicherheitsabteilung nennen nur 34,8 Prozent der befragten IT-Verantwortlichen als Optimierungspotenzial. In den meisten deutschen Unternehmen herrscht also noch die alte Silo-Struktur vor, bei der die Verantwortung für die diversen Aspekte der IT-Sicherheit auf mehrere Abteilungen verteilt wird. Mit einer Zentralisierung lässt sich das Risiko von Verletzungen der Sicherheitsrichtlinien minimieren. Die Sicherheitsabteilung definiert und überwacht dann als einzige Institution im Unternehmen sämtliche Schutzrichtlinien und -techniken. Eine solche Organisationsform ist unter dem Strich effektiver und kostengünstiger.

Bildquelle: Dell Security Survey 2015 - 
Bildquelle: Dell Security Survey 2015

Zusammenfassung

Der Dell Security Survey 2015 zeigt, dass in vielen deutschen Unternehmen Mängel bei der IT-Sicherheit bestehen. Jeder zweite der befragten IT-Verantwortlichen gestand ein, dass sein Unternehmen bei den eingesetzten Schutztechnologien nicht auf dem Stand der Technik ist. Unterschätzt werden noch die Vorteile einer zentralen Sicherheitsabteilung mit einem CISO an der Spitze, die Sicherheitsrichtlinien festlegt, deren Einhaltung überwacht und für die Implementierung der nötigen Technik sorgt.

Als Ursachen für den lückenhaften Schutz werden unter anderem fehlende Budgets und Mitarbeiter genannt. Auch das Argument, dass es bisher noch keine ersthaften Sicherheitsprobleme gab, darf keine Legitimation dafür sein, das Thema IT-Sicherheit auszusitzen. Andernfalls gehen Unternehmen ein unkalkulierbares Risiko ein.

Als Ausweg aus diesem Dilemma bietet sich fast immer die Zusammenarbeit mit einem externen Sicherheitsspezialisten an. Dieser kennt alle möglichen Bedrohungsszenarien, kann darauf aufbauend den aktuellen Status des Unternehmens validieren und konkrete Lösungsvorschläge unterbreiten. Ein solcher Partner ist Dell. Er hat Sicherheitslösungen für nahezu für jede Unternehmensgröße und Branchen im Portfolio. Dazu gehören Firewalls der nächsten Generation und SonicWALL-Produkte ebenso wie Lösungen für die Identitäts- und Zugriffsverwaltung sowie für die E-Mail- und Cloud-Sicherheit. Und der Dell-ProSupport steht rund um die Uhr an jedem Tag bei allen Fragen und Problemen rund um die komplette IT-Struktur bereit.

Tipp: Möchten Sie sich auf die Schnelle ein Bild über den aktuellen Sicherheitsstatus Ihres Unternehmens machen? Dann laden Sie die Security-Checkliste herunter. Deren Auswertung liefert Ihnen wichtige Hinweise für einen eventuellen Handlungsbedarf.

Weitere Artikel zum Thema:

Dell Security Survey 2015: Wie gut ist die IT-Sicherheit in deutschen Unternehmen?

Checkliste zur IT-Security

Die Verwaltung von Identitäten und Zugriffsrechten – eine sichere Grundlage

1 | 2