Das sind die größten Security-Probleme

Welche IT-Sicherheitslösungen bereiten Unternehmen und Institutionen die größten Probleme? Das wollten die Analysten von Techconsult wissen. Eines der Ergebnisse: Bei der Absicherung mobiler Geräte hinken die meisten Unternehmen noch hinterher.

Die Umsetzung anspruchsvoller IT-Security-Lösungen bereitet den meisten Mittelständlern in Deutschland Probleme. Das zeigen die Ergebnisse der Studie »Security Bilanz Deutschland« für die Analysten von Techconsult bereits zum zum dritten 500 Mittelständler aus Industrie, Handel, Banken und Versicherungen, Dienstleistungssektor sowie öffentliche Verwaltungen und Non-Profit-Unternehmen zwischen 20 und 1.999 Mitarbeitern befragt haben.

Mehr als 70 Prozent der Befragten haben die Umsetzung von Sicherheitslösungen, die der Erkennung und Absicherung gegen zielgerichtete Angriffe wie beispielsweise Industriespionage dienen, bisher nicht gut gelöst. Den Unternehmen fehlen häufig Lösungen mit analytischem Ansatz oder auch forensische Tools, um sicherheitsrelevante Vorfälle zu untersuchen. Die Folge: Angriffe und Schwachstellen im System können nicht untersucht werden und im schlimmsten Fall bleiben Attacken lange Zeit unbemerkt.

Die Ergebnisse der Studie zeigen außerdem, dass bei über 70 Prozent der Mittelständler auch die Absicherung mobiler Endgeräte noch nicht gut umgesetzt ist. Die Unternehmensdaten sind damit großflächig nicht vor unbefugtem Zugriff geschützt. Auch die Angreifer wissen, dass mobile Geräte oftmals ungeschützt sind und können sich diese Schwachstellen ausnutzen, um Daten abzugreifen oder Schadsoftware einzuschleusen. Die zentrale Verwaltung und Absicherung von mobilen Endpoints mit Hilfe von Mobile Device Management Lösungen durch die IT-Abteilung ist durch die zunehmende Anzahl dieser Endgeräte unabdingbar geworden.

Unvorbereitet in den Notfall

Die meisten Unternehmen handeln erst, wenn es zu spät ist. Proaktive Maßnahmen, zu denen Security Audits, Penetrationstests und auch regelmäßige Tests und Übungen der Notfall- und Reaktionspläne zählen, werden häufig nicht durchgeführt. Dadurch sind Unternehmen auf Angriffe ebenso schlecht vorbereitet wie auf die dazu gehörigen Abwehrmaßnahmen.

Bei knapp zwei Drittel der Mittelständler ist die mangelt es zudem an der Authentifizierung. Häufig kommen unsichere Authentifizierungsverfahren wie die Ein-Faktor-Authentifizierung zum Einsatz, was Angreifern den Zugang zu IT-Systemen und Unternehmensdaten erleichtert. Mehrfaktorielle Authentifizierungsverfahren mit Smart-Cards oder USB-Tokens, zertifikatsbasierte Authentifizierungsverfahren oder sogar eine biometrische Authentifizierung erschweren den Angreifern viele Angriffsszenarien, wie zum Beispiel Phishing-Angriffe, erheblich.

Die fünfte Sicherheits-Problemstelle im deutschen Mittelstand sind die Mitarbeiter, die vielfach zu schlecht informiert sind. Mitarbeiterfokussierte Maßnahmen werden von zwei Dritteln der Unternehmen nur unzureichend umgesetzt. Jede noch so gute Sicherheitslösung kann durch Unachtsamkeit oder Fehlverhalten der Mitarbeiter im Unternehmen torpediert werden. Mitarbeiter bilden aus Sicht der Angreifer immer das schwächste Glied der IT-Security-Kette. Regelmäßige Übungen und Schulungen sowie Awareness-Kampagnen versetzen Mitarbeiter in die Lage, Angriffe zu erkennen und helfen, sich im Angriffsfall richtig zu verhalten. Selbst einfache Hinweise darauf, wie mit E-Mail-Anhängen unbekannter Absender zu verfahren ist, können das Risiko einer Infektion des Unternehmensnetzwerks bereits massiv verringern. Auch die Mitarbeiter regelmäßig auf aktuelle Gefahren hinzuweisen, kann dabei helfen Angriffsversuche abzuschmettern.