Startseite > Security > Die unterschätzte Gefahr

IT-Sicherheit

Die unterschätzte Gefahr

8. Januar 2020, 16:00 Uhr | Autor: Gerd Pflueger / Redaktion: Diana Künstler

Auf der einen Seite steigen die Sicherheitsausgaben. Auf der anderen Seite werden die Schäden größer mit schwerwiegenderen Folgen. Eine Erhöhung des Budgets für IT- Sicherheit allein wird das Problem also nicht lösen. Wie Unternehmen ihre IT-Sicherheit dennoch verbessern können.

Die IT-Sicherheitsbranche hat ihre Kunden enttäuscht. Trotz einer Vielzahl an Investitionen ergab eine aktuelle Studie, dass nur ein Viertel der Führungskräfte in Europa, dem Nahen Osten und Afrika von ihrer aktuellen IT-Sicherheit überzeugt sind. Weniger als ein Fünftel (18 Prozent) vertraut auf die Fähigkeit ihrer Mitarbeiter, Sicherheitsprobleme zu erkennen und zu beheben. Wir leben heute in einer Welt von großer Komplexität, mit einer Vielzahl an Interaktionen, vernetzten Geräten, Sensoren, dezentral organisierten Mitarbeitern und der Cloud. Diese Veränderungen maximieren das Risiko und die möglichen Angriffsflächen für Cyberkriminalität. Doch sind Unternehmen heute in der Lage, sich in diesem neuen digitalen Zeitalter hinreichend zu schützen?

Wie stellen sich Unternehmen auf diese Situation ein? Sie erhöhen die Investitionen: 83 Prozent der Befragten planen in den nächsten drei Jahren den Kauf oder die Installation neuer Sicherheitsprodukte. Diese angekündigte Investitionsbereitschaft ist lobenswert. Aber ist diese Investitionslücke womöglich der Grund dafür, warum Unternehmen wenig Vertrauen in ihre Fähigkeit haben, Cyber-Bedrohungen zu begegnen? Kaum: IDC prognostiziert, dass die weltweiten Ausgaben für sicherheitsrelevante Hardware, Software und Dienstleistungen im Jahr 2019 103,1 Milliarden Dollar erreichen werden, was einem Anstieg von 9,4 Prozent gegenüber 2018 entspricht.

Auf der einen Seite steigen die Sicherheitsausgaben. Auf der anderen Seite werden die Schäden größer mit schwerwiegenderen Folgen. Nach Angaben der EU haben sich die wirtschaftlichen Auswirkungen der Cyberkriminalität von 2013 bis 2017 verfünffacht. Daraus lässt sich folgern, dass eine Erhöhung des Budgets für IT- Sicherheit allein das Problem nicht lösen wird. Grundsätzlich sind Investitionen natürlich notwendig. Es geht aber um die richtige Art von Investitionen und um ein Umdenken bei der Absicherung unserer Daten, Anwendungen, Netzwerke und letztlich der kompletten Organisation.

Drei Schritte zu Verbesserung der IT-Sicherheit
Unternehmen sollten sich auf drei Bereiche fokussieren. Die rein reaktive Gefahrenerkennung reicht nicht aus, stattdessen sollten Anwendungen und intrinsische Sicherheit im Mittelpunkt stehen. Warum sollte man sich nicht allein auf das reaktive Identifizieren von Gefahren konzentrieren? In der Vergangenheit konzentrierten sich die IT-Sicherheitsausgaben genau auf diesen Bereich. Die Studie zeigt, dass 80 Prozent der Investitionen in die IT-Sicherheit auf reaktive Maßnahmen ausgerichtet sind. Gleichzeitig fließen 72 Prozent der Venture-Capital-Finanzierungen in Sicherheits-Start-ups. Mehr als die Hälfte (54 Prozent) der Befragten geben an, dass sie mehr Budget für das Aufspüren und Erkennen von Angriffen bereitstellen wollen.

Mehr in die Prävention investieren
Wenn man jedoch ständig dem nächsten Sicherheitsrisiko hinterherläuft, ist man bereits im Rückstand. Cyber-Bedrohungen entwickeln sich rasant weiter – wenn die Strategie lediglich auf die Erkennung von bestehenden Sicherheitsrisiken ausgerichtet ist, kann man sich bestenfalls gegen Trittbrettfahrer verteidigen. Die große Gefahr geht jedoch von Angreifern aus, die neue Varianten entwickeln oder eine neue Angriffsfläche suchen.

Mit diesem Ansatz stellt sich nicht die Frage, ob sondern viel mehr, wann die Verteidigungswälle durchbrochen werden: Alle 14 Sekunden findet ein Ransomware-Angriff statt. Nur in die Erkennung von Sicherheitsrisiken zu investieren bedeutet, weniger Ressourcen für andere Sicherheitsmaßnahmen zu haben. Trotzdem sollte die reaktive Erkennung von Sicherheitsrisiken nicht ganz vernachlässigt werden. Aber ein Paradigmenwechsel ist unerlässlich. Angesichts der unvermeidbaren Angriffe in der Realität kommt es darauf an, wie schnell wir sie erkennen und wirksame Gegenmaßnahmen treffen können. Es muss mehr Wert auf proaktive, präventive Maßnahmen gelegt werden – im Wesentlichen solche, die die Angriffsfläche reduzieren. Kurz gesagt, Investitionen in die Gefahrenerkennung machen Sinn, es sollte aber mehr für die Prävention ausgegeben werden.