Cyber-Angriffe nehmen an Ausdauer zu, Cyber-Kriminelle sind hartnäckiger
McAfee-Report: Das trügerische Gefühl der Sicherheit
Der Bericht "State of Security" des Sicherheitsspezialisten McAfee zeigt, wie IT-Manager die Herausforderungen der Informationssicherheit in einem stark regulierten und komplexen globalen Umfeld bewerten. Der Report zeigt zudem die Prioritäten in der IT-Sicherheit bei Prozessen, Praktiken und Techniken für das Jahr 2012.
Mehr mobile Endgeräte und Anwendungen bestimmen 2012 die Sicherheitsfragen
McAfee: Finger weg von Heidi Klum
Unternehmen sollen mit einem strategischen Plan zur Gefahrenabwehr (Strategic Security Plan – SSP), der eine umfangreiche Analyse der Bedrohung und einen detaillierten Plan zur Risikominderung enthält, eine effektive Informationssicherheit erreichen, so McAfee. Die Umfrage zeigt einige der wichtigsten Tendenzen, denen Unternehmen bei der Entwicklung eines solchen SSPs begegnen.
Für einen Vergleich ordnete McAfee den Reifegrad der Sicherheitssysteme der Unternehmen in vordefinierte Kategorien:
Reaktiv – verwendet einen Ad-hoc-Ansatz zur Definition von Sicherheitsprozessen und ist ereignisgesteuert. Neun Prozent der befragten Unternehmen ordneten sich dieser Kategorie zu.
Compliant – hat einige Sicherheitsmaßnahmen installiert, verfügt jedoch über keine wirkliche Standardisierung. 32 Prozent der befragten Unternehmen gehören dazu.
Proaktiv – folgt standardisierten Sicherheitsrichtlinien, hat zentralisierte Steuerungen und einige integrierte Security-Lösungen. 43 Prozent der Organisationen gehören zu dieser Kategorie.
Optimiert – folgt den Best Practices der Branche und hält die Unternehmensrichtlinien strikt ein. Automatisierte Sicherheitslösungen sind im gesamten Unternehmen integriert. 16 Prozent gehören dazu.
Da Unternehmen über die Grenzen ihrer Büroräume und Firewalls hinaus wachsen, ist die Einhaltung der Sicherheit kompliziert, so Hans-Peter Bauer, Vice President Central & Eastern Europe bei McAfee. Bauer erklärt, dass durch den externen Netzwerkzugang für Geschäftspartner, Leiharbeiter, Kunden oder private Endgeräte der Arbeitnehmer der Betreiber des Netzes keine volle Kontrolle mehr über alle Teilnehmer hat. Ein strategischen Plan zur Gefahrenabwehr sei daher gefordert.
Obwohl Organisationen sich sicher sind, dass sie die wichtigsten Bedrohungen für ihre Umgebungen kennen und wissen, wo sich ihre kritischen Daten befinden, können die meisten mögliche finanzielle Gefahren eines Zwischenfalls nicht abschätzen. Zudem ist ein Drittel der „“Optimized““-Unternehmen unsicher über ihre IT-Sicherheit bezüglich Schadenswahrnehmung und Schutz. Trotz formaler strategischer Pläne glauben 34 Prozent der Unternehmen, dass sie nicht ausreichend gegen mögliche Risiken geschützt sind, so der Bericht.
Strategische Sicherheitspläne berücksichtigen die potenzielle Bedrohungen für Wirtschaft und Finanzen, dennoch erlebten vier von fünf Unternehmen in den letzten zwölf Monaten einen erheblichen Sicherheitsvorfall. Fast ein Drittel hat die aktuellsten Sicherheitslösungen noch nicht gekauft oder noch nicht installiert obwohl mehr als 80 Prozent von ihnen Malware, Spyware und Viren als wichtige Sicherheitsbedrohungen einstufen. Zwei von fünf Unternehmen haben entweder einen inoffiziellen, einen Ad-hoc- oder gar keinen strategischen Sicherheitsplan in Kraft. Das Vorhandensein eines offiziellen SSPs hängt laut dem Bericht meist von der Größe der Organisation ab. Während sechs von zehn große und zwei von drei mittelständische Unternehmen einen Plan haben, ist es bei kleineren Unternehmen nur jedes zweite. Organisationen in Deutschland und Nordamerika haben eher einen offiziellen SSP als in anderen Teilen der Welt. Dies ist auch auf die rechtlichen Rahmenbedingungen in diesen Ländern zurückzuführen.
Zu den Topprioritäten für das Jahr 2012 gehört der Einsatz von strengen Kontrollen zum Schutz wichtiger Unternehmensdaten und die Sicherstellung der Geschäftsfähigkeit. Nur 16 Prozent der Befragten klassifizieren ihre Organisationen als „Optimized“. Zudem pflegen neun Prozent einen reaktiven Ansatz in ihrer IT-Sicherheit. Das IT- und Sicherheitspersonal kann die Führung bei der Entwicklung des Plans übernehmen, die Geschäftsführung muss die Inhalte festlegen und darüber hinaus die Wichtigkeit der Sicherheit in der gesamten Organisation vorgeben. Obwohl 79 Prozent der befragten Unternehmen in den letzten zwölf Monaten Sicherheitsvorfälle hatten, testen 29 Prozent der so genannten Compliant-Unternehmen nicht, wie sie auf einen Vorfall reagieren sollten.
Die Umfrage zeigt, dass 45 Prozent der Unternehmen nicht die aktuellsten Firewalls im Einsatz haben. Zudem setzten 25 Prozent der Befragten keine Tools für die mobile Sicherheit ein. Für das Jahr 2012 sind sich die 495 befragten Organisationen aus den Ländern USA, Kanada, Großbritannien, Deutschland, Frankreich, Brasilien, Australien, Singapur und Neuseeland einig, dass die Umsetzung stärkerer Kontrollen und die Verbesserung der Sicherheitslage insgesamt höchste Priorität haben.
Der Bericht ist unter www.mcafee.com/ssp abrufbar.
Lesen Sie mehr zum Thema
