Falsche Schwerpunkte beim Security-Management führen zu Sicherheitsrisiken
Ponemon-Studie: Risikobasierendes Sicherheits-Management
Das auf automatisierte Security und IT-Compliance spezialisierte Unternehmen Tripwire und das Ponemon Institute gaben kürzlich die Ergebnisse einer Untersuchung zum aktuellen Status des risikobasierenden Security-Managements (RBSM) in Deutschland bekannt. Für die internationale Studie befragte man 2.145 Personen in Unternehmen unterschiedlicher Größen und Branchen in Deutschland, den USA, Großbritannien und den Niederlanden.
Studie: Zunehmende Gefahr durch Datenverlust und Schadsoftware
Firemon stellt komplette Sicherheits-Management-Lösung vor
SIEM-Lösung ohne die übliche Komplexität
Kaspersky: Security soll die IT-Performance nicht schmälern
Der Bericht zeigt den aktuellen Status von Risiko-Management auf und gibt einen Einblick in die Erwartungen, die deutsche Unternehmen an RBSM-Maßnahmen knüpfen. Darüber hinaus gibt die Studie eine Orientierung, wie Organisationen ihre Security-Maßnahmen verstärken und durch risikobasierende Ansätze einen Mehrwert für ihren Geschäftsbetrieb erzielen können. Zudem erhalten Unternehmen Empfehlungen für eine Risikominimierung, die Absicherung der Geschäftsdaten und das frühzeitige Erkennen von Cyber-Attacken und Datenschutzverletzungen, so Ponemon.
Die Untersuchungsergebnisse zeigen, dass deutsche Unternehmen den Erfolg von RBSM-Programmen messen, indem sie versuchen, erzielte Kostenreduktionen nachzuweisen. Eine derartige Erfolgsmessung kann laut Ponemon zu falschen Annahmen und in der Folge zu falschen Verhaltensweisen und erhöhten Sicherheitsrisiken führen. Die Unternehmen sollten den Marktanalysten zufolge bessere Messverfahren etablieren und nutzen, zum Beispiel um die Qualität der Konfiguration, die Effektivität der Security Controls und tatsächliche Fortschritte im Security-Programm zu prüfen. Ohne diese „guten“ Messparameter seien die Organisationen nicht in der Lage, einen Programmerfolg aufzuweisen.
Weiter zeigt der Bericht, dass die zugeteilten Security-Ausgaben nicht auf die wahrgenommenen Risiken abgestimmt sind. In Deutschland machen die Unternehmen laut der Studie große Fortschritte bezüglich der Nutzung vorbeugender Sicherheitskontrollen. So genannte „Detective Controls“ zur Gefahrenerkennung sind jedoch Mangelware und die Organisationen sind in der Folge nicht in der Lage, ihre Sicherheitskontrollen zu identifizieren, zu implementieren und kontinuierlich zu überwachen. Um hier bessere Ergebnisse zu erzielen, sollten die Unternehmen eine angemessene Balance zwischen vorbeugenden und auf deckenden Sicherheitsmaßnahmen schaffen.
Ein großer Teil der deutschen Unternehmen (84 Prozent) gibt an, sich signifikant in Sachen RBSM zu engagieren. Jedoch haben nur 61 Prozent tatsächlich mit der Implementierung ihres RBSM-Programms begonnen, und 40 Prozent der befragten Untersuchungsteilnehmer haben noch keine formale RBSM-Strategien oder Prozeduren etabliert, so die Studie.
In den USA gaben 71 Prozent der befragten Unternehmen an, dass von innen ausgehenden Sicherheitsgefahren durch so genannte „malicious insider“ – etwa die eigenen Mitarbeiter – sie stark besorgen. In Großbritannien teilen diese Sorge lediglich 49 Prozent der Organisationen, in Deutschland 39 Prozent und in den Niederlanden sehen sich nur 16 Prozent der Firmen mit Gefahren durch heimtückische Innentäter konfrontiert.
Die vollständige Studie gibt es unter www.tripwire.com.
Lesen Sie mehr zum Thema
