Sind ungeschützte Endpunkte oder externe Angreifer gefährlicher?
„Die Studienergebnisse zeigen große Unterschiede in der Wahrnehmung der Cyberrisiken zwischen Befragten aus der Führungsebene und aus den Fachbereichen“, kommentiert Anton Kreuzer, CEO von DriveLock. Mit 38% bewerten C-Level-Entscheider den Schutz der Endpunkte als größte Herausforderung, während in den Fachbereichen die externe Bedrohungslage mit 51% an der Spitze steht. „Gefahren von außen abzuwehren und die Sicherheit der eigenen Endpunkte zu gewährleisten, ist in der digitalen Ära gleichermaßen wichtig. Organisationen müssen eine IT-Security-Strategie verfolgen, die die Sicherheitslage ganzheitlich betrachtet und nicht interne und externe Aspekte unterscheidet. Denn je besser die eigenen Endpunkte abgesichert sind, umso geringer ist die Gefahr durch Hacker“, so Kreuzer weiter.
Das Security-Budget wird von 27% aller Befragten als weiterer wichtiger Punkt in Bezug auf IT-Security genannt und liegt somit an dritter Stelle der genannten Herausforderungen für die IT-Security. Überraschend an den Ergebnissen ist, welche Aspekte das Schlusslicht bilden und somit als geringstes Risiko eingestuft werden. Die Studie wurde zwischen dem 20. Juli und 28. Juli dieses Jahres erhoben. Zu dem Zeitpunkt hatten bereits viele Unternehmen im Zuge der Corona-Pandemie auf Homeoffice umgestellt. Dennoch haben insgesamt nur etwa 11% aller Befragten Remote Work (Homeoffice und mobiles Arbeiten) als Herausforderung für ihre IT-Sicherheit angegeben. Ein Grund dafür kann sein, dass mit dem Schutz von Endpunkten dieser Punkt bereits abgedeckt wird. Allerdings stellen zahlreiche Phishing-E-Mails mit Corona-Bezug oder mögliche Sicherheitslücken bei der Vielzahl an neuen Geräten ein nicht zu unterschätzendes Risiko dar. „Jedes Unternehmen, das Opfer einer Cyberattacke wird, ist eines zu viel“, ergänzt Kreuzer. „Mit vielen Mitarbeitern im Homeoffice ist es wichtig, die technischen Maßnahmen um Security Awareness Aktivitäten zu ergänzen. Mitarbeiter müssen auch im Homeoffice für potenzielle Risiken sensibilisiert sein.“
Die Hälfte der Unternehmen erlitt wirtschaftlichen Schaden durch Cyberangriff
Der Anteil der Unternehmen mit wirtschaftlichem Schaden durch Cyberangriffe steigt mit der Größe. Dennoch führen Mittelständler mit knapp 55% die Liste der Geschädigten an, dicht gefolgt von Großunternehmen mit 53%. Im Vergleich dazu geben nur 38% der Befragten aus kleinen Unternehmen an, bereits wirtschaftliche Schäden erlitten zu haben. Betrachtet man die Unternehmen insgesamt berichtet die Hälfte der Befragten (50%) von wirtschaftlichen Nachteilen.
„Jedes Unternehmen, unabhängig von der Größe, ist im Visier von Cyberkriminellen“, sagt Martin Mangold, Vice President Cloud Operations bei Drivelock. „Für den Klein- und Mittelstand ist die Lage kritischer, weil sie schlicht nicht über dieselben Ressourcen wie Großunternehmen verfügen. Es mangelt ihnen sowohl an Budget als auch an Personal, daher können besonders KMUs von Security Outsourcing profitieren.“
Security Outsourcing bringt vor allem deshalb große Vorteile mit sich, weil es den vorherrschenden Fachkräftemangel löst. KMUs müssten nicht mehr mit Großunternehmen und Security-Experten konkurrieren. Doch oft verhindern Vorurteile, dass Security als Service überhaupt in Betracht gezogen wird. 55% der Befragten bezeichneten Security Outsourcing als No-Go für ihr Unternehmen, bei kleinen Unternehmen sogar knapp 59%. In den Fachbereichen ist nur knapp jeder Vierte (24%) dagegen, während dieser Anteil auf Führungsebene mit 67% bei etwa zwei Dritteln liegt. Mangold betont: „Auch beim Thema Security Outsourcing ist die Einschätzung von C-Level und Fachbereich sehr unterschiedlich. Dabei sollten gerade die Entscheider erkennen, dass Security Outsourcing den Fachkräftemangel entschärft und sich von Vorurteilen lösen.“ Ein Mittel gegen Bedenken scheint der Kostendruck zu sein. Je geringer das verfügbare Security-Budget, umso offener sind die Befragten gegenüber Managed Security Services aus der Cloud. In Unternehmen mit weniger als zehn Millionen Euro IT-Budget im Jahr lehnen nur 49% Prozent Outsourcing ab und 15% signalisieren volle Zustimmung.
Zero Trust ist in den Unternehmen angekommen
93% der Befragten geben an, dass sich ihr Unternehmen mit dem Security-Konzept Zero Trust beschäftigt: Bei 38% ist Zero Trust bereits im Einsatz, 41% sind in der Implementierungsphase und 14% in der Planungsphase. Und das obwohl nur wenige Unternehmen konkrete Investitionen für Zero Trust vorgesehen haben. Die Top 3 Bereiche, in die investiert wird, sind Angriffsabwehr (46%), Netzwerk-Security (42%) und Cloud Security (39%). Andreas Fuchs, Vice President Product Management bei DriveLock, erklärt diese Diskrepanz: „Das Zero Trust-Modell ist ein ganzheitlicher Security-Ansatz und umfasst mehrere Sicherheitslösungen. Netzwerk-Sicherheit ist ein ebenso wichtiger Bestandteil in Zero Trust wie Endpoint Detection & Response zur Angriffsabwehr oder weitere Lösungen wie Predictive Whitelisting. Wichtig ist das nahtlose Zusammenspiel aller Security-Module auf einer Zero Trust-Plattform.“ Das bedeutet, dass Unternehmen zwar nicht direkt in den fortschrittlichen IT-Sicherheitsansatz investieren, aber in Lösungen und Funktionalitäten, die wesentliche Elemente eines Zero-Trust-Modells bilden. Dennoch zeigt diese Diskrepanz zwischen Investition und Implementation, dass die Strategien innerhalb der Unternehmen nicht ausreichend aufeinander abgestimmt sind. Zum Beispiel haben 84% der Unternehmen eine Digitalisierungsstrategie für Modern Workplace und Homeoffice, aber nur 77% eine Security-Strategie für Endgeräte. Nur 70% haben ein Konzept für Risikoanalyse. Für den wichtigen Bereich Identity & Access Management sind es mit 40% sogar weniger als die Hälfte. „Die Studie hat noch einmal zwei Punkte deutlich gemacht“, sagt Anton Kreuzer. „Zum einen erleidet jedes zweite Unternehmen wirtschaftlichen Schaden durch Cyberangriffe. Zum anderen sind sich Entscheider und Fachleute über die Herausforderungen durch Cyberbedrohungen bewusst. Unternehmen müssen jetzt anfangen, der IT-Security denselben Stellenwert beizumessen wie den anderen geschäftskritischen IT-Bereichen, um ihre Systeme langfristig und effizient schützen zu können.“
Weitere Details zu den Studienergebnissen finden Sie hier.
Das deutsche Unternehmen DriveLock SE wurde 1999 gegründet und ist inzwischen einer der international führenden Spezialisten für cloud-basierte Endpoint- und Datensicherheit mit Niederlassungen in Deutschland, Frankreich, Australien, Singapur, Middle East und USA. In Zeiten der digitalen Transformation hängt der Erfolg von Unternehmen maßgeblich davon ab, wie zuverlässig Menschen, Unternehmen und Dienste vor Cyberangriffen und vor dem Verlust wertvoller Daten geschützt sind. DriveLock hat es sich zum Ziel gesetzt, Unternehmensdaten, -geräte und -systeme zu schützen. Hierfür setzt das Unternehmen auf neueste Technologien, erfahrene Security-Experten und Lösungen nach dem Zero-Trust-Modell. Zero Trust bedeutet in heutigen Sicherheitsarchitekturen einen Paradigmenwechsel nach der Maxime „Never trust, always verify“. So können auch in modernen Geschäftsmodellen Daten zuverlässig geschützt werden. Die DriveLock Zero Trust Plattform vereint die Elemente
– Data Protection
– Endpoint Protection
– Endpoint Detection & Response
– Identity & Access Management
Cloud-basierte Lösungen von DriveLock bieten mehrschichtige Sicherheit; sie sind sofort verfügbar und wirtschaftlich effizient mit niedrigen Investitionskosten. DriveLock ist Made in Germany und „ohne Backdoor“. Die DriveLock Zero-Trust-Plattform vereint die Elemente
– Mehrere Millionen verwaltete Endgeräte in 30 verschiedenen Ländern
– Kundenumgebungen mit über 180.000 verwalteten Endgeräten
– Entwicklung und technischer Support aus Deutschland
DriveLock SE
Landsberger Straße 396
81241 München
Telefon: +49 (89) 5463649-0
Telefax: +49 (7141) 97178-77
http://www.drivelock.de/
Presse- und Öffentlichkeitsarbeit
Telefon: +49 (89) 5463649-23
E-Mail: katrin.hentschel@drivelock.com
Account Managerin
Telefon: +49 (89) 993887-25
E-Mail: ebru_oezalan@hbi.de