Gerade einmal 1/3 der deutschen IT-Teams nutzen zur Evaluierung ihrer Sicherheitsprogramme nach Angaben des Cyber-Security-Anbieters Ivanti sogenannte Cyber Security Maturity Models, weltweit arbeiten dagegen 2/3 aller Firmen mit diesen Modellen, die die Ausgereiftheit der unternehmenseigenen Cyber-Abwehrfähigkeiten messen. Ähnlich düster sehe es aus, wenn es um eine Bewertung geht, welchem Risiko relevante Finanzdaten ausgesetzt sind. Nur 1/3 der Cyber-Sicherheitsteams in Deutschland stufen ihre Sicherheit auf Basis eines Finance Data Risk Assessment (FinDRA) ein, während über 60 Prozent ihre Kollegen in Großbritannien und den USA mit dieser Kennziffer arbeiten.
Die Fähigkeit einer Organisation, das eigene Sicherheitslevel akkurat zu bestimmen – und Maßnahmen einzuleiten, sollte es zu niedrig sein –, hängt nicht zuletzt davon ab, ob ein Unternehmen normative Vorgaben zur IT-Sicherheit definiert hat, aus denen sich die konkrete Ausgestaltung der technischen Sicherheit ableitet, und dem IT-Team einen stringenten Maßnahmenplan bereitstellt, der Einblick in die Systeme und Lösungen gibt, die im Unternehmen zum Einsatz kommen. Auch in diesem Punkt scheinen deutsche IT-ler schlechter aufgestellt zu sein als ihre internationalen Kollegen. Sie geben laut Ivanti beispielsweise zu einem großen Teil an, nur einen moderaten Überblick über ihre Assets zu haben.
„Die Ergebnisse unserer Studie zeigen, dass deutsche Sicherheitsprofis nahezu jede Schwachstelle mit Priorität oder hoher Priorität schließen möchten,“ erläutert Johannes Carl von Ivanti. „Eine solche Einstellung entspricht dem nachvollziehbaren Wunsch, möglichst viele potenzielle Einfallstore zu schließen. Das ist aber im Regelbetrieb einer IT-Abteilung mit den verfügbaren Ressourcen der Teams kaum noch realisierbar.“ Zwar priorisiert die Hälfte der deutschen Sicherheitsexperten, um strategische Schwachstellen zu schließen, die für ihr Unternehmen unmittelbar relevant sind – ein guter Wert im internationalen Vergleich. Es fällt jedoch auf, dass überproportional viele Schwachstellen dazu gezählt werden. Und das Gros der deutschen Security-Profis ordnet ihnen die höchste Dringlichkeit zu, ganz gleich, ob es sich um Schwachstellen handelt, die in der NVD (National Vulnerability Database) gelistet sind oder solche, die aktuell ausgenutzt oder vom Team selbst identifiziert werden.
Sicherheitsexperte Carl warnt: „Die schiere Anzahl an offenen Schwachstellen macht ein [solches Arbeiten] nahezu unmöglich. ... Deutlich effektiver ist es, diejenigen Verwundbarkeiten priorisiert zu schließen, von denen ein tatsächliches Risiko für das individuelle Unternehmen ausgeht.“ International wird entsprechend deutlich differenzierter vorgegangen. In Deutschland nutzen jedoch nur etwas über die Hälfte der Befragten eine spezifische Methode für die Priorisierung von Schwachstellen.
Ein Schlaglicht auf das Sicherheitsniveau in deutschen Firmen wirft auch die Bewertung potenzieller Angriffsvektoren durch die Firmensicherheitsprofis. Rund 40 % von ihnen sehen in Angriffen auf oder über die Vertriebskette lediglich ein moderates Bedrohungsrisiko. „Angesichts der Zunahme dieser Art von Angriffen im letzten Jahr ist eine solche Einschätzung durchaus erstaunlich,“ kommentiert dies Ivanti-Experte Carl. Gleichzeitig hält sich die Hälfte der Befragten für sehr gut vorbereitet auf einen Supply-Chain-Angriff. Dabei gab nur etwas mehr als jeder zweite Sicherheitsspezialist hierzulande an, sein Unternehmen verpflichte Supply-Chain-Partner zu einem obligatorischen Cybersecurity-Training.
