Security Bilanz 2017: Wie Behörden in der Security Bilanz 2017 abschneiden

Seit dem letzten Jahr hat sich in Bezug auf die IT-Sicher­heit in Deutsch­land nur wenig getan. Diesen Ein­druck ver­mitteln die Er­geb­nisse der dies­jährigen Security Bilanz Deutsch­land, in der sich über 500 Unter­nehmen und öffent­liche Ver­waltungen zum Stand ihrer IT- und In­formations­sicherheit äußerten.

Dieser Beitrag ist mehr als 6 Jahre alt.
Bild: © techconsult GmbH

IT-Sicherheit in Deutschland stagniert

Von Henrik Groß, techconsult

Die für die Security Bilanz Deutschland befragten Unternehmen und öffentlichen Verwaltungen stellen sich für 2017 in vielen Bereichen ein schlechteres Zeugnis aus als noch vor einem Jahr. Die Sicherheitslage, sprich: die Umsetzung von IT- und Informationssicherheit, verschlechtert sich damit bereits zum dritten Mal in Folge. Durchschnittlich ist der ermittelte Indikator für die IT- und Informationssicherheit um vier Indexpunkte unter die 50-Punkte-Schwelle gefallen. Gleichzeitig hat die Bedrohung nach Einschätzung der Befragten weiter zugenommen; der dafür ermittelte Index übersteigt damit erstmals jenen für die Sicherheitslage.

Insgesamt erreichen die befragten Unternehmen und Verwaltungen im Durchschnitt nur ein ausreichendes Ergebnis. Besonders negativ fällt das Resultat für den Handel aus, der im Vergleich zum Vorjahr nahezu zehn Punkte verliert. Weiterhin am zufriedensten mit der eigenen IT-Sicherheit sind Banken und Versicherungen, die aber ihre Mobile Security nach einer Neubewertung ebenfalls schlechter einordnen als letztes Jahr.

Verwaltungen sehen sich stärker bedroht

Insgesamt gesehen verschlechterte sich die diesjährige Bewertung der Sicherheitsmaßnahmen und -lösungen der öffentlichen Verwaltungen zwar nicht, blieb jedoch nur auf dem Vorjahresniveau. Dabei gab es marginale Verbesserungen bei technischen Maßnahmen und Lösungen, doch die eigene Mobile Security wird etwas ungünstiger bewertet.

Besorgniserregend ist, dass die wahrgenommene Gefährdung sich verschärft, denn die IT-Sicherheit ist stets in Abhängigkeit zur Bedrohungslage zu sehen. Immer komplexere Angriffe, unter anderem durch Viren, Phishing oder Spyware, verlangen nach stetiger Aufrüstung und Anpassung der IT- und Informationssicherheit. Was heute noch als wirksame Schutzmaßnahme angesehen wird, kann morgen schon veraltet sein. Deshalb ist es nicht verwunderlich, dass öffentliche Verwaltungen die Bedrohung als gestiegen wahrnehmen. Insbesondere die Gefahren durch Viren und Angriffe durch Trojaner oder Spyware werden deutlich höher bewertet als im letzten Jahr. Knapp 70 % der Verwaltungen sehen sich nicht ausreichend gewappnet. Auch Sicherheitslücken in Anwendungen und Systemen werden als stärkere Bedrohung gesehen. Dies kann unter anderem an der großen Anzahl von Ransomware und Viren liegen, über die regelmäßig in den Medien berichtet wird, ebenso wie über die Anfälligkeit vieler IT-Systeme und -Anwendungen gegenüber Angriffen von Cyberkriminellen und über die häufige Wirkungslosigkeit von Sicherheitsmaßnahmen und -lösungen.

Mehr Informationen zur Studie Security Bilanz Deutschland sowie den kostenlosen Self-Check Security Consulter finden Sie unter https://www.security-bilanz.de. Das Projekt wird unterstützt von DATEV eG, SecuRisk, Bitdefender, Net at Work, TeleTrust, AXA sowie weiteren Partnern aus Wirtschaft und Verbänden.

Einsatz von IT-Security-Lösungen

Um diesen Bedrohungen adäquat zu begegnen, bedarf es einer ständigen Überprüfung und Anpassung der eigenen IT- und Informationssicherheit. Ein möglichst umfassender Schutz ist nur möglich, wenn diese Lösungen dem neuesten Stand entsprechen und kontinuierlich aktualisiert werden. Doch bereits bei der Umsetzung technisch einfacher Lösungen wie der klassischen Firewall und Antivirensoftware sind knapp 60 % der öffentlichen Verwaltungen unzufrieden. Einer der Gründe könnte darin bestehen, dass in vielen Verwaltungen noch immer kein ausreichendes Verständnis für die Anforderungen der eigenen IT-Sicherheit herrscht. Mehr als 70 % der befragten Verwaltungen geben an, dass Bedarfsanalysen hinsichtlich IT-Security nur unzureichend umgesetzt werden. Dies führt mitunter dazu, dass angewandte Lösungen fälschlicherweise als ausreichend angesehen oder zu langsam an neue Entwicklungen angepasst werden.

Daher überrascht es nicht, dass die Umsetzung von technisch anspruchsvollen Lösungen noch schlechter bewertet wird. Mehr als 70 % der öffentlichen Verwaltungen sehen Verbesserungsbedarf bei anspruchsvollen IT-Security-Lösungen wie SIEM (Security Information and Event Management) oder DDoS Prevention (Distributed Denial of Service).

Mobile Security als Problemfeld

Doch nicht nur die etablierten IT-Security-Lösungen für die IT-Infrastruktur bereiten den Verwaltungen Probleme. Da sowohl die Verbreitung als auch der Einsatz mobiler Geräte steigt, wird Mobile Security ein immer wichtigeres Thema. Maßnahmen und Lösungen zur Wahrung der mobilen Sicherheit sind für mehr als 70 % der öffentlichen Verwaltungen ein großes Problem, angefangen beim einfachen Antivirenschutz für Smartphones und Tablets über das ganzheitliche Mobile Device Management bis hin zu komplexeren Maßnahmen wie der Verschlüsselung auf mobilen Geräten. Hier besteht enormer Handlungsbedarf, denn schlecht geschützte mobile Endgeräte können leicht zum Einfallstor in ansonsten gut gerüstete Netzwerke werden. Nur wenn es ein einheitliches Konzept für die IT- und Informationssicherheit aller Geräte gibt, lässt sich ein hohes Niveau der IT- und Informationssicherheit erreichen.

Henrik Groß.jpg

Henrik Groß ist Senior Analyst bei der techconsult GmbH, wo er u.a. als Projektleiter die Aktivitäten rund um die Studie Security Bilanz Deutschland koordiniert. Daneben entwickelt der studierte Soziologe individuelle Studienkonzepte und setzt sie in Studien und Market Papers um. Als Autor hat er u.a. zu den Themen Business Performance, Client Management und Industrie 4.0 publiziert.

Henrik Groß, Analyst, techconsult GmbH, Am Platz der Deutschen Einheit, Leipziger Straße 35–37, 34125 Kassel, Tel. 0561-8109-178, Fax: 0561-8109-101, henrik.gross@techconsult.de, www.techconsult.de

Angst vor Datenverlust

Nicht nur Angriffe von außen machen den Verwaltungen zu schaffen, viele sehen auch Datenverlust als große Bedrohung. Drei Viertel der Befragten sind unzufrieden mit der Umsetzung von DLP-Systemen (Data Loss Prevention). In diesem Zusammenhang geben etwa 80 % der öffentlichen Verwaltungen an, dass ihnen auch die Umsetzung von sicheren Kollaborationslösungen, die ebenfalls zur Datensicherheit beitragen sollen, Probleme macht.

Präventionsmaßnahmen

Für eine umfassende IT- und Informationssicherheit reicht es nicht aus, nur über die notwendige Software zum Schutz vor Viren und Trojanern zu verfügen. Genauso wichtig ist geschultes Personal, das ausreichende Kenntnisse auf dem Gebiet der IT-Sicherheit hat. Dazu zählen der routinemäßige Umgang mit der Software und die Erprobung des Ernstfalls. Nur wenn die Mitarbeiter vorbereitet sind, können sie im Notfall schnell und richtig reagieren und so größere Schäden verhindern. Doch sowohl bei regelmäßigen Security Audits, Übungen, Schulungen und Penetrationstests, als auch bei der Überprüfung der Backups sind über 70 % der Verwaltungen unzufrieden mit der Umsetzung. Ebenfalls mehr als 70 % sehen die Umsetzung von Verfahren des IT-Grundschutzes des BSI als unzureichend an. Ähnlich schlecht sieht es bei Kontrollen und Zertifizierungen aus, die vielerorts zu wünschen übrig lassen.

Kommunale ITK 2017-10.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Reihe „Kommunale ITK“ zur CeBIT 2017. Einen Über­blick mit freien Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Resignation vor der Herausforderung?

Die beschriebenen Verschlechterungen sind zum einen darauf zurückzuführen, dass die Umsetzung an vielen Stellen schlechter bewertet wird als im Vorjahr, zum anderen empfinden die befragten Unternehmen und Verwaltungen eine steigende Bedrohung. Gleichzeitig wird vielen Maßnahmen und Lösungen eine geringere Relevanz zugemessen als bisher. Wie kann es sein, dass auf der einen Seite die gefühlte Bedrohung stetig zunimmt, auf der anderen Seite IT-Sicherheit weniger relevant eingeschätzt wird? Werden derzeitige Konzepte als nicht mehr ausreichend angesehen? Resigniert man vor den Bedrohungen, die man trotz aller Bemühungen nicht in den Griff bekommt? Ein Erklärungsansatz könnte sein, dass andere Aufgaben bzw. Herausforderungen derzeit einen größeren Stellenwert einnehmen beispielsweise das Thema Digitalisierung, das momentan omnipräsent scheint.

Fazit und Empfehlungen

Unternehmen und öffentliche Verwaltungen sind mehr denn je gefragt, weiter am Thema IT-Sicherheit zu arbeiten. Nachdem die IT-Sicherheit in den letzten Jahren stark fokussiert wurde, scheint sich aktuell eine Verschiebung der Prioritäten abzuzeichnen. Genau hierin liegt die Gefahr, dass die Vernachlässigung schleichend und unbemerkt zu einer weiteren Verschlechterung von IT- und Informationssicherheit führt. Als hauptsächlich präventive Maßnahmen ist der Nutzen von IT- und Informationssicherheit oftmals nicht sichtbar. Die verstärkten Bemühungen der letzten Jahre können meist keinen unmittelbaren Return on Investment aufweisen.

Aktuell stellen viele Verwaltungen und Unternehmen ihren eigenen Sicherheitsbemühungen kein gutes Zeugnis aus. Um in der Breite langfristig einen Anstieg des IT-Sicherheitsniveaus zu verzeichnen, dürfen die Anstrengungen nicht zurückgefahren werden. Auch in Hinblick auf die omnipräsente Herausforderung Digitalisierung sind Unternehmen und öffentlichen Verwaltungen weiterhin stark unter Druck, IT- und Informationssicherheit im Fokus zu halten. Denn ohne IT- und Informationssicherheit ist an Digitalisierung nicht zu denken.

Nützliche Links