| Eine Verletzung der Datensicherheit im kommenden Jahr ist „wahrscheinlich oder unvermeidbar“ (glaubt mehr als ein Viertel) | Es muss ein Umdenken einsetzen: Entscheider müssen den Sicherheitsbedenken ihrer IT das Gewicht einräumen, das ihnen zusteht. In vielen Fällen hängt das wirtschaftliche Überleben des ganzen Unternehmens von der Datensicherheit ab – und genau so sollte sich auch priorisiert werden. |
| Ein interner Hacker oder unautorisierter Anwender verletzt die Datensicherheit (glauben 54 %) | Dagegen hilft: interne Schnittstellen gegen den Missbrauch durch nicht autorisierte User schützen sowie Rechtevergaben überprüfen und auf ein funktionelles Minimum einschränken. |
| Der Missbrauch von Privilegien durch die IT ist das höchste Sicherheitsrisiko für die Datensicherheit (glauben 52 %) | Auch speziell autorisierte Anwender („Super-User“ oder Admins) müssen sich den für alle gültigen Rechtevergaben und Passwortrichtlinien unterwerfen und müssen bei einem Weggang umgehend ihrer „Hintertürchen“ beraubt werden. |
| Die Prävention ist mangelhaft (nur 35 % könnten Missbrauch durch Super-User nachweisen; nur 24 % könnten ihn im Ansatz stoppen. | Spezielle Lösungen können bei beiden Problemen helfen; außerdem kann auch ein Appell an die Gewissenhaftigkeit der entsprechenden Super-User (siehe den vorigen Punkt) nicht schaden. |
| Die Anwendungen sind nicht gut genug gegen SQL Injection geschützt (nur 36 % halten ihre Apps für gut geschützt). | SQL Injection als eine der aktuell beliebtesten Angriffsformen kann in vielen Fällen erfolgreich ausgeschlossen werden, wenn dies durch die IT priorisiert wird. Hier gilt es, Sensibilitäten zu schärfen. |
| Wichtige Sicherheitsupdates werden zu langsam installiert (nur 29 % installieren innerhalb von drei Monaten nach deren Veröffentlichung). | Eine schnellere Reaktion auf kritische Security-Updates verringert das Zeitfenster für die Ausnutzung einer potenziellen Sicherheitslücke ganz enorm. Die IT-Architektur sollte so umgewandelt werden, dass solche Updates schnellstmöglich umgesetzt werden können. |
| Die Problemerkennung ist mangelhaft (25 % können nicht feststellen, ob es unautorisierte DB-Zugriffe gegeben hat). | Entsprechende (externe) Schulungen und Sensibilisierung der IT-Mitarbeiter sowie die Anschaffung spezieller Soft-/Hardware sollten hier mit einer Implementierung von Alarmmechanismen Hand in Hand gehen. |
| Datenlecks bleiben unbemerkt (nur 40 % führen regelmäßige Audits der Produktions-DB durch). | Regelmäßige und raschere Audits aller relevanten Datenbanken und sensiblere Automatismen helfen, Daten- und Sicherheitslecks aufzuspüren. Dies wiederum verkleinert das Zeitfenster eines Angreifers. |
| Eine Verschlüsselung fehlt (nur 30 % verschlüsseln sensitive oder personenbezogene Informationen in all ihren Datenbanken, weitere 36 % nur in einigen DBs). | Hier muss man unbedingt mit entsprechenden Vorgaben eingreifen und in die nötigen Soft- und Hardware-Lösungen investieren – es gibt genügend weltweite Datenschutzbestimmungen zur Verschlüsselung ruhender Daten in Datenbanken, deren Missachtung auch rechtliche Folgen nach sich ziehen kann. |
| Der Überblick fehlt (nur 63 % sind sich aller DBs mit sensiblen Informationen bewusst). | Das ist schlicht Schlamperei. Dagegen helfen Schulungen und Allgemeinverpflichtung – jeder muss über alles Wichtige informiert sein. Hier braucht es meist keine aufwändigen Lösungen, sondern eine andere Einstellung. |
Anzeige
