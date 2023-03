IT-Sicherheitsabteilungen hierzulande müssen sich deutlich stärker fokussieren, um gegen die aktuellen Angriffsvektoren anzugehen. Das ist ein zentrales Ergebnis der Studie „State of Security Preparedness 2023“ die der Security-Anbieter Ivanti veröffentlicht hat. Im Gegensatz zu ihren internationalen Kollegen ist der Reifegrad deutscher Security-Abteilungen nur mittelmäßig. Dies zeigt sich besonders in geschäftskritischen Fragen wie dem Umgang mit Schwachstellen und bei Sicherheitstrainings für Geschäftspartner der eigenen Vertriebskette.

Der Reifegrad deutscher IT-Security-Abteilungen ist laut der Ivanti-Umfrage deutlich niedriger als in benachbarten europäischen Ländern und weltweit. Gerade einmal 19 Prozent der Befragten schätzen ihr Team als fortgeschritten und erprobt ein, wenn es um die Einhaltung nationaler und globaler Sicherheitsvorschriften, -richtlinien und -verfahren geht. In England, Frankreich und im internationalen Durchschnitt bewegen sich rund 30 Prozent der Unternehmen auf diesem höchsten Abwehrniveau. Nach eigener Einschätzung befindet sich das Gros der deutschen Sicherheitsteams (36 Prozent) in dieser Frage gerade einmal auf einem „Intermediate Level“.

Diese Selbsteinschätzung lässt sich durch die Methoden stützen, die IT-Teams zur Evaluierung ihrer Cyberprogramme nutzen. Cybersecurity-Reifegradmodelle spielen in Deutschland im Vergleich zum internationalen Durchschnitt nur eine untergeordnete Rolle. Gerade einmal ein Drittel der Firmen hierzulande arbeitet mit diesen Modellen – weltweit sind es zwei Drittel. Ähnlich sieht es aus, wenn es um eine Bewertung geht, welchem Risiko relevante Finanzdaten ausgesetzt sind. Ein Drittel der befragten Sicherheitsspezialisten aus Deutschland ermitteln ihre Sicherheitsposition auf Basis eines Finance Data Risk Assessment (FinDRA).

Die Fähigkeit einer Organisation, das eigene Sicherheitslevel akkurat zu bestimmen, hängt nicht zuletzt auch vom Einblick in die Systeme und Lösungen ab, die im Unternehmen zum Einsatz kommen. Auch unter diesem Blickwinkel fällt die Selbsteinschätzung deutscher Security-Leiter gemäßigt auch. Über die Hälfte von ihnen (54 Prozent) hat nur einen moderaten Überblick über ihre Assets und gerade einmal 15 Prozent verfolgen die im Unternehmensnetz angemeldeten Nutzer, Geräte, Anwendungen und Dienste kontinuierlich.

„Die Ergebnisse unserer Studie zeigen, dass deutsche Sicherheitsprofis nahezu jede Schwachstelle mit Priorität oder hoher Priorität schließen möchten. Eine solche Einstellung entspricht dem nachvollziehbaren Wunsch, möglichst viele potenzielle Einfallstore zu schließen. Das ist aber im Regelbetrieb einer IT-Abteilung mit den verfügbaren Ressourcen der Teams kaum noch realisierbar“, sagt Johannes Carl, Expert Manager PreSales UEM und Security bei Ivanti. „Die schiere Anzahl an offenen Schwachstellen macht es nahezu unmöglich, einen lückenlosen Schutzwall um ein Unternehmen zu ziehen. Deutlich effektiver ist es, diejenigen Verwundbarkeiten priorisiert zu schließen, von denen ein tatsächliches Risiko für das individuelle Unternehmen ausgeht.“

Dass sich diese Erkenntnis in den Security-Teams hierzulande noch nicht ausreichend verbreitet hat, zeigt die Ivanti-Umfrage. Zwar kümmert sich die Hälfte der Sicherheitsexperten (48 Prozent) priorisiert um strategische Schwachstellen, die für ihr Unternehmen unmittelbar relevant sind – ein guter Wert im internationalen Vergleich. Allerdings fällt auf, dass überproportional viele Schwachstellen dazu zählen. Gleich, ob es sich um Verwundbarkeiten handelt, die in der NVD (National Vulnerability Database) gelistet, die aktuell ausgenutzt oder vom Team selbst identifiziert werden – das Gros der deutschen Security-Profis ordnet ihnen die höchste Dringlichkeit zu.

International differenziert man in dieser Frage deutlich stärker. Ein Grund für diese Bewertung mag in der Tatsache liegen, dass 40 Prozent der Befragten entweder keine spezifische Methode für die Priorisierung von Schwachstellen nutzt oder wenn vorhanden, diese nicht gesondert dokumentiert ist. Hierbei wird es für die Teams schwierig, konsistente Regeln für ein risikobasiertes Schwachstellen-Management anzuwenden.

Eine interessante Analyse lässt auch die Bewertung potenzieller Angriffsvektoren zu. 40 Prozent der deutschen Sicherheitsprofis sehen in Angriffen auf und über die Vertriebskette nur ein moderates Bedrohungsniveau. Angesichts der Zunahme dieser Art von Angriffen im letzten Jahr ist eine solche Einschätzung erstaunlich.

Interessant ist auch die Aussage von nahezu jedem zweiten Befragten (48 Prozent), dass er auf einen Supply-Chain-Angriff sehr gut vorbereitet sei. Dies deckt sich mit der im Ländervergleich hohen Fähigkeit deutscher IT-Abteilungen, Zugänge für Drittunternehmen kurzfristig entziehen zu können. 51 Prozent sind dazu binnen eines Tages in der Lage. Deutlich kritischer wirkt sich eine andere Aussage aus: Nur etwas mehr als jeder zweite Sicherheitsspezialist hierzulande (57 Prozent) verpflichtet Supply-Chain-Partner auch zu einem obligatorischen Cybersecurity-Training. Der Durchschnittswert aller Länder liegt hier bei 67 Prozent.

Für die Studie hat Ivanti im Oktober 2022 über 6.500 Führungskräfte, Cybersecurity-Fachleute und Büroangestellte weltweit befragt.