Studie von Tenable Network Security
Scheinsicherheit durch falsche Kennzahlen
60 Prozent der deutschen Unternehmen setzen auf Kennzahlen ohne Aussagekraft, um den Status der IT-Sicherheit zu bestimmen, beispielsweise die Anzahl identifizierter Schadprogramme. Dies verzerre das Bild der Bedrohungslage, und abgeleitete Maßnahmen führten mitunter nicht zu mehr Sicherheit, warnt Tenable Network Security, Spezialist für Schwachstellen- und Threat-Management.
„Wer nicht weiß, wo seine Schwachstellen sind, hat keine Chance im Kampf gegen immer neue Bedrohungen“ so Gavin Millard, Technical Director bei Tenable Network Security für EMEA. „Trotzdem erfassen 60 Prozent der IT-Manager ‚Kennzahlen‘ wie die Anzahl der gefangenen Schadprogramme. Diese Daten haben keine Aussagekraft, sie zeigen lediglich, dass die IT-Sicherheit an manchen Stellen und zu manchen Zeitpunkten wohl funktioniert. IT-Sicherheitsstrategien, die auf falschen Kennzahlen beruhen, sind nicht nur ineffektiv, sie vermitteln auch ein falsches Gefühl von Sicherheit.“
Basis für Millards Kommentar ist eine Studie, für die das Marktforschungsinstitut Vanson Bourne in Tenables Auftrag 200 IT-Verantwortliche in deutschen Unternehmen mit mehr als 500 Mitarbeitern befragt hat. Auf Rang zwei der am häufigsten erfassten Kennzahlen (Key Performance Indicators, KPIs) liegt in Deutschland die Anzahl der identifizierten Sicherheitsvorfälle (von 59 Prozent erfasst). Diese Kennzahl hilft laut Tenable, im Nachhinein Lücken aufzuspüren, die Hacker bereits ausgenutzt haben. Eine Prävention von Vorfällen sei damit aber kaum möglich.
KPIs, die eine hohe Aussagekraft für den Sicherheitsstatus haben und Schwachstellen im Vorfeld aufdecken können, erfassen laut der Umfrage hingegen nur eine Minderheit der Unternehmen: 44 Prozent verfolgen, ob auf ihren Systemen eine aktuelle Version von Schutzsoftware läuft, 36 Prozent prüfen, ob aktuelle Versionen von Java oder anderer bei Hackern populärer Software installiert sind.
Aufgrund von Zero-Day-Exploits spielt laut Tenable die Minimierung der Zeiträume vom Bekanntwerden einer Sicherheitslücke bis zu deren Schließung eine große Rolle. Doch nur 27 Prozent messen, wie lange der Rollout von Virenmustern, 32 Prozent, wie lange der von neuen Patches in ihrem Unternehmen dauert.
Viele IT-Verantwortliche würden gerne mehr und bessere KPIs erfassen. Doch 47 Prozent geben an, keine automatisierten Möglichkeiten dafür zu besitzen, 35 Prozent beklagen den Mangel an den dazu notwendigen personellen Ressourcen. Fast drei Viertel (72 Prozent) der IT-Verantwortlichen berichten den Sicherheitsstatus mindestens einmal im Quartal oder öfter an ihr Management. 54 Prozent bestätigten in der Umfrage, dass IT-Sicherheit eine hohe Priorität im Vorstand genießt, 26 Prozent sagen sogar, das Thema habe höchste Priorität. Deshalb geben 50 Prozent der IT-Manager fast alle erfassten KPIs an den Vorstand weiter, weitere 30 Prozent in etwa die Hälfte.
„Vor ein paar Jahren wurde höchstens einmal im Jahr ein Report zum Sicherheitsstatus angefordert“, so Gavin Millard. „Die hohe Frequenz heute belegt, dass IT-Sicherheit ein zentrales Thema für das Management geworden ist. Das heißt aber noch nicht, dass IT und Management schon dieselbe Sprache sprechen.“ Die Umfrage deute eher darauf hin, dass der Vorstand eine Unmenge an Daten erhält, die für ihn zum großen Teil keinen Sinn ergeben. Unterstützt werde diese Vermutung durch die IT-Verantwortlichen selbst: Nur etwas mehr als ein Drittel gab an, dass das Management ihre Berichte sehr wertvoll findet. „IT-Verantwortliche“, rät Millard, „sollten sich in ihren Reports auf einige wenige, für das Geschäft sehr aussagekräftige KPIs beschränken.“
Weitere Informationen finden sich unter www.tenable.com.
Lesen Sie mehr zum Thema
