Deutsche und europäische Unternehmen unterschätzen DDoS-Bedrohungen

Viele Unternehmen überschätzen ihre Security-Strategie im Umgang mit DDoS-Attacken. Das ist das Ergebnis einer Studie von Steria Mummert Consulting.

„Cyber-Angriffe nehmen weltweit im zweistelligen Bereich zu. Allein DDoS-Angriffe verzeichneten 2013 einen Anstieg von 32 Prozent gegenüber dem Vorjahr.“ Mit diesen Worten leiteten Andreas Stiehler, Principal Analyst bei Pierre Audoin Consultants (PAC), und Gerald Spiegel, Senior Manager Information Security Solutions bei Steria Mummert Consulting, die Vorstellung einer neuen Security-Studie ein. Wie der Titel „Sind europäische Unternehmen gegen Cyber-Attacken gewappnet?“ bereits andeutet, beschäftigt sich die Befragung vor allem damit, wie europäische Firmen die Bedrohungslage wahrnehmen und welche Maßnahmen sie für ihre Sicherheit ergreifen.

Selbstüberschätzung deutscher Unternehmen

Aufgrund der steigenden Anzahl von DDoS-Angriffen wachsen auch die Kosten durch Ausfälle: Diese liegen weltweit im Schnitt bei 7,2 Millionen US-Dollar pro Unternehmen und Jahr, was einem Anstieg von 30 Prozent entspricht. Ein Grund für diese Kostenexplosion liegt wohl in der Erfolgsquote der DDoS-Attacken: Im Durchschnitt gibt es 1,4 erfolgreiche Angriffe pro Woche und Unternehmen.

Gleichzeitig gehen neun von zehn der von Steria und PAC befragten Unternehmen davon aus, mit großen IT-Sicherheitsrisiken umgehen zu können sowie eine ausreichende Sicherheitsstrategie zu haben. Doch nur ein Drittel der Firmen betreiben IT-Sicherheitslösungen rund um die Uhr. „Die Firmen müssen sich in erster Linie um einen ganzheitliche Sicherheitsansatz kümmern“, sagt Spiegel.

Externe Security-Bedrohung unterschätzt

Eines der größten Risiken ist für die Studienteilnehmer der Diebstahl von Firmendaten. Mehr als die Hälfte der befragten Unternehmen sieht dies als  größtes Risiko an. Daneben sehen sie sich durch spezifische Geschäftsrisiken und IT-Spionage bedroht. Diese Antworten relativieren sich etwas, da die externen Bedrohungen von den Befragten unterschätzt werden. Mehr als die Hälfte (56 Prozent) gehen davon aus, dass Angriffe von außen für weniger als 20 Prozent aller Sicherheitsbedrohungen verantwortlich sind. Um sich vor eventuellen Bedrohungen zu schützen, setzen 77 Prozent der befragten deutschen Unternehmen Authentifizierungs- und Access-Management-Lösungen ein. Zudem kommt bei 87 Prozent ein Identitäts- und Zutritts-Management und bei fast drei Viertel Mobile Device Management (MDM) zum Einsatz (siehe Abbildung 1).

Abbildung 1: Identitäts- und Zutritts-Management steht bei Unternehmen hoch im Kurs.

„Die Unternehmen verfügen über eine Basis-Sicherheitsinfrastruktur. Dennoch sind sie, mit Ausnahme der Absicherung mobiler Endgeräte, unzureichend ausgestattet“, ist sich Spiegel sicher. Security Operations Center (SOC) kommen zum Beispiel nur selten zum Einsatz (bei 14 Prozent der Unternehmen mit weniger als 5.000 Mitarbeitern), um Abläufe sowie Ereignisse zu überwachen. 65 Prozent der befragten deutschen Unternehmen arbeiten bisher ohne „Best-in-Class“-Lösungen.

Die Studie untersuchte auch Trends, die die Strategie der Unternehmen beeinflussen: So benennen mehr als die Hälfte der deutschen Unternehmen (57 Prozent) die geschäftliche Nutzung privater Mobilgeräte (Bring Your Own Device) als Faktor, den sie in ihrer Strategie abbilden. Weitere Themen sind unternehmensspezifische Risiken (30 Prozent) und Kostendruck (24 Prozent).

Abbildung 2: Mobility First auch bei der Sicherheitsstrategie.

Planung einer 24/7-Security-Strategie

Diese strategische Ausrichtung ist laut Spiegel nicht ausreichend: „Deutsche Sicherheitsentscheider sind besonders auf die Ausgestaltung und Einhaltung von Security-Policies fokussiert.“ Doch die Policies seien häufig zu statisch, um sich der dynamischen Bedrohungslage anzupassen. Außerdem benötigen Änderungen viel Zeit. „Die Policies setzen häufig auf Verbote, wie zum Beispiel bei der Nutzung privater mobiler Endgeräte, die sich in der Praxis nicht durchsetzen lassen.“ Ein weiteres Problem sei es, dass viele Unternehmen keine operative Sicherheit rund um die Uhr gewährleisten. So gaben 28 Prozent der Firmen an, dass sie keine 24/7-Security planen. „Etwas plakativ ausgedrückt: Diese Unternehmen gehen davon aus, dass sich Hacker und Cyberkriminelle an deutsche Arbeitszeiten halten“, kommentiert der Steria-Berater das Ergebnis.

Für die Autoren der Studie ist auch erstaunlich, dass die Messung der Sicherheitsperformance eines Unternehmens überwiegend nicht auf konkreten Indikatoren basiert. Zum Beispiel messen 53 Prozent der Studienteilnehmer ihre Security-Prozesse lediglich anhand der entstandenen Kosten. Bei 39 Prozent ist die Reaktionszeit beim Auftreten größerer Krisen ein Indikator für die Effizienz ihrer Security-Strategie. „Die Studie belegt, dass viele Unternehmen Sicherheitsrisiken falsch einschätzen. Angesichts dessen ist das Vertrauen, das sie in ihre Fähigkeiten mit Bedrohungen umzugehen setzen, fehl am Platz“, so das Resümee von Spiegel.

Risiko-Management und Outsourcing

Am Ende zählen die Studienautoren mögliche Lösungen für das angesprochene Sicherheitsdilemma auf. An oberster Stelle stehe ein ausgereiftes Risiko-Management, das die vorhandenen Daten evaluiert und Bedrohungen einschätzt. Insbesondere für kleine und mittelständische Unternehmen (KMUs) empfiehlt es sich, über das Outsourcing ihrer Security-Infrastruktur nachzudenken. Da kleinere Firmen in den meisten Fällen nicht über die notwendigen Ressourcen verfügen, können sie mit Outsourcing ihre Security-Situation verbessern. Bei diesem Thema sind deutsche Unternehmen sogar etwas aufgeschlossener als ihre europäischen Kollegen. Fast jeder dritte deutsche Befragte gab an, dass nichts gegen Outsourcing spreche - rund zehn Prozent mehr als europäische Firmen.

Für die Studie im Auftrag von Steria Mummert Consulting befragte Pierre Audoin Consultant (PAC) 270 Unternehmen in Deutschland, Frankreich, Großbritannien und Norwegen. Zusätzlich wurden 20 Tiefeninterviews mit Firmen über 5.000 Mitarbeitern geführt.

Folgen Sie SearchSecurity auf Twitter @ssecurityde.

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close