Sapsiwai - Fotolia

RSA-Report: Sicherheitsstrategien sind häufig lückenhaft

In vielen Organisationen weisen die Sicherheitsstrategien erhebliche Lücken auf. Das gilt auch insbesondere für Betreiber kritischer Infrastrukturen.

Das sind zumindenst Ergebnisse des aktuellen „Cybersecurity Poverty Index Report“ von der EMC-Tochter RSA. Demnach weisen die Sicherheitsprogramme und –strategien bei rund 75 Prozent der Unternehmen und Behörden immer noch kritische Lücken auf. Wie kommt dieser Report zustande? Es wurden 878 IT- und Sicherheitsfachleute aus 24 Branchen und 81 Ländern gebeten eine Selbstbewertung vorzunehmen. Diese Bewertung erfolgt entlang der im NIST Cybersecurity Framework (CSF) festgehaltenen Grundfähigkeiten „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“. Die Teilnehmer der Befragung haben den entsprechenden Reifegrad ihres eigenen Unternehmens oder Organisation bewertet. Der Anteil der sehr gut geschützten IT-Umgebungen an dieser Gesamtstichprobe ist mit 7,4 Prozent niedrig, aber immerhin höher als in der Vorjahresausgabe des Reports, wo das entsprechende Ergebnis bei 4,9 Prozent lag.

Incident Response oft nicht existent

Insbesondere mit der Fähigkeit, schnell auf Sicherheitsvorfälle zu reagieren, sei es nicht weit her. So habe die Hälfte der befragten Organisationen die eigene „Incident Response“ als „ad hoc“ oder sogar als „nicht existent“ bezeichnet. Darunter seien auch viele Betreiber kritischer Infrastrukturen gewesen. Apropos, Behörden und andere öffentliche Betriebe sowie Energieversorger schnitten im Vergleich der IT-Sicherheitsreifegrade am schlechtesten ab. So hätten nur 18 Prozent der Betriebe dieser Gruppe die eigenen Sicherheitsprogramme als fortschrittlich oder sehr fortschrittlich bezeichnet. Bei Unternehmen der Luft-, Raumfahrt- oder Rüstungsindustrie verfügen nach eigenen Angaben immerhin 39 Prozent über fortschrittliche oder sehr fortschrittliche Sicherheitsprogramme. Weniger gut sieht es bei der Finanzbranche aus, hier erreichen nur 26 Prozent die beiden genannten Reifegrade.

RSA-Report
Abbildung 1: Mit den Fähigkeiten auf Sicherheitsvorfälle angemessen zu reagieren, ist es bei vielen Firmen nicht zum Besten bestellt.

Und keine ganz neue Erkenntnis, aber sie gilt wohl immer noch: Viele Firmen würden erst dann vermehrt in die IT-Sicherheit investieren, nachdem sie Opfer eines geschäftsschädigenden Angriffs geworden sind. Viele Unternehmen würden allerdings nicht genau verstehen, wie IT-Risiken auf ihr Geschäft wirken. So sind 45 Prozent der Unternehmen nicht in der Lage oder nur fallbezogen in der Lage ihre IT-Risiken zu bewerten. So fällt es natürlich vielen Firmen schwer vorausschauende Sicherheitsmaßnahmen einzuleiten. Die Unfähigkeit genaue Toleranzwerte oder –schwellen für bestimmte Risiken vorzugeben, würde es den Verantwortlichen schwer machen Gegenmaßnahmen zu priorisieren.

Interessierte Sicherheitsverantwortliche und Administratoren gehören können die gesamten Report hier gegen Registrierung herunterladen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close